дополнительные меры сетевой безопасности
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
дополнительные меры сетевой безопасности
Поскольку новый хостинг форума - VDS, полноценная Linux машина со своими настройками, а не "виртальный хостинг" средствами компании-хостера, то самый основной способ влияния на сервер (кроме административной страницы самого phpBB) - это SSH по сети (по IPv4).
Здесь есть прямой смыл "дать по рукам" сетевым умельцам.
Здесь есть прямой смыл "дать по рукам" сетевым умельцам.
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: дополнительные меры сетевой безопасности
Стандартный порт SSH (прослушиваемый sshd) - 22.
Код: Выделить всё
olej@277938:~$ cat /etc/services | grep ssh
ssh 22/tcp # SSH Remote Login Protocol
Все такие вещи - в /etc/ssh/sshd_config:
Код: Выделить всё
olej@277938:/etc/ssh$ cat /etc/ssh/sshd_config | grep Port
#Port 22
#GatewayPorts no
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: дополнительные меры сетевой безопасности
Ограничить число одновременно открытых сессий SSH в ожидании пароля аутентификации:
Код: Выделить всё
olej@277938:/etc/ssh$ cat /etc/ssh/sshd_config | grep MaxStartups
#MaxStartups 10:30:100
Код: Выделить всё
MaxStartups 4:70:10
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: дополнительные меры сетевой безопасности
Контроль лишних открытых портов TCP на сервере:
И проверка соответствия портов настройкам файервола ufw:
Лишние порты (если обнаружатся) - прикрыть!
Код: Выделить всё
olej@ACER:~/2020_WORK/rus.linux.net.hist/timeweb$ nmap -p1-10240 185.178.47.95
Starting Nmap 7.70 ( https://nmap.org ) at 2020-01-09 19:13 EET
Nmap scan report for linux-ru.ru (185.178.47.95)
Host is up (0.052s latency).
Not shown: 10236 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
443/tcp closed https
6666/tcp closed irc
Nmap done: 1 IP address (1 host up) scanned in 31.19 seconds
Код: Выделить всё
root@277938:/etc/ssh# ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] OpenSSH ALLOW IN Anywhere
[ 2] WWW Full ALLOW IN Anywhere
[ 3] SMTP ALLOW OUT Anywhere (out)
[ 4] 6666 ALLOW IN Anywhere
Лишние порты (если обнаружатся) - прикрыть!
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
дополнительные меры сетевой безопасности
Очень высокую эффективность за почти 4 года использования показал fail2ban.
Настолько интересно, что всё относительно него было снесено в отдельную тему Fail2ban.
Настолько интересно, что всё относительно него было снесено в отдельную тему Fail2ban.
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
дополнительные меры сетевой безопасности
С использованием IPv6 и по прошествии времени:
Код: Выделить всё
root@277938:/var/log# ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] OpenSSH ALLOW IN Anywhere
[ 2] WWW Full ALLOW IN Anywhere
[ 3] SMTP ALLOW OUT Anywhere (out)
[ 4] 6666 ALLOW IN Anywhere
[ 5] 6665 ALLOW IN Anywhere
[ 6] 8080 ALLOW IN Anywhere
[ 7] 1080 ALLOW IN Anywhere
[ 8] 10050/tcp ALLOW IN Anywhere
[ 9] 22 on tun0 ALLOW IN Anywhere
[10] 80 (v6) on tun0 ALLOW IN Anywhere (v6)
[11] 8080 (v6) on tun0 ALLOW IN Anywhere (v6)
[12] 443 (v6) on tun0 ALLOW IN Anywhere (v6)
[13] 10050/tcp (v6) ALLOW IN Anywhere (v6)
[14] 22 (v6) on tun0 ALLOW IN Anywhere (v6)
Кто сейчас на конференции
Сейчас этот форум просматривают: Majestic-12 [Bot] и 0 гостей