Hur skyddar jag en Linux-server?

Helge Nilsson
Helge Nilsson
4 min läsning
Bli av med alla verktyg som din serverleverantör har lagt till för systemadministration
Tillsammans med detta, bli av med alla verktyg som din serverleverantör har lagt till för systemadministration, till exempel Plesk.

Det fria GNU / Linux-operativsystemet med öppen källkod blir bättre varje år för stationär användning, men det har varit en stor utmanare för serveranvändning sedan slutet av 1990-talet. Med popularitet har det dock blivit lönsamt för tjuvar att bryta sig in i Linux-servrar och använda dem bland annat för skräppost, bedrägerier och betjäning av pornografi. Här är några sätt att skydda din server från ett sådant öde.

Steg

  1. 1
    Lär dig att använda linux från skalet (kommandoraden). Varje lager av programvara som läggs till för att göra din systemadministration "enklare" lägger faktiskt till fler metoder för crackers att få tillgång till din maskin och minskar också prestanda. Alla ytterligare steg förutsätter att du känner till att använda ett skal.
  2. 2
    Använd lsof eller ett liknande verktyg för att ta reda på vilka portar din dator lyssnar efter anslutningar:
    ns003: ~ # lsof -i
    COMMAND PID ANVÄNDARE FD TYP ENHETSSTORLEKNAMN NAMN
    heter 17829 root 4u IPv6 12689530 UDP *: 34327 med
    namnet 17829 root 6u IPv4 12689531 UDP *: 34329
    namngiven 17829 root 20u IPv4 12689526 UDP ns003.unternet.net: domän med
    namnet 17829 root 21u IPv4 12689527 TCP ns003.unternet.net:domain (LISTEN)
    namngiven 17829 root 22u IPv4 12689528 UDP 209,40.205,146: domän
    namngiven 17829 rot 23u IPv4 12689529 TCP 209,40.205,146: domän (LISTEN)
    lighttpd 17841 www-data 4u IPv4 12689564 TCP *: www (LISTEN)
    sshd 17860 root 3u IPv6 12689580 TCP *: ssh (LISTEN)
    sshd 17880 root 3u IPv6 12689629 TCP *: 8899 (LISTEN)
    sshd 30435 root 4u IPv6 74368139 TCP 209,40.205,146: 8899-> dsl-189-130-12-20.prod-infinitum.com.mx:3262 (ESTABLISHED)
    Lär dig att använda linux från skalet (kommandoraden)
    Lär dig att använda linux från skalet (kommandoraden).
  3. 3
    Om du är osäker, hacka ut det! Stäng av alla okända eller onödiga tjänster, med hjälp av lämpliga verktyg för din Linux-distribution, såsom uppdaterings rc.d på Debiansystem, eller i vissa fall redigera /etc/inetd.conf eller /etc/xinetd.d/* filer. Tillsammans med detta, bli av med alla verktyg som din serverleverantör har lagt till för systemadministration, till exempel Plesk.
  4. 4
    Tillåt inte root-inloggningar på din primära sshd-port 22 (ställ in permitrootlogin till "no"); många automatiserade verktyg kör brute-force attacker på det. Ställ in en sekundär port för root-åtkomst som endast fungerar med delade nycklar och inte tillåter lösenord:
    • Kopiera sshd_config-filen till root_sshd_config och ändra följande objekt i den nya filen:
      • Hamn från 22 till något annat nummer, säg 8899 (använd inte det här! Gör ditt eget!)
      • PermitRootLogin från "nej" (du skulle sätta det till "nej" för port 22, minns du?) Till "ja"
      • AllowUsers root lägger till den här raden, eller om den finns, ändra den så att endast root-inloggningar tillåts i den här porten
      • Utmana svar Autentisering nej kommentera denna rad om den kommenteras, och se till att den säger "nej" istället för "ja"
    • Testa det här kommandot:
      sshd -D -f / etc / ssh / root_sshd_config
      och se om det fungerar korrekt - försök logga in från en annan dator (du måste redan ha ställt in autentisering av delad nyckel mellan de två datorerna) med:
      ssh -p8899 root @ my.remote.server
      och i så fall, kontroll-C vid kommandot ovan (sshd) för att stoppa sshd-demon, lägg sedan till detta i slutet av / etc / inittab:
      rssh: 2345: respawn: sshd -D -f / etc / ssh / root_sshd_config
    • Starta om init-uppgiften: # init q Detta kommer att köra din "root ssh-demon" som en bakgrundsuppgift, och starta om automatiskt om den skulle misslyckas.

Tips

  • Prova att installera grsecurity och / eller SELinux och / eller AppArmour och / eller PaX.
  • Uppgradera regelbundet ditt operativsystem för att lägga till säkerhetsfixar. På Debian: apt-get upgrade
  • Övervaka nyheter om sårbarheter på http://securityfocus.com/ och relaterade webbplatser.
    Ingenting du kan göra kommer att göra din server helt säker
    Ingenting du kan göra kommer att göra din server helt säker.
  • Kontrollera dina loggfiler regelbundet för att se vilka typer av attacker som körs mot din server. / var / log / auth eller /var/log/auth.log är en typisk plats att hitta inloggningsförsök:
    18 jan 10:48:46 ns003 sshd [23829]: Olaglig användare rosa från:: ffff: 58,29.238,252
    18 jan 10:48:49 ns003 sshd [23833]: Olaglig användare rosemarie från:: ffff: 58,29.238,252
    18 jan 10:48:51 ns003 sshd [23838]: Olaglig användare ruth från:: ffff: 58,29.238 252
    jan 18 10:48:54 ns003 sshd [23840]: Olaglig användare sabine från:: ffff: 58,29.238,252
    18 jan 10:48:57 ns003 sshd [23845]: Illegal användare sandra från:: ffff: 58 29,238,252

Varningar

  • Ingenting du kan göra kommer att göra din server helt säker. Ha säkerhetskopior av alla viktiga filer och en plan för säkerhetskopiering på plats om det värsta händer.
  • Lita aldrig på en server som har blivit knäckt. En smällare har tillgång till 100% av systemet när de har tillgång till root.
Läs också: Hur väljer jag en trådlös router?

Läs också:

  1. Hur skapar och redigerar jag textfiler i Linux med Terminal?
  2. Hur installerar jag Linux?
  3. Hur överför jag filer från en Linux-server till en annan?
Relaterade artiklar
  1. Hur förvandlar jag en Macbook till en trådlös router?Hjalmar Danielsson
  2. Hur uppgraderar jag ditt nätverk till Gigabit Ethernet?Janne Jonasson
  3. Hur man kopplar en Ethernet-kabel?Peder Hermansson
  4. Hur ansluter jag ett kabelmodem till din dator?Thord Magnusson
  5. Hur får jag tillgång till ett Motorola-modem?Ted Sundberg
  6. Hur installerar jag kablar i ett förbyggt hem?Hjalmar Danielsson
FacebookTwitterInstagramPinterestLinkedInGoogle+YoutubeRedditDribbbleBehanceGithubCodePenWhatsappEmail