Hoe om `n Linux-bediener te beveilig
Linux, die bedryfstelsel van die open source word beter, maar sedert die laat negentigerjare is dit `n sterk aanspraakmaker. Met gewildheid, maar dit het meer winsgewende vir diewe om Linux servers betree en gebruik dit vir spamming, vir bedrog, en die bedieners gebruik vir pornografie, onder andere raak. Hier vertel ons jou `n paar maniere om jou bediener van so `n bestemming te beskerm.
conținut
stappe
# Gebruik lsof of `n soortgelyke instrument, vind watter poorte jou rekenaar gebruik vir verbindings:
ns003: ~ # lsof -i
COMMAND PID GEBRUIKER VD TYPE DEVICE SIZE NODE NAME
genaamd 17829 root 4u IPv6 12689530 UDP *: 34327
met die naam 17829 root 6u IPv4 12689531 UDP *: 34329
met die naam 17829 root 20u IPv4 12689526 UDP ns003.unternet.net:domain
genaamd 17829 root 21u IPv4 12689527 TCP ns003.unternet.net:domain (LUISTER)
met die naam 17829 root 22u IPv4 12689528 UDP 209.40.205.146:domain
genaamd 17829 root 23u IPv4 12689529 TCP 209.40.205.146:domain (LUISTER)
lighttpd 17841 www-data 4u IPv4 12689564 TCP *: www (LUISTER)
sshd 17860 root 3u IPv6 12689580 TCP *: ssh (LUISTER)
sshd 17880 root 3u IPv6 12689629 TCP *: 8899 (LUISTER)
sshd 30435 wortel 4u 74368139 IPv6 TCP 209.40.205.146:8899->dsl-189-130-12-20.prod-infinitum.com.mx:3262 (gestig)
- 1As jy twyfel, sluit dit. Sluit enige onbekende of nuttelose diens af deur die toepaslike gereedskap te gebruik, soos update-rc.d in Debian-stelsels, of in sommige gevalle die redigering van lêers /etc/inetd.conf of /etc/xinetd.d/*. Tesame daarmee moet jy ook ontslae raak van enige hulpmiddel wat u diensverskaffer bygevoeg het vir stelseladministrasie, soos Plesk.
- 2Moenie wortelverbindings op u primêre sshd 22-poort (stel PermitRootLogin na "nee") - baie outomatiese gereedskap voer aanvalle met "brute-force" daarop. Dit stel `n sekondêre poort vas wat net deur gedeelde sleutels werk, en wagwoorde uitskakel:
- Kopieer die sshd_config-lêer na root_sshd_config, en verander die volgende in `n nuwe lêer:
- Port van 22 na `n ander nommer, byvoorbeeld 8899 (moenie dit gebruik nie! Skep joune!)
- PermitRootLogin van "nee" (jy moes dit as "nee" gestel het vir poort 22, onthou?) na "ja"
- AllowUsers rootVoeg hierdie reël by, of indien dit bestaan, verander dit om net verbindings op hierdie poort toe te laat.
- UitdagingResponsAuthentication nie maak seker jy sê "nee" in plaas van "ja"
- Probeer hierdie opdrag:
sshd -D -f / etc / ssh / root_sshd_config
en kyk of dit werk - probeer om van `n ander rekenaar aan te sluit (jy moet die verifikasie van sleutels tussen albei rekenaars aangepas het) deur:
ssh-p8899 [email protected]
en as dit werk, moet beheer C na die vorige opdrag dit stop en voeg dit dan aan die einde van / etc / inittab:
rssh: 2345: respawn: sshd -D -f / etc / ssh / root_sshd_config - Herbegin die init-taak: # init q Dit sal jou "root ssh daemon" as `n agtergrondtaak uitvoer, en dit sal outomaties herlaai as daar enige mislukking is.
wenke
- Gaan jou loglêers na om te sien watter tipe aanvalle teen jou bediener gaan. / var / log / auth of /var/log/auth.log is waar jy die verbindingspogings kan vind:
Jan 18 10:48:46 ns003 sshd [23829]: Pienk onwettige gebruiker van :: ffff: 58.29.238.252
18 Januarie 10:48:49 ns003 sshd [23833]: Gebruiker onwettige Rosemarie :: ffff: 58.29.238.252
Jan 18 10:48:51 ns003 sshd [23838]: Onwettige gebruiker van :: ffff: 58.29.238.252
Jan 18 10:48:54 ns003 sshd [23840]: Onwettige gebruiker sabine die :: ffff: 58.29.238.252
Jan 18 10:48:57 ns003 sshd [23845]: Onwettige gebruiker sandra van :: ffff: 58.29.238.252 - Werk gereeld u bedryfstelsel op om sekuriteitsoplossings by te voeg. Op Debian: apt-upgrade
- Monitor nuus oor swakhede in https://securityfocus.com/ en verwante bladsye.
- Probeer grsecurity en / of SELinux en / of AppArmour en / of PaX installeer.
waarskuwings
- U kan niks doen om u bediener heeltemal te beveilig nie. Maak rugsteun van belangrike lêers, en dan `n rugsteunplan indien die ergste gebeur.
- Moet nooit `n bediener wat gehack is, vertrou nie. `N hacker het 100% toegang tot enige stelsel sodra dit ingeskryf is.
Hoe om poorte in die Linux-bediener firewall oop te maak
Hoe om gebruikers in Linux te bestuur
Hoe om PDF-lêers op Linux te wysig deur GIMP te gebruik
Hoe om Linux op `n Mac te bestuur
Hoe om `n Linux-hardeskyf vir Windows te formateer
Hoe om te ping in Linux
Hoe om in te loggen as `n root gebruiker in Linux
Hoe om PDF-lêers in Microsoft Word-dokumente in te voeg met Open Source-gereedskap (Linux)
Hoe om Firefox op Debian Linux te installeer
Hoe om `n LAMP-bediener op te stel
Hoe om dienste op Linux te herlaai
Hoe om die datum in Linux te kontroleer
Hoe om lêers van een Linux-bediener na `n ander oor te dra
Hoe om `n webcam te gebruik om `n video uit te saai
Hoe om Linux te gebruik
Hoe om `n IP-adres toe te ken aan `n Linux-rekenaar
Hoe om die padveranderlike in Linux te verander
Hoe om die tydsone in Linux te verander
Hoe om `n FTP-bediener in Ubuntu Linux op te stel
Hoe om `n wireless netwerk in Linux op te stel met die opdraglyn
Hoe configure vsftpd FTP in Ubuntu Linux
Hoe om gebruikers in Linux te bestuur
Hoe om PDF-lêers op Linux te wysig deur GIMP te gebruik
Hoe om Linux op `n Mac te bestuur
Hoe om `n Linux-hardeskyf vir Windows te formateer
Hoe om te ping in Linux
Hoe om in te loggen as `n root gebruiker in Linux
Hoe om PDF-lêers in Microsoft Word-dokumente in te voeg met Open Source-gereedskap (Linux)
Hoe om Firefox op Debian Linux te installeer
Hoe om `n LAMP-bediener op te stel
Hoe om dienste op Linux te herlaai