Pereiti prie turinio

Serverio saugumo stiprinimas

BruceW

Sukūrė BruceW
Hostingas ir serveriai

 Dalintis Sekėjai 0

Rekomenduojami pranešimai

  • Populiarus pranešimas.
BruceW

BruceW 993

Sukurta
  • Populiarus pranešimas.
Sukurta (redaguota)

Sveiki,

 

Taigi, sulaukiu išties nemažai klausimų ir prašymų apie tai kaip reiktų apsaugoti savo turimą web serverį. Žemiau pateikiu bazinius būdus kuriais gebėsit užsitikrinti apsaugą nuo įžūlių kirminų.

 

1. SSH

 

1.1. Daugelis turinčių serverius palieka SSH prievadą (port) numatytos reikšmės - t.y. 22. Rekomenduojama jį pakeisti į tarkim 6591 .

 

vi /etc/ssh/sshd_config

 

Randam:

 

#Port 22

 

Pakeičiam į:

 

Port 6591

 

Išsaugom ir uždarom. Tuomet perkraunam sshd:

 

service sshd reload

 

1.2. Panikos apimties galima uždrausti priėjimą prie SSH su slaptažodžiu, būtų naudojamas tik autentifikavimo raktas. Puikus tutorial'as: https://hkn.eecs.berkeley.edu/~dhsu/ssh_public_key_howto.html

 

1.3. Leisti priėjimą prie SSH tik iš tam tikro (-ų) IP adreso (-ų).

 

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup

 

Tuomet:

 

vi /etc/ssh/sshd_config

 

Gale pridedam:

 

AllowUsers root
AllowUsers [email protected]

 

Išsaugom ir uždarom. Perkraunam sshd:

 

service sshd restart

 

Tai yra paprasčiausias būdas. Galimi dar keli būdai: hosts.deny | hosts.allow | iptables . Panaudokit Google, informacijos daugiau nei apstu.

 

Pastabos: Tik labai paranojiški vartotojai naudoja iškart visus tris būdus. Gana dažnai būna situacijų jog pameta raktą arba pamiršta "port'ą". Jei taip įvyksta, tuomet belieka susisiekti su paslaugų teikėjų ir prašyti jog atkurtų serverį. Būkit protingi apsaugodami SSH.

 

2. PhpMyAdmin

 

Atrodo toks paprastas dalykas... Tačiau, tai galingas įrankis kurio dėka kirminai gali sunaikinti / pavogti / pakeisti jūsų duomenų bazę per kelias sekundes.

 

2.1. Draudžiam prisijungimą tik tam tikriems IP adresams konkretiems vartotojams.

 

Randam PhpMyAdmin katalogą (pakeiskit "phpmyadmin" į savo pervadintą katalogą, jei tai padarėte):

 

find / -name phpmyadmin

 

Nukeliaukit į aplanką ir:

 

vi config.inc.php

 

Įklijuojam eilutes prieš "?>":

 

$cfg['Servers'][$i]['AllowDeny']['order'] = 'deny,allow';
$cfg['Servers'][$i]['AllowDeny']['rules'] = array(
'deny root from all',
'allow root from localhost',
'allow root from jūsų.ip',
);

 

Išsaugom ir uždarom.

Nuo šiol asmuo mėginantis prisijungti kaip "root" prie PhpMyAdmin gaus malonią žinutę "Access Denied" jei nesutaps IP adresai.

 

Pastaba: Jei jūsų IP yra dinaminis, galite pridėti, pvz.: 91.95.185.* . Galite analogiškai pridėti vartotojus bei IP adresus.

 

Bus tęsinys...

 

P.S. Kopijuoti draudžiama.

Redagavo Dedica
Nuoroda į pranešimą
Dalintis kituose puslapiuose
Augustinas

Augustinas 663

Atrašyta
Atrašyta

Dedica, SSH porto keitimas - nėra saugumo "stiprinimas", čia daugiau 'security through obscurity'

SSH raktų naudojimas - tai jau dalis saugumo stiprinimo. Ką ir patarčiau visiems besirūpinantiems savo serveriais pasidaryti.

 

PhpMyAdmin konfiguravimas - vėl tas pats security through obscurity.

- Atsisiuntęs vieną failą iš http://phpminiadmin.sourceforge.net/ aš prisijungčiau su mysql root, jeigu netingėčiau, galėčiau ir phpmyadmin susidėti kur man reikia, nes phpmyadmin yra paprasta programinė įranga kaip ir wordpress ar joomla. :)

 

Beje MySQL serverio 'root' vartotoją visados galima ištrinti ir naudoti bet kurį kitą pvz "454sad48r4r15df4OKwe", su slaptažodžiu, kurį sudaro simboliai "@+;-" didžiosios/mažosios raidės ir skaičiai.

Nuoroda į pranešimą
Dalintis kituose puslapiuose
ITaptarnavimas

ITaptarnavimas 763

Atrašyta
Atrašyta

o prie ko cia web serverio saugumas ir SSH bei phpmyadmin? :) jau galvojau kazka rasiu apie apache sauguma.

 

cia butu kazkas panasiau i WEB serverio sauguma:

 

http://www.debuntu.org/2006/07/30/77-how-to-apache-web-server-basic-security-measures - bet tik izangai ir pirmiem dalykam... reikia nepamirsti ir apache apsaugos nuo http DoS :) ir jo veikimo rezimu su PHP specifikos: mod_php, suPHP, fastcgi ir t.t.

 

SSh zinoma svarbu, bet jei jau SSH, tada reikia dar ir visa kitka pamineti.... ir pavadinti tema: Serverio saugumas :)

Nuoroda į pranešimą
Dalintis kituose puslapiuose
ITaptarnavimas

ITaptarnavimas 763

Atrašyta
Atrašyta

Užuot komentavę patys prisijunkit ir papildykit :) . Vienas juk neaprėpsiu net 1 šimtosios. SSH port'o keitimas nuima labai daug rūpesčių dėl brute force, nes būna žmonių kurie slaptažodžiu pasirenka savo vardą...

 

tai nesakom kad blogai. jog kazkas raso, tik parodem kad temos pavadinimas biski neatitinka i tema :) kazkiek ir papildom.

 

O cia pavyzdis kaip galima web serveri saugoti nuo paprasto DoS:

 

sudo iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 60 -j ACCEPT

 

Cia galit paziureti ar kas atakuoja:

 

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

 

dar rekomenduotu naudoti tokia:

http://deflate.medialayer.com/

 

Taippat nepamirskit apache susitvarkyt:

 

ServerLimit 128

MaxClients 128

KeepAlive On

KeepAliveTimeout 2

MaxKeepAliveRequests 100

 

(cia reiktu kiekvienam ziureti kiek jis turi RAM ir koks aplamai VPS, ayuksciau paminetos reiskmes gerai veikia su 1 GB RAM VPS)

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Prisijunkite prie diskusijos

Jūs galite rašyti dabar, o registruotis vėliau. Jeigu turite paskyrą, prisijunkite dabar, kad rašytumėte iš savo paskyros.

Svečias
Parašykite atsakymą...

×   Įdėta kaip raiškusis tekstas.   Atkurti formatavimą

  Only 75 emoji are allowed.

×   Nuorodos turinys įdėtas automatiškai.   Rodyti kaip įprastą nuorodą

×   Jūsų anksčiau įrašytas turinys buvo atkurtas.   Išvalyti redaktorių

×   You cannot paste images directly. Upload or insert images from URL.

Įkraunama...
×
 Dalintis
Sekėjai 0
Eiti į temų sąrašą

  • Dabar naršo   0 narių

    Nei vienas registruotas narys šiuo metu nežiūri šio puslapio.

  • Prisijunk prie bendruomenės dabar!

    Uždarbis.lt nariai domisi verslo, IT ir asmeninio tobulėjimo temomis, kartu sprendžia problemas, dalinasi žiniomis ir idėjomis, sutinka būsimus verslo partnerius ir dalyvauja gyvuose susitikimuose.

    Užsiregistruok dabar ir galėsi:

    ✔️ Dalyvauti diskusijose;

    ✔️ Kurti naujas temas;

    ✔️ Rašyti atsakymus;

    ✔️ Vertinti kitų žmonių pranešimus;

    ✔️ Susisiekti su bet kuriuo nariu asmeniškai;

    ✔️ Naudotis tamsia dizaino versija;

    ir dar daugiau.

    Registracija trunka ~30 sek. ir yra visiškai nemokama.

  • Naujausios temos

  • Karštos temos

×
×
  • Pasirinkite naujai kuriamo turinio tipą...