Показать страницуСсылки сюдаНаверх Эта страница только для чтения. Вы можете посмотреть её исходный текст, но не можете его изменить. Сообщите администратору, если считаете, что это неправильно. ====== Важное по security сервера ====== **Рекомендации по настройке ssh** Сменить стандартный порт. В файле конфигурации: <code>/etc/ssh/sshd_config</code> поменять <code>#Port 22</code> на произвольный порт <code>Port 3568</code> Запретить root для ssh (предварительно создать юзера для доступа по ssh). В файле конфигурации <code>/etc/ssh/sshd_config</code> поменять <code>#PermitRootLogin yes</code> на <code>PermitRootLogin no</code> Перезапустить службу ssh ---- **Установка и настройка утилиты fail2ban** Установка в Centos 8 <code>yum install epel-release -y yum install fail2ban -y</code> и активируем его командой: <code>systemctl enable fail2ban</code> Установка в Debian 10 <code>apt-get update sudo apt-get install fail2ban</code> Настройка. По умолчанию файлом конфигурации является /etc/fail2ban/jail.conf. Однако разработчики крайне не рекомендуют редактировать его напрямую, чтобы избежать осложнений при работе с сервером. Поэтому создайте локальную копию данного файла командой: <code>sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local</code> Вносим изменения в конфиг <code>nano /etc/fail2ban/jail.local</code> Пример конфигурации Fail2ban на порту SSH: <code>[ssh] enabled = true port = ssh filter = sshd action = iptables[name=sshd, port=ssh, protocol=tcp] logpath = /var/log/auth.log maxretry = 3 bantime = 600</code> Запись выше означает, что, если выполнено более 3 неудачных попыток подключения к ssh, то ip-адрес, с которого выполнялась авторизация, попадет в бан на 10 минут. Правило запрета будет добавлено в iptables. Дополнительно для защиты SSH активируйте следующую секцию: <code>[ssh-ddos] enabled = true port = ssh filter = sshd-ddos logpath = /var/log/auth.log maxretry = 2</code> Перезапуск службы: Centos <code>systemctl restart fail2ban</code> Debian <code>services fail2ban restart</code> ---- **Настройка iptables** Также, настоятельно рекомендуем закрыть сервер через iptables. прописываем следующие правила <code># localhost iptables -A INPUT -i lo -j ACCEPT # related iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Добавляем нужные локальные сети. Ниже - для примера iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT iptables -A INPUT -s 172.16.0.0/12 -j ACCEPT iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT # Разрешаем порт dhcp (если необходимо) iptables -A INPUT -p udp --dport 67 -j ACCEPT # Разрешаем порты web-сервера iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 81 -j ACCEPT iptables -A INPUT -p tcp --dport 82 -j ACCEPT iptables -A INPUT -p tcp --dport 83 -j ACCEPT iptables -A INPUT -p tcp --dport 84 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # Радиус iptables -A INPUT -p udp --dport 1812 -j ACCEPT iptables -A INPUT -p udp --dport 1813 -j ACCEPT # Запрещаем всё остальное iptables -A INPUT -j DROP </code> Далее добавить свои разрешительные правила через iptables -I INPUT по мере надобности. Сохраняем правила Centos <code>yum install -y iptables-services systemctl enable iptables.service</code> <code>/usr/libexec/iptables/iptables.init save</code> Debian <code>apt-get install iptables-persistent</code> <code>service iptables-persistent save</code> security.txt Последнее изменение: 3 лет назад — alexd