Страница 1 из 1
дополнительные меры сетевой безопасности
Добавлено: 09 янв 2020, 19:54
Olej
Поскольку новый хостинг форума - VDS, полноценная Linux машина со своими настройками, а не "виртальный хостинг" средствами компании-хостера, то самый основной способ влияния на сервер (кроме административной страницы самого phpBB) - это SSH по сети (по IPv4).
Здесь есть прямой смыл "дать по рукам" сетевым умельцам.
Re: дополнительные меры сетевой безопасности
Добавлено: 09 янв 2020, 20:00
Olej
Olej писал(а): ↑09 янв 2020, 19:54
Здесь есть прямой смыл "дать по рукам" сетевым умельцам.
Стандартный порт SSH (прослушиваемый sshd) - 22.
Код: Выделить всё
olej@277938:~$ cat /etc/services | grep ssh
ssh 22/tcp # SSH Remote Login Protocol
Но ничего не мешает нам перевесить свой SSH на нестандартный порт, например, 222.
Все такие вещи - в /etc/ssh/sshd_config:
Код: Выделить всё
olej@277938:/etc/ssh$ cat /etc/ssh/sshd_config | grep Port
#Port 22
#GatewayPorts no
Меняем на порт 222 + перестартуем sshd по systemctl.
Re: дополнительные меры сетевой безопасности
Добавлено: 09 янв 2020, 20:07
Olej
Olej писал(а): ↑09 янв 2020, 20:00
Все такие вещи - в /etc/ssh/sshd_config:
Ограничить число
одновременно открытых сессий SSH в ожидании пароля аутентификации:
Код: Выделить всё
olej@277938:/etc/ssh$ cat /etc/ssh/sshd_config | grep MaxStartups
#MaxStartups 10:30:100
Можем преопределить как:
- не более 4
одновременных запросов на соединение SSH, всё что сверх того - будет с вероятностью 70% сбрасываться.
Re: дополнительные меры сетевой безопасности
Добавлено: 09 янв 2020, 20:15
Olej
Контроль лишних открытых портов TCP на сервере:
Код: Выделить всё
olej@ACER:~/2020_WORK/rus.linux.net.hist/timeweb$ nmap -p1-10240 185.178.47.95
Starting Nmap 7.70 ( https://nmap.org ) at 2020-01-09 19:13 EET
Nmap scan report for linux-ru.ru (185.178.47.95)
Host is up (0.052s latency).
Not shown: 10236 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
443/tcp closed https
6666/tcp closed irc
Nmap done: 1 IP address (1 host up) scanned in 31.19 seconds
И проверка соответствия портов настройкам файервола ufw:
Код: Выделить всё
root@277938:/etc/ssh# ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] OpenSSH ALLOW IN Anywhere
[ 2] WWW Full ALLOW IN Anywhere
[ 3] SMTP ALLOW OUT Anywhere (out)
[ 4] 6666 ALLOW IN Anywhere
Лишние порты (если обнаружатся) - прикрыть!
дополнительные меры сетевой безопасности
Добавлено: 13 окт 2023, 16:12
Olej
Очень высокую эффективность за почти 4 года использования показал
fail2ban.
Настолько интересно, что всё относительно него было снесено в отдельную тему
Fail2ban.
дополнительные меры сетевой безопасности
Добавлено: 13 окт 2023, 16:14
Olej
Olej писал(а): ↑09 янв 2020, 20:15
Лишние порты (если обнаружатся) - прикрыть!
С использованием IPv6 и по прошествии времени:
Код: Выделить всё
root@277938:/var/log# ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] OpenSSH ALLOW IN Anywhere
[ 2] WWW Full ALLOW IN Anywhere
[ 3] SMTP ALLOW OUT Anywhere (out)
[ 4] 6666 ALLOW IN Anywhere
[ 5] 6665 ALLOW IN Anywhere
[ 6] 8080 ALLOW IN Anywhere
[ 7] 1080 ALLOW IN Anywhere
[ 8] 10050/tcp ALLOW IN Anywhere
[ 9] 22 on tun0 ALLOW IN Anywhere
[10] 80 (v6) on tun0 ALLOW IN Anywhere (v6)
[11] 8080 (v6) on tun0 ALLOW IN Anywhere (v6)
[12] 443 (v6) on tun0 ALLOW IN Anywhere (v6)
[13] 10050/tcp (v6) ALLOW IN Anywhere (v6)
[14] 22 (v6) on tun0 ALLOW IN Anywhere (v6)