Zdravím prevádzkujem server ktorí je na verejnej IP takže by ma zaujímalo ako si ho zabezpečiť základne veci mám ako je FIREWALL (iptables) zabezpečil som SHH(denyhost), odinštaloval telnet (kedže nevyužijem). Hesla používam generované generátorom aby bola bezpečnosť. Zaujímalo by ma ako ešte zvýšiť bezpečnosť (konkrétne čo) kedže pre debianom som mal ubuntu a to mi do mesiaca rozhádzali tak že som musel preinštalovať systém.

a co ti bezi na tom serveri ? pokial mas bloknuty cely input chain v iptables okrem tych sluzieb co ti tam bezia tak by som sa zameral na bezpecnost tych veci..

tak beží mi APACHE,FTP,SSH,minecraft server,shoutcast,webmin,niekedy mam zapnutý transmision ked potrebujem niečo stiahnuť inač nič iné nebeží. SSH som zabezpečil denyhosts na apache som aj dával nejaky ten securiti mod ale neviem či ešte niečo netreba. PHP som poobmedzoval pamäť lebo ho nevyužívam veľmi.

Na Apache treba pozriet, ze ake najcastejsie chyby sa objavuju, je toho plny internet, odporuca sa pouzit mod_security, vypnut nepotrebne veci a upravit cely config, nezabudaj na phpMyAdmin, ten by som zabezpecil este cez .htaccess..., FTP zalezi od programu, ktory pouzivas (vhodne pouzivat len SSL pripojenie), SSH zmenit na iny port. Webmin mal v minulosti tiez svoje bezpecnostne muchy, aj ten by som dal na iny port a k tomu este hodil zabezpecenie cez .htaccess. Transmision mal tiez chyby a neodporucali ho v minulosti pouzivat, dokonca bol niekde aj zakazany, takze ako alternativu skus rTorrent + jeho webove rozhranie rtGUI.

Co vyriesis tym, ze das SSH na iny port?

Co presne mas na mysli pod zabezpecenim cez .htaccess? Bloknutie pristupu na konkretnu IPcku?

TommyHot: Ze ludi nebude pokusat sa tam prihlasovat lent ak, kym si nepreskenuje porty. Ale to sa da predsa obmenit, pripadne udelit ban po zadani zlych pokusov o prihlasenie. Zabezpecenim .htaccessom myslim to, tam da meno+heslo, pretoze pri dynamickej IP by si IP tazko vyberal.

hojko zmenu portu vnimam pozitivne len ak si nastavi firewall tak, ze pri velkom pocte vytvorenych spojeni za kratky cas firewall blockne akykolvek dalsi traffic z tejto IP a port scanner teda pojde do prdele. Inak to nema vyznam, lebo skenovat porty vie dnes uz s klikacimi hlupostami hocikto a je to otazka nanajvys par minut.
Aha, ja meno+heslo skor spajam s .htpasswd, tak som nevedel co presne mas na mysli

tak toto som ponastavoval. Ešte by som sa chcel opýtať dajú sa nejako chrániť LOGY aby mal útočník ťažšie ich zmeniť ak by sa náhodou dostal do systému

Logujes do /var/logs, nie?

ano všetko tam sa loguje

Mozes si nastavit logovanie na inu masinu. A samozrejme si nainstaluj logcheck, ktory logy analyzuje a mailom ta informuje o tom co sa deje.

logcheck mam. Inač ina ochrana na logy neexistuje iba dt logovať na ine PC ?

Ja som na jednej masine zazil taku vec, ze admin mal standardny syslog.conf nasledne za configuraciou asi 300 prazdnych riadkov (cize sa to uz tvarilo ako koniec fajlu) a potom znova nastavene logovanie ale do inych priecinkov. Samozrejme seriozny utocnik, si toto vsimne.

//autoeditácia príspevku (30 Aug 2012, 16:43)
Kazdopadne v dnesnej dobe uz toto riesit nemusis. Dnes sa hackuje prevazne uz len kvoli ssh tunelom a nie takym stylom, ze sa idem za kazdu cenu dostat do masiny a dvihnut si ego. Ak je masina standardne zabezpecena, tak sa utocnik na nu vysere a ide skusat o dum dal

Zabezpecenie Linuxov a Unixov (zvlast Linuxov, kedze je v nich aj kopa bloatwaru, hlavne v distrach ako Debian) je tema na cele knihy, pokial nepotrebujes enterprise security, tak ti staci spominana aktualizacia, firewall (komplexne nastaveny), nejake tooly ako fail2ban, mod security (ak tam mas viac userov a vhosty tak aj limity, suPhp alebo suExec). Pokial nemas nejaky cluster, tak sa velkym DDoSom aj tak neubranis, pokial chces ochranu pred nejakymi normalnymi zranitelnostami tak ti odporucam aj reverznu proxy pred Apacha (ktory je zvlast nachylny na rozne Slowlorisy a ine druhy floodov) a zaroven sa tiez da pouzit ako loadbalancer. Veci ako logovanie na externe masiny ti velmi nepomozu, pretoze ak sa uz utocnik dostane na root account, tak sa bude vediet aj pripojit na vzdialeny server kde logujes (bez ohladu na IP restrikcie a hesla).

Casom sa aj tak poucis na vlastnych chybach a skusenostiach, kedze zrhnut celu security do jedneho forum postu je nemozne.

A co cakas, ze s k tym logom dostane hocikto alebo coho sa bojis?