На этот вопрос уже есть ответ здесь:
Я только что установил сервер Ubuntu на VPS.
Чтобы настроить сервер, я читаю Руководство по серверу Ubuntu. Но в Руководстве по серверу Ubuntu мне не все сказано.
Например. Руководство по серверу Ubuntu не говорит мне о том, как защитить SSH, что, на мой взгляд, важно сделать после установки сервера.
Я знаю, что мне нужно защитить SSH-доступ, но могу забыть, что нужно настроить. Потому что я не знаю того, чего не знаю.
Существует ли полное руководство, в котором рассказывается, какие важные вещи мне нужно сделать после установки сервера Ubuntu? Если нет, может ли кто-нибудь мне это сказать?
/dev/shm может использоваться в нападении на рабочий сервис, такой как httpd. Измените/etc/fstab для создания этого более безопасным.
Откройте Terminal Window и введите следующее:
sudo vi /etc/fstab
Добавьте следующую строку и сохраните. Необходимо будет перезагрузить для этой установки для вступления в силу:
tmpfs /dev/shm tmpfs defaults,noexec,nosuid 0 0
/etc/sysctl.conf файл содержит все sysctl настройки. Предотвратите маршрутизацию от источника входящих пакетов и зарегистрируйтесь, уродливый IP вводят следующее в окно терминала
sudo vi /etc/sysctl.conf
Отредактируйте/etc/sysctl.conf файл и не прокомментируйте или добавьте следующие строки:
# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1
Для перезагрузки sysctl с последними изменениями войдите:
sudo sysctl -p
Откройте Terminal и введите следующее:
sudo vi /etc/host.conf
Добавьте или отредактируйте следующие строки:
order bind,hosts
nospoof on
Отредактируйте файл php.ini:
sudo vi /etc/php5/apache2/php.ini
Добавьте или отредактируйте следующие строки:
disable_functions = exec,system,shell_exec,passthru
register_globals = Off
expose_php = Off
magic_quotes_gpc = On
DenyHosts является программой Python, на которую автоматически блоки SSH нападают путем добавления записей в/etc/hosts.deny. DenyHosts также сообщит администраторам Linux об оскорблении хостов, подвергшихся нападению пользователей и подозрительных логинов.
Откройте Terminal и введите следующее:
sudo apt-get install denyhosts
После редактирования установки конфигурационный файл/etc/denyhosts.conf и изменение электронная почта и другие настройки как требуется.
Для изменения администраторских почтовых настроек, откройте окно терминала и войдите:
sudo vi /etc/denyhosts.conf
Измените следующие значения как требуется на Вашем сервере:
ADMIN_EMAIL = root@localhost
SMTP_HOST = localhost
SMTP_PORT = 25
#SMTP_USERNAME=foo
#SMTP_PASSWORD=bar
SMTP_FROM = DenyHosts nobody@localhost
#SYSLOG_REPORT=YES
Fail2ban более совершенствуется, чем DenyHosts, поскольку он расширяет журнал, контролирующий до других сервисов включая SSH, Apache, Курьера, FTP, и т.д.
Fail2ban сканирует файлы журнала и запрещает дюйм/с, которые показывают злонамеренные знаки - слишком много ошибок пароля, ищущих использование, и т.д.
Обычно Fail2Ban затем раньше обновлял правила брандмауэра отклонить IP-адреса для указанного количества времени, хотя любой произвольное другое действие мог также быть настроен. Из поля Fail2Ban идет с фильтрами для различных сервисов (апач, курьер, ftp, ssh, и т.д.).
Откройте Terminal и введите следующее:
sudo apt-get install fail2ban
После редактирования установки конфигурационный файл/etc/fail2ban/jail.local и создают правила фильтра как требуется.
Для изменения настроек, откройте окно терминала и войдите:
sudo vi /etc/fail2ban/jail.conf
Активируйте все сервисы, которые Вы хотели бы, чтобы fail2ban контролировал путем изменения, включил =, ложь к *включила = верный*
Например, если требуется включить SSH контролирующую и запрещающую тюрьму, найти ниже строку, и изменение включило от лжи до истинного. Вот именно.
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
Если требуется получить электронные письма от Fail2Ban, если хосты запрещаются, изменяют следующую строку на адрес электронной почты.
destemail = root@localhost
и измените следующую строку от:
action = %(action_)s
кому:
action = %(action_mwl)s
Можно также создать фильтры правила для различных сервисов, которые Вы хотели бы, чтобы fail2ban контролировал, который не предоставляется по умолчанию.
sudo vi /etc/fail2ban/jail.local
Хорошие инструкции относительно того, как настроить fail2ban и создать различные фильтры, могут быть найдены на HowtoForge - щелкните здесь для примера
При выполнении с конфигурацией перезапуска Fail2Ban сервис с:
sudo /etc/init.d/fail2ban restart
Можно также проверить состояние с.
sudo fail2ban-client status
И RKHunter и CHKRootkit в основном делают то же самое - проверяет Вашу систему на руткиты. Никакой вред в использовании обоих.
Откройте Terminal и введите следующее:
sudo apt-get install rkhunter chkrootkit
Для выполнения chkrootkit, откройте окно терминала и войдите:
sudo chkrootkit
Обновить и выполнить RKHunter. Откройте Terminal и введите следующее
sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check
Nmap ("Сетевой Картопостроитель") является свободной и утилитой с открытым исходным кодом для аудита безопасности и обнаружения сети.
Откройте Terminal и введите следующее:
sudo apt-get install nmap
Просканируйте свою систему для открытых портов с:
nmap -v -sT localhost
SYN, сканирующий со следующим:
sudo nmap -v -sS localhost
Logwatch является настраиваемой системой анализа журнала. Logwatch анализирует через журналы Вашей системы и создает анализ отчета области, которые Вы указываете. Logwatch прост в использовании и будет работать правильно из пакета в большинстве систем.
Откройте Terminal и введите следующее:
sudo apt-get install logwatch libdate-manip-perl
Для просмотра вывода logwatch используют меньше:
sudo logwatch | less
Для пользования электронной почтой отчета о logwatch за прошедшие 7 дней на адрес электронной почты введите следующее и замените mail@domain.com необходимой электронной почтой.:
sudo logwatch --mailto mail@domain.com --output mail --format html --range 'between -7 days and today'
Тигр является средствами обеспечения безопасности, которые могут быть использованием и как проверкой защиты и как системой обнаружения проникновения.
Откройте Terminal и введите следующее:
sudo apt-get install tiger
Для выполнения тигра, войдите:
sudo tiger
Весь вывод Тигра может быть найден в/var/log/tiger
Для просмотра отчетов безопасности тигра откройте Terminal и введите следующее:
sudo less /var/log/tiger/security.report.*
Ubuntu по умолчанию достаточно безопасен, как и SSH.
Самое важное:
Если вы играете таким образом, все должно быть в порядке. О, и, конечно, регулярно делайте резервные копии :)