дополнительные меры сетевой безопасности

phpBB но не только...

Модераторы: Olej, adminn

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

дополнительные меры сетевой безопасности

Непрочитанное сообщение Olej » 09 янв 2020, 19:54

Поскольку новый хостинг форума - VDS, полноценная Linux машина со своими настройками, а не "виртальный хостинг" средствами компании-хостера, то самый основной способ влияния на сервер (кроме административной страницы самого phpBB) - это SSH по сети (по IPv4).

Здесь есть прямой смыл "дать по рукам" сетевым умельцам.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: дополнительные меры сетевой безопасности

Непрочитанное сообщение Olej » 09 янв 2020, 20:00

Olej писал(а):
09 янв 2020, 19:54
Здесь есть прямой смыл "дать по рукам" сетевым умельцам.
Стандартный порт SSH (прослушиваемый sshd) - 22.

Код: Выделить всё

olej@277938:~$ cat /etc/services | grep ssh
ssh		22/tcp				# SSH Remote Login Protocol
Но ничего не мешает нам перевесить свой SSH на нестандартный порт, например, 222.
Все такие вещи - в /etc/ssh/sshd_config:

Код: Выделить всё

olej@277938:/etc/ssh$ cat /etc/ssh/sshd_config | grep Port
#Port 22
#GatewayPorts no
Меняем на порт 222 + перестартуем sshd по systemctl.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: дополнительные меры сетевой безопасности

Непрочитанное сообщение Olej » 09 янв 2020, 20:07

Olej писал(а):
09 янв 2020, 20:00
Все такие вещи - в /etc/ssh/sshd_config:
Ограничить число одновременно открытых сессий SSH в ожидании пароля аутентификации:

Код: Выделить всё

olej@277938:/etc/ssh$ cat /etc/ssh/sshd_config | grep MaxStartups
#MaxStartups 10:30:100
Можем преопределить как:

Код: Выделить всё

MaxStartups 4:70:10
- не более 4 одновременных запросов на соединение SSH, всё что сверх того - будет с вероятностью 70% сбрасываться.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: дополнительные меры сетевой безопасности

Непрочитанное сообщение Olej » 09 янв 2020, 20:15

Контроль лишних открытых портов TCP на сервере:

Код: Выделить всё

olej@ACER:~/2020_WORK/rus.linux.net.hist/timeweb$ nmap -p1-10240 185.178.47.95
Starting Nmap 7.70 ( https://nmap.org ) at 2020-01-09 19:13 EET
Nmap scan report for linux-ru.ru (185.178.47.95)
Host is up (0.052s latency).
Not shown: 10236 filtered ports
PORT     STATE  SERVICE
22/tcp   open   ssh
80/tcp   open   http
443/tcp  closed https
6666/tcp closed irc

Nmap done: 1 IP address (1 host up) scanned in 31.19 seconds
И проверка соответствия портов настройкам файервола ufw:

Код: Выделить всё

root@277938:/etc/ssh# ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] OpenSSH                    ALLOW IN    Anywhere                  
[ 2] WWW Full                   ALLOW IN    Anywhere                  
[ 3] SMTP                       ALLOW OUT   Anywhere                   (out)
[ 4] 6666                       ALLOW IN    Anywhere                  

Лишние порты (если обнаружатся) - прикрыть!

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

дополнительные меры сетевой безопасности

Непрочитанное сообщение Olej » 13 окт 2023, 16:12

Очень высокую эффективность за почти 4 года использования показал fail2ban.
Настолько интересно, что всё относительно него было снесено в отдельную тему Fail2ban.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

дополнительные меры сетевой безопасности

Непрочитанное сообщение Olej » 13 окт 2023, 16:14

Olej писал(а):
09 янв 2020, 20:15
Лишние порты (если обнаружатся) - прикрыть!
С использованием IPv6 и по прошествии времени:

Код: Выделить всё

root@277938:/var/log# ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] OpenSSH                    ALLOW IN    Anywhere                  
[ 2] WWW Full                   ALLOW IN    Anywhere                  
[ 3] SMTP                       ALLOW OUT   Anywhere                   (out)
[ 4] 6666                       ALLOW IN    Anywhere                  
[ 5] 6665                       ALLOW IN    Anywhere                  
[ 6] 8080                       ALLOW IN    Anywhere                  
[ 7] 1080                       ALLOW IN    Anywhere                  
[ 8] 10050/tcp                  ALLOW IN    Anywhere                  
[ 9] 22 on tun0                 ALLOW IN    Anywhere                  
[10] 80 (v6) on tun0            ALLOW IN    Anywhere (v6)             
[11] 8080 (v6) on tun0          ALLOW IN    Anywhere (v6)             
[12] 443 (v6) on tun0           ALLOW IN    Anywhere (v6)             
[13] 10050/tcp (v6)             ALLOW IN    Anywhere (v6)             
[14] 22 (v6) on tun0            ALLOW IN    Anywhere (v6)             

Ответить

Вернуться в «Управление WEB ресурсами»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость