Задать вопрос
chelovekmuravei
@chelovekmuravei
\(-_-)/ раз два три четыре
linux

Linux, защита сервера от атак?

Есть ли универсальное решение для моей задачи? Если, да, то напишите его и объясните. Почему я спрашиваю это? На vds стоит web сервер ngx, задача сайт (отдаёт страницы, css, и изображения), и управление сервером через ssh. Как я полагаю проще разрешить то, что я написал выше, а остальное будет дропаться. И возникает вопрос... как бы соединение по ssh не дропнуть. Как это реализовать на iptable или может по другому.
  • Вопрос задан
  • 1575 просмотров
3 комментария
Подписаться 4 Оценить 3 комментария
Решения вопроса 2
@tenhi_shadow
123
Наиболее правильно сделать всё, что сказали выше +
1. выключить авторизацию по паролю(только через сертификат)
2. в iptables поставить доступ к ssh только с определённых ip
3. в ssh продублировать доступ с определённых ip
4. Для nginx скрыть версию, для php тоже, для системы тоже почитать как она скрывается
5. настроить fail2ban для всех открытых сервисов с авторизацией
6. на всех сервисах ограничить количество одновременных соединений, тут везде по-разному. limits и прочее

Для параноиков всегда можно сделать на сервере openvpn на 443 порту, разрешить совместное использование оного с nginx, сбацать себе сертификат неэкспортируемый, передать его сложным путём через дробленный архив с паролем, затем импортировать используя пароль в закрытое хранилище устройства и сидеть с него в ssh на сервер.
Ответ написан
1 комментарий
1 комментарий
Sly_tom_cat
@Sly_tom_cat
.
1. SSH - на нестандартный порт, запрет логина рутом (логиниться удаленно простым пользователем и дальше su/sudo). Подбор пароля рута к SSH на 22-м порту - самый основной вектор атаки.
2. Регулярные обновления по безопасности.
3. По безопасной настройке ngx - куча инфы в сети.
Ответ написан
1 комментарий
1 комментарий
Пригласить эксперта
Ответы на вопрос 1
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
И возникает вопрос... как бы соединение по ssh не дропнуть. Как это реализовать на iptable или может по другому.
Да, все верно говорите. Я бы тоже так сделал. Надо обязательно исключить ssh из списка дропа, чтобы не потерять доступ к серверу.
6aa9b12cd0484bc6871f7c329eec8926.jpg
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Программист C для Embedded Linux
Radiofid Санкт-Петербург
от 120 000 до 180 000 ₽
Linux Администратор DevOps
ИМАГ Москва
от 150 000 до 170 000 ₽
Программист C/C++ embedded Linux
РТК Автоматика Москва
от 170 000 до 250 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Исправить адаптивную верстку на Tilda Zero Block
20 апр. 2024, в 06:39
4000 руб./за проект
Доработка аддона для Xenforo v2.2.13
20 апр. 2024, в 06:06
200 руб./за проект
Привязка к Маркетплейсам 1С Розница 2.3
20 апр. 2024, в 05:26
10000 руб./за проект
Ещё заказы