Как защитить свой сервер ubuntu от взломов и различных атак?

Question

[Chvalov]

Здравствуйте, подскажите решения защиты своего сервера на ubuntu server 14.04 от различных атак типа DDoS, brute force, и т.п.
Видел в сети такую штуку как Fail2ban, но еще не ставил, вдруг есть какие-то аналоги которые намного быстрей и умней.

И даже если я поставлю Fail2ban и настрою ее от атак на такие сервисы как Apache2, стоит ли мне тогда еще и поднимать mod_dosevasive или будут конфликты ?

Все что мне нужно будет защитить так это Apache2, php5, mysql, ssh, vsftpd

Comments

[sim3x]

?

Answer 1

[Сергей Петриков]

Fail2ban для защиты от DDoS - это как бензин для тушения пожара. От брута помогает в принципе, но волшебной пилюли нет, книги защита от всех видов атак для чайников тоже не встречал, так что либо глубоко копать по всем аспектам безопасности либо отдать на аутсорс специально обученным людям, все заметки вида: "защита от всех атак на коленке за 10 минут" - при реальной атаке помогут, как аспирин при инфаркте.

Comments

[Chvalov]

@RicoX А что вы можете посоветовать ?

[Сергей Петриков]

@Chvalov По конкретным атакам или куда копать? Если куда копать, как не странно посоветую начать с изучения инструментов скрипткидди, из самых простых ab и hping (для разных видов DoS) из чуть более сложных kali с его утилитами, особенно обратить внимание на metasploit. Поднимите тестовый сервер и смотрите как на него действует каждый из инструментов. То-есть запустили hping на симуляцию SYN флуда и смотрим загрузку сервера, открытые сокеты, так приходит понимание как отличить одну атаку от другой, дальше под конкретную атаку подбираем инструмент защиты, когда эмуляция атаки вообще перестает влиять на сервер переходим к следующей - это для начала, потом можно уже копать в сторону различных анализаторов и комплексных систем защиты, ну либо отдать на аутсорс тем кто этим занимается профессионально. Если по конкретным атакам, пишите типы - подскажу инструмент или метод борьбы, а по всем возможным типам расписать - это одной книги не хватит, не то что краткий ответ здесь.

Answer 2

[Роман Богачев]

MySQL если не смотрит наружу, то можно спрятать итак.
Либо skip-networking или забиндить локально.
Для SSH подойдет Knocking + fail2ban.

Под остальное тщательная настройка файрвола.
Но и то это лишь малая часть того, что можно сделать.

Comments

[Chvalov]

@YangAngel MySQL смотрит в локаль, а наружу если и будет смотреть до доступ только для определенных ip адресов
А есть что то такое что отфильтровывает данные GET и POST запросов для apache - потипу cloudflare ?