Минимальные настройки безопасности Linux на VPS?

Question

[Bjornie]

Я абсолютно начинающий в Linux. Мой вопрос касается настройки безопасности ОС Linux на VPS-сервере. Изначально я просто установил OpenVPN и запустил его (всё работает). Затем постепенно начали появляться различные вопросы. Ввиду незнания системы я не знаю на что в первую очередь стоит обратить внимание.

Дано:
VPS
ОС выбрал Debian 8
Соединение по ключу SSH.

Кое-что я уже прочитал и сделал:
- запретить логин по руту\паролю
- создать отдельного пользователя
- проверить и отключить лишние службы (которые на данный момент не нужны для работы)

Список может быть и смешной, но мне хотелось бы понять что критически важно настроить на свежем дистрибутиве.
Например: iptables, стоит ли трогать его, какие правила важно вписать в первую очередь? Что запретить, а что разрешить?

Другой пример: вбил netstat и кроме самого себя увидел в Internet connections какой-то китайский adsl-адрес (переподключался каждую минуту). Погуглив нашел его в блэклистах, как сканирующего ssh. Что это было: просто внешнее соединение, или он сумел авторизироваться?

Что стоить почитать в обязательном порядке? Какие книги, статьи, плейлисты с видео на ютуб? Что порекомендуете?

Заранее извиняюсь за нубские вопросы.

P.S. моя основная ОС не Linux, поэтому для его изучения предпочитаю только консоль, никаких отдельных установок дистрибутивов с GUI.

Comments

[Alexander Lebedev]

Используй файрвол, пропиши правила доступа, в дебиан при использовании зашифрованной системы, шифруются только rооt файлы и папки. на тебе волшебную кнопку для запускаж;[Desktop Entry]
Comment=cryptkeeper
Terminal=false
Name=(κρυπτόςγράφειν⌘)
Exec=gksu
Type=Application

[Alexander Lebedev]

загрузи cryptkeeper или аналог для трея и создания шифрованых дисков и папок, поддерживает смарт пароли (gnome soft)

[Bjornie]

lebedev444 это была хорошая попытка показать, что вы много знаете, но, к сожалению я ничего не понял.

[Alexander Lebedev]

если хочешь кнопку скопируй и вставь в текст редакторе, укажи правильно дату,имя файла, и коментарий должен быть на установленную программу, по этому установи ! напиши apt search [программа которую хочешь найти], sudо аpt-get instаll [имя из результата выше] не забудь аpt-gеt updаte и добро пожаловать в юникс!

Answer 1

[Tyranron]

Ряд моментов Вы уже сделали, но я все равно их опишу для полноты списка.

1. Создать отдельного пользователя и хороший пароль на sudo. Не использовать больше root напрямую. Совсем.

2. SSH. Отключаем метод аутентификации по паролю. Если Вам не нужны другие методы, то их тоже можно отключить, оставив только publickey. Отключаем возможность аутентификации root'ом. Включаем использование только 2й версии SSH протокола.

3. Устанавливаем Fail2Ban и настраиваем чтобы после нескольких неуспешных попыток подключения по SSH банило по IP на длительное время. Кол-во попыток и время бана можно тюнить в меру своей паранойи. У меня, например, банит на час после 2х неуспешных попыток.

4. Iptables. Действуем по принципу "запрещено все, что не разрешено". Запрещаем по умолчанию весь INPUT и FORWARD трафик снаружи. Открываем на INPUT'е 22 порт. В дальнейшем открываем порты/forwarding по мере необходимости. Если у нас предполагаются сервисы на соседних серверах нужные только для внутренней коммуникации (Memcached, Redis, и т.д.), то открываем для них порты только для определенных IP. Просто так торчать наружу для всех они не должны.

5. Настраиваем автоматические обновления apt-пакетов. Уровень security. То есть так, чтобы обновления безопасности накатывались автоматически, но при этом не выполнялись обновления со сменой мажорной версии (дабы обезопасить себя от "само сломалось").

6. Устанавливаем ntpd. Серверное время должно быть точным. Также временную зону сервера лучше всего установить в UTC.

7. TLS (не SSL) используем везде где можем. Через Let's Encrypt получаем бесплатные валидные сертификаты. В конфигах веб-серверов, mail-серверов, и других приложений торчащих наружу (в том числе и OpenVPN), запрещаем/убираем использование слабых шифров. Все ключи/параметры генерируем не менее 2048 бит. Самоподписные сертификаты подписываем с помощью SHA-256 (не SHA-1). Diffie-Hellman параметры (dh.pem) под каждый сервис лучше сгенерить отдельно. Проверяем TLS сервисов через Nmap. Минимальный grade должен быть A, не должно быть warning'ов.

8. Правильный менеджмент пользователей/групп. Приложения/сервисы не должны запускаться под root'ом (разве что они действительно этого требуют и иначе никак). Для каждого сервиса создается свой пользователь.

9. Если предполагается upload файлов через PHP (либо другие скриптовые языки), в директории, куда эти файлы загружаются (и которая доступна снаружи), должно быть жестко отключено любое выполнение скриптов/бинарников, что на уровне ОС (x права), что на уровне веб-сервера.

Это была база.
Дальше, в меру своей паранойи можно за'harden'ить сервер ещё следующими моментами:
- SELinux, chroot
- доступ к SSH только с определенных IP (нужно иметь 3-4 VPN-сервера под рукой)

UPD И да, все это помнить/настраивать руками каждый раз может быть запарно. Используйте Ansible и автоматизируйте процесс (там родные и YAML, Jinja2 и Python).

Comments

[Nwton]

Пиши статью на хабр.

[Dark Hole]

Nwton: а там нет разве?

[Bjornie]

Tyranron я буду по предложению разбирать весь этот список, спасибо огромное. Кое-какие моменты уже видел в статьях. но еще не воспользовался, т.к. не знал надо это или нет. По iptables наверное придется покропеть, чтобы не напортачить, в т.ч. не забанив самого себя (видел во многих статьях предостережения по использованию временной установки правила. Нужно ли так делать всегда, для тестирования?) И как проверить, что мое правило действительно работает?

5. понятно, погуглю как это делается.

6. объясните почему это важно?

7. Про сертификаты видел статью на DO, но пока не понял зачем это нужно. Т.е. я понимаю зачем мы ставим SSL-сертификаты на наши сайты и что от этого меняется. Здесь же не очень...

8. Да, здесь тоже были вопросы, отдельно хотел задать вопросы про права, но думаю пока отдельно покурю статей в интернете.

9. До этого еще доберусь, когда займусь установкой лампа, nginx и примочек под джанго.

"- доступ к SSH только с определенных IP (нужно иметь 3-4 VPN-сервера под рукой)"
Правильно ли я понимаю, что это делается так: Client -> VPN_1 -> VPN_2 -> Internet.
allow only for VPN_1.

"И да, все это помнить/настраивать руками каждый раз может быть запарно."
Имеется ввиду если я переустановлю систему?

Кстати, в вакансиях нередко встречается пункт значение скриптовых языков для линукса: bash, python, ruby и т.д. Я изучаю Python. Могу ли я писать нужные мне утилиты только на пайтоне?

[Tyranron]

Bjornie
По iptables можно попробовать и с временными правилами, на всякий случай. Лично я не пользовался ими. Чтобы проверить что правило работает - нужно проверить что правило работает. Капитанство, но так и есть. То есть, если Вы закрыли какой-то порт, пробуйте на него постучаться (например, через telnet) и убедиться что он недоступен как надо.
Чтобы не влететь с SSH в начале - не трогайте его порт, пока не овладеете инструментом. На самом деле в iptables ничего сложного нет. Нужно просто открыть мануал и внимательно, усидчиво почитать, понять несложную концепцию блуждания трафика по цепочкам правил, и закрепить практикой, пока не прийдет полное понимание того, что Вы делаете и зачем, и как сделать то что Вам нужно. Возьмите, подымите на каком-то порту какой-то сервис, и развлекайтесь с этим портом. Наличие VPN, кстати, будет плюсом, так как параллельно сможете этот порт и по FORWARD цепочкам помучить.

6. Это не совсем настройка безопасности. Я просто это добавил как обязательный шаг при настройке любого сервера. Со временем любые часы начинают сбоить, и разница в пару секунд за пару месяцев может набежать легко. Пока у Вас один сервер - это, возможно, и не важно. А когда у Вас сервера уже два, и они как-то взаимодействуют активно, и у них расходятся часы, то приходит время всяких веселых багов. Не все приложения написаны идеально с точки зрения работы с временем. Далеко не все разработчики уделяют этому должное внимание. Например, сайт на PHP может генерировать timestamp'ы у себя прямо в скриптах и потом их записывать в БД в одном месте, а в другом месте он этот timestamp генерирует уже непосредственно в SQL-запросе. В результате вылезают забавные моменты, когда пользователь входит на сайт за 2 секунды до того как зарегистрируется. Бизнесу, правда, совершенно не забавно, особенно когда дело касается денег. Потому лучше чтобы часы были синхронизированы везде и тикали корректно.

[Tyranron]

Bjornie
7. TLS - это промышленный стандарт шифрования. Современное шифрование обеспечивает не только то, что данные никто не прочитает, но и то, что их никто не подделает. TLS использует приватные ключи и сертификаты. Браузеры и всякое ПО просто так любой левый сертификат не принимают. Сертификат должен быть выпущен доверенными лицом. Доверенным считается то лицо, корневой сертификат которого присутствует в системе. Если Вы самостоятельно создадите свое CA (Certificate Authority) и нагенерите своих сертификатов, которые и подпишите своим CA (потому и называются самоподписанными), то это его не делает доверенным для всего остального интернета, так как у них нету Вашего корневого сертификат в списке доверенных. Потому и заказываются сертификат у разных доверенных фирм, которые их выпускают. Самоподписанные сертификаты же используются для свои внутренних нужд и не светятся наружу. Например, у Вас в OpenVPN для аутентификации на VPN сервер и используются самоподписанные сертификаты.

[Tyranron]

Bjornie
> Имеется ввиду если я переустановлю систему?

Угу. Или банально понадобится +1 сервер. Плюсов много.

> Могу ли я писать нужные мне утилиты только на пайтоне?

Все вменяемые и стандартные дистрибутивы поддерживают пайтон. А которые нет - ставится с пол-пинка. Так что да. Но вообще, понимать лучше все. Мне приходилось править/разбирать и python скрипты, и ruby (привет Chef'у), и даже в Perl'ах всяких копаться (как поэтично звучит то!). Для своих мелких скриптиков предпочитаю чистый sh, в крайнем случае - bash. Их понимать и владеть хотя бы на минимальном уровне - очень полезно.

[Tyranron]

Bjornie
> Правильно ли я понимаю, что это делается так: Client -> VPN_1 -> VPN_2 -> Internet.
> allow only for VPN_1.

Ну, такую трубу никто не мешает сделать, но это уже хакерство какое-то. Не хватает в схему добавить ещё пару проксей, Tor'ов, и i2p в самом конце =)

Идея примерно следующая:
Client -> VPN_1 -> SSH_2
Client -> VPN_2 -> SSH_1
Client -> VPN_1 либо VPN_2 -> Internet

Смысл в том, чтобы ограничить доступ к управляющим ресурсам, и пускать только с определенного белого списка адресов. Это почти на корню отсекает попытки добраться к этим ресурсам всяким левым людям/хакерам/ботам.

[Bjornie]

Tyranron Благодарю за ответы на все вопросы, постепенно буду разбираться.

[demon_od]

Подскажите, если по ssh подключен к VPS, в каком порядке указывать правила iptables, если дропнуть все входящие, то удаленка отвалится...получается что нужно сначала разрешить входящие на 22-й порт и потом уже запрещать все остальное? Спаисбо..

[Tyranron]

demon_od: как правило - да. В самом конце INPUT chain у Вас стоит -j DROP, а перед ним уже вставляете ACCEPT правила. Таким образом, все что не за'ACCEPT'ится в конце-концов DROP'нется.

Answer 2

[xmoonlight]

1. На порты управления обязательно: port-knocking
2. Не нужно использовать ключи взамен пароля.
3. Нужно использовать здравый смысл, поведенческий фильтр с ограничением по подсетям. Его можно использовать как перед подключением к SSH, так и сразу после подключения (например, промежуточным логин-скриптом проверить: предоставить доступ с верным паролем или нет).

Не забывайте, что кроме пары логин-пароль и ключей, есть много других способов аутентификации.

4. port-knocking: https://www.vultr.com/docs/port-knocking-on-debian
Подключение из putty с port-knocking "из коробки":

https://putty.org.ru/

5. Также, можно поставить AppArmor (что это?) для управления доступом приложений к системе: https://wiki.debian.org/AppArmor/HowToUse

6. Защита web-сайтов от большинства видов атак (включая правила исполнения кода): sitecoder.blogspot.com/2016/05/website-protection-...

Comments

[Bjornie]

xmoonlight почитаю про это зачем это нужно.

[fpir]

О, блин, даж не знал, что PuTTY есть русифицированый

[Hatifnatt]

Это модифицированный PuTTY в "чистом" PuTTY этого всего нет, ни port-knoking ни русского языка.

Answer 3

[Владимир]

Как работник хостинг провайдера я всячески поддерживаю то что написал Tyranron
+ дополню немного субьективной сатистики по отлому впс и дедикейтед серверов
1 простые пароли и открытый доступ руту
2 не менее простые пароли и секретные вопросы для емейлов - ответы на которые можно в ВК или Фейсбуке
3 устаревший софт, в первую очередь cms в вторую все остальное

Помните безопасность впс это не только настройки впс но и безопасность(недоступность посторонним) вашего пароля(используете вы keepass или аналоги?), ссш ключа(с паролем ли он у вас?), емейла через который можно сбросить пароль для аккаунта хостинг провайдера а далее сбросить пароль или написать тикет в техподдержку. Безопасность компьютера с которого вы заходите на впс.
Включайте двух-факторную авторизацию если ее предоставляет ваш емейл провайдер и хостинг провайдер, если для обычной почты она слишком напряжна - заведите отдельный ящик для очень важных писем и там ее включите.

Answer 4

[zooks]

В случае если на сервере работает только OpenVPN, я бы не стал замарачиваться с дополнительной защитой.
А вообще да, хорошо, если вы сделаете авторизацию по ключу и/или отключите доступ для root.
Это помогает от китайских серверов долбящих по 22 порту.

Comments

[Bjornie]

zooks авторизация по ключу.
Сервер планирую не только под VPN, а для других серверов (*AMP, nginx), но это постепенно, когда освоюсь, поэтому и задал здесь этот вопрос :)

Answer 5

[Alexander Lebedev]

не подходящий дистрибутив для новичка и плагины не поддерживает новые версии, переустанови графическую оболочку ubuntu например или похожую, апармор поставь

Comments

[Bjornie]

Alexander Lebedev наверное вы ответили не в той теме.

[Alexander Lebedev]

Bjornie: Да, я прошу простить за дезинформацию, не специально!