Zabezpieczenie własnego serverka

[zgred]

Z czego korzystacie ?

Bo ja od kilku dni mam zainstalowane fail2ban dziala rewelacyjne.

Programik analizuje logi i podejmuje konkretne działania (BAN) na adresy IP. polecam zapoznać się z sofcickiem. Dzięki temu serverek lepiej pracuje bo nei musi męczyc się z obrabianiem atakow.

[mydoom.h]

Ja korzystam z https://configserver.com/cp/csf.html

[Ptaq]

Ja też korzystam z CSF - jednak o ile na Debianie ładnie się instaluje, to w CentOS'ie mimo moich usilnych starań nie udało mi się zainstalować.

[zgred]

tez mam Centusia

csf znam ale nie korzystałem ...

[mydoom.h]

to w CentOS'ie mimo moich usilnych starań nie udało mi się zainstalować.

cpan >> libwww-perl

[Mich@ł]

CSF ustawiony w trybie High

zgred, do fail2ban masy jakiś panel :>?

CSF ładnie i integruje się z DirectAdmin a jak jest z tym fail2ban

[zgred]

fail2ban - ręcznie złociutki

jest sporo porzadnych manuali do tego na centosie szybko dało się skonfigurowac. tylko 3ba znać lokalizacje plikow z logami.

[Mich@ł]

Hehehe to wole CSF z uwagi na to że spod DA mam wgląd do logów i wszystkich ustawień

[Kojotek_OX]

Obowiązkowo mod-security + regułki czasem Suhosin + banowanie IP po 50 skanach portów + banowanie każdego odwołania na porcje 22 + brak odpowiedzi na pinga i pozostałe zapytania + ukryta identyfikacja serwera

A ogólnie to polecam zapoznać się z tym pakietem https://www.rfxn.com/projects/ - wszystko ładnie opisane i dobrze ustawione może dużo pracy oszczędzić

Dobre i sprawdzone regułki można pobrać z stąd: https://www.gotroot.com/tiki-index.php?page..._security+rules

[Arkadiusz]

Obowiązkowo mod-security + regułki

Obowiązkowo to sobie obciążasz serwer, zupełnie niepotrzebnie.

[Kojotek_OX]

@arek_inc nie mogę się z tobą zgodzić że nie potrzebnie. Nie raz patrząc po logach widziałem próby wykorzystania luk w Joomla czy WP a dzięki temu dużo botów i niby hakerów zostaje zablokowana. Do tego fakt że potrafi zablokować działanie zdalnych wywołań mających na celu np przejęcie sessji usera bo programista coś opuścił w kodzie lub innymi atakami na oskryptowanie nie można nazwać nie potrzebnym softem.

Jeśli mamy serwer dla 1 - 2 stron www własnej produkcji może i nie potrzeba ale jak na serwie ma być WP , Joomla , phpBB i pochodne to dzięki temu możemy sporo zyskać

Obciążenie można to załadować jako moduł lub przez cgi wywoływać tylko dla wrażliwych stron www (kto powiedział że musi być obowiązkowe ?). Kilka MB mniej w RAM-ie vs Utrata danych i infekcja oprogramowania lub całego serwera - wybór należy już do admina

[βασιλιάς]

Wyłączenie odpowiedzi na ping -> w niektórych download managerach nie będzie można dodać serwera jako mirror dla pliku. A wystarczy że jakiś rosyjski haker uruchomi nmap -sT 80 zamiast nmap -sP i zobaczy, że pod tym IP jest serwer.

mod_security -> duże obciążenie, a bardzo łatwo jest takie reguły ominąć.

[Arkadiusz]

@arek_inc nie mogę się z tobą zgodzić że nie potrzebnie.

No jak się używa syfiastego oprogramowania, to na upartego można użyć pudru do zakrycia tego syfa... ja wolę leczyć go od środka, ale jak kto woli

Wyłączenie pingowania - zabezpieczenie rodem z lat 90, (jak maszyny miały po 64MB RAM a łącza do nich prowadzące liczone były w kbps) świadczące o tym, że administrator albo się na tych czasach zatrzymał albo po prostu usłyszał, że coś gdzieś w jakimś kościele dzwoni

Każdy serwer optymalizuje i zabezpiecza się indywidualnie. Owszem, może uogólnić, że warto zainstalować np. CSF ale tam jest ze 100 opcji i naprawdę dla każdego będzie potrzebne coś innego.

[Ptaq]

cpan >> libwww-perl

To by było za proste, tzn. źle napisałem - bo sama instalacja się udała (nie bez problemów) - ale potem on się odwołuje do jakiś bibliotek itp. które w Centosie są w ogóle gdzieś porozrzucane, zmieniałem ścieżki - bo znalazłem jakiegoś manuala do Centosa ale niestety po wykonaniu tego wszystkiego nadal nie chciał się włączyć.

[zgred]

perl'a profilaktycznie nadzoruję, zmieniam też nazwę pliku wget