Защита серверов, на примере CENTOS 5.x

[mavook]

Добрый день есть некое количество серверов на centos, и вот щас в офисе поставили тоже центос как прокси сервер и файлсервер c доступом извне по статик айпи.
Какие методы существуют для защиты серверов от взлома, подбора и прочего. думаю топик пригодится людям и мне в том числе в будущем.
-------
1)Где то тут писали что надо сменить порт sshd с 22 обязательно от перебора.
вопрос как ?
2)какие то стандартные правила для iptables ?\

P.S. Хостерам обязательно стоит проспаммиться в топике.

[sspy]

Цитата:

Сообщение от mavook

это топик для ньюбов по идее в центосах и прочих линуксах.
поставить webmin это еще один геморойный шаг где все пойдет не так =)

тогда по-любому ставить webmin, иначе придется покупать свитер, отращивать бороду и мастерить бубен. Webmin ставится автоматом: качаешь и далее rpm -U webmin*.rpm, дальше все интуитивно понятно.

[inferno[DGT]]

Цитата:

Сообщение от mavook

А VPN для чего?

на случай того, если у тебя динамический IP

[bablolover]

ещё надо sysctl крутить
усложняет ддос, вычисление операционки + прочие грабли ставит
с такими вопросами "как порт у ссхд сменить" нужен реальный спец., т.к. если крутишь без понимания, *nix отимеет тебя любой своей гайкой

[ar4ibas]

Цитата:

Сообщение от inferno[DGT]

1) Делаешь VPN, либо покупаешь подписку на http://webmastervpn.com
2) Разрешаешь доступ только с этого IP (ну и IP админа можешь добавить на всякий случай)
все, враг не пройдет

смена портов на SSH - бред, насканить новый порт не проблема, только от ботов спасает.

про ssh knocking слыхал?

[inferno[DGT]]

ar4ibas, для ЧП я вроде написал, что можно добавить IP админа. А через KVM зайти всегда можно, если че. Тут речь шла о простой смене портов. Будешь спорить с моим утверждением, что насканить такой порт не проблема?

Ты не меня учи, а ТС советы давай.

[ar4ibas]

Цитата:

Сообщение от inferno[DGT]

ar4ibas, для ЧП я вроде написал, что можно добавить IP админа. А через KVM зайти всегда можно, если че. Тут речь шла о простой смене портов. Будешь спорить с моим утверждением, что насканить такой порт не проблема?

Ты не меня учи, а ТС советы давай.

да я не учу просто так чет папездеть захотелось
а насчет топика могу сказать одно: гдето видел статистику взломов серверов, точных цифр не помню но подавляющее большинство взломов производится через веб приложение, т.е через дырявые скрипты которые позволяют инклудить пхп код, sql-injectionы, раскрывать файлы конфигов с паролями к БД итд, заливать файлы и инклудить их. Если исходить из этих данных то нужно сосредоточиться не на ssh а на конфигурировании прав доступов, убрать права на запуск и лишние суиды, применить тот же chrooting, доступ к БД из скриптов не от root'а, selinux, никаких папок с 777 правами, и как обычно сложные пароли нужны, и естественно никакого лишнего софта на серваке, лишний софт - потенциальная дыра, каждый открытый порт и сервис который его слушает это потенциальная дыра.
ТС, сгенерь нормальный пароль для SSH, повесь его на другой порт и запрети доступ от рута, этого вполне будет достаточно

[inferno[DGT]]

ar4ibas, так оно и есть. поменьше папок с левыми правами на запись, в папках которые доступны для записи отключить нахер исполнение php cgi и прочих файлов...

[Kola]

А как без 777 если скрипт файлы создает в папке?

[mrzaggi]

Чтото про безпарольный доступ никто не написал. Тоже помогает.

[Drg]

Kola, chmod 755 papka
внутри папки chmod 644 *, если конечно внутри нет директорий
Ну или если не хочется мучится с определением директория или папка, то
chmod -R 755 papka
затем даем доступ той папке, в которую нужно писать chown apache:apache papka_rw