Как повысить безопасность vds сервера?

Question

[TAnonim]

Доброго времени суток. Вопрос касается самой настройки сервера. У меня сервер на Ubuntu 16. Авторизация по ssh - только по ключам, без пароля; закрыт доступ для root; порт для подключения по ssh/sftp сменен; доступ по паролю закрыт; ufw фаервол работает. Что еще можно сделать, чтобы максимально повысить безопасность моего сервера? Возможно ли и сложно ли на текущем уровне безопасности взломать сервер и получить доступ к данным на нем?
Дайте, пожалуйста, советы, как свести к нулю шанс взлома.

Answer 1

[Пума Тайланд]

с учетом того что взлом практически всегда идет через приложение а не ssh защищайте его
у меня за 10 лет и тысячи серверов ни разу не подобрали сложный пароль или ключ с ssh
менять порт для ssh только неудобства себе создавать

Comments

[kajidooto]

откуда ты знаешь, что не подобрали? если пароль подобран и руткит установлен, то мало того, что его не будешь искать, так если даже и будешь, то ты его голыми руками не найдешь, потому что nstat, ps, top -- тоже будут подменены.

[kajidooto]

и, разумеется, они не будут показывать этот руткит.

[Пума Тайланд]

kajidooto: руткит нужен для другого ну и его легко найти обычным сравнением с бекапом.

[kajidooto]

Пума Тайланд: 1) бэкапом чего: данных или всей системы? в данные он не попадет. ну, ты же чем-то делаешь бэкап -- рукрит спокойно может подменить и эту утилиту, так что он сам в бэкап не попадет.

2) для чего -- другого?

[Пума Тайланд]

kajidooto:
ну глупо же делать бекапы внутри системы это какое то ребячество как и смена порта для ssh
условность защиты сложными паролями и ключами в том что я не знаю ни одного способа как их взломать, и мне кажется в паблике пока таких способов нет(да и не в паблике пока что слава богу тоже)
ну для чего для того что выгоднее на данный момент
чаще всего перебор паролей и спам , в одно время на все взломанные сервера ставили майниться биткоины, но сейчас это не особо выгодно

[kajidooto]

Пума Тайланд: а если у самого хостера -- руткит? почему смена ssh порта - ребячество? по-моему, очень хорошо отсекает большую часть ботов. если не почти всех.

[Пума Тайланд]

kajidooto: а при чем тут руткит у хостеры? Это его проблемы, на мне это никак не сказывается, вероятность подбора ключа или пароля никак не повышает

[kajidooto]

Пума Тайланд: вы что, только часть вопросов видете?

[Пума Тайланд]

kajidooto: смена ссх порта никак не увеличивает сложность перебора паролей и никак не защищает от уязвимостей

[kajidooto]

Пума Тайланд: это если новый порт найден. а если нет? бот просто больше не будет ломиться к вам на машину вообще, если вы сменили ssh порт.

[Пума Тайланд]

kajidooto: ну а если он найдет порт то что все хана? А если порт не меняли тоже хана?
Если пароль легкий меня й не меняй порт его ломанут рано или поздно, если пароль сложный его и на стандартном порту никогда не подберут

[kajidooto]

Пума Тайланд: ну я ж не говорю, что пароль надо делать слабым.

также, на нестандартном порту они хоть перестанут к тебе на сервер ломиться, потому что подумают, что ssh у тебя вооще закрыт.

а ssh на стандартном порту и даже если пароль сильный -- они ведь не знают, сильный он или нет, поэтому будут ломиться и подбирать его. и ресурсы твоего сервера тратить.

[Пума Тайланд]

kajidooto: то что они ломятся мне ничего не стоит и никак мою безопасность не понижает

[kajidooto]

Пума Тайланд: а вы -- правы.

Answer 2

[blackbeard]

Fail2ban и прочие средства защиты от брутфорса. Защита самого VDC это пол дела, важно защитить сервис, который крутится на нем.

Comments

[TAnonim]

На vds сайта как такового нет, если не считать страницы "virtual host is working". Из-за такой страницы безопасность же не снижается? :)
На нем запущен процесс-демон, это единственный сервис.
Ну а вообще сложно ли взломать такой сервер, как у меня?

[TAnonim]

Постойте, какой брутфорс? У меня же нет авторизации по паролю, только по ключам. Все равно нужен fail2ban?

[pfg21]

TAnonim: настрой фаерволл пускать в ssh порт только с "домашнего" ип-адреса.
теоритически возможен брут-форс и с перебором ключей.
От брута спасает отключение порта в ферволе после нескольких неудачных логинов на полчаса к примеру.

[TAnonim]

pfg21: а fail2ban от перебора ключей спасет?

[Дмитрий Шицков]

TAnonim: fail2ban спасёт в любой ситуации - главное чтобы приложение вело лог с неудачными попытками авторизации и IP-адресами откуда были попытки.

Answer 3

[Сергей]

Свести к нулю шанс взлома можно очень просто. Поднимаете сервер у себя дома\в офисе, отключаете интернет - профит!

А так: а) правила фаеровола должны разрешать административный доступ только админам, то есть фильтрация по ip как минимум, я бы vpn поднял для таких целей, б) fail2ban хорошая штука, в)проверка вводимых данных на сервисе.

+никогда не забывайте про резервное копирование.

Comments

[TAnonim]

То есть в фаерволе разрешить только пару IP, с которых я захожу? А вдруг они поменяются, тогда я потом не смогу зайти на свой сервер же? Я не совсем знаю, меняется ли у меня ip на компьютере, после того, как переподключаюсь к роутеру...
Тут дело даже не в угрозе потери информации, а в том, чтобы никому мои скрипты не попали в руки.

[Сергей]

У меня везде статические ip, поэтому такая рекомендация, можно разрешить ip-range провайдера.
Был бы веб-сервер, порекомендовал бы двойню авторизацию.

То что можно прочитать - можно скопировать. Поэтому стройте модель нарушителя и исходя из этого защищайтесь.

Answer 4

[Host-Eiweb]

Возможно ли и сложно ли на текущем уровне безопасности взломать сервер и получить доступ к данным на нем?

Смотря кого озадачить. Зависит от уровня того или иного специалиста.
Попросите протестировать Ваш сервер на этом форуме. Получите детальный разбор, возможно с дальнейшими рекомендациями.

Comments

[TAnonim]

Спасибо за ответ! Никогда не был на том форуме, это платные услуги? И безопасно ли просить тестировать свой рабочий основной сервер, на котором важный сервис работает?

[Host-Eiweb]

Никогда не был на том форуме, это платные услуги?

Любая работа должна оплачиваться.

И безопасно ли просить тестировать свой рабочий основной сервер, на котором важный сервис работает?

Думаю Вы сами знаете ответ на этот вопрос.

[TAnonim]

Host-Eiweb: "попросите" немного сбило с толку, поэтому спросил.
Если бы знал, то не спрашивал бы. Просто интересуюсь, может ли этичный хакинг перерасти в неэтичный. Ведь тому, кто тестирует сервер на проникновение, в случае успеха, ничего не стоит скопировать мои скрипты.

[Host-Eiweb]

TAnonim: Вот Вы и сами ответили на свой вопрос. В данном случае (если это удаленно) только по рекомендации или выполнить работы самостоятельно. Так же Вы можете воспользоваться услугами профильных компаний, их достаточно много.

Answer 5

[st0ner]

Советую ознакомиться с этим: https://xakep.ru/2014/10/02/paranoid-linuxoid/
Так же настроить или заблокировать dns, тк любят китайцы эти порты.
Порты, которые смотрят наружу лучше менять, потому что стандартные порты на автомате китайцы брутфорсят, а это лишний трафик и нагрузка.

Можешь развернуть сурикату на сервере, чтобы наглядно видеть поступающий трафик на сервер.

Answer 6

[serf]

Максимально? Нанять максимально толкового админа.