Какие сетевые меры предосторожности надо принять после установки Debian на VPS?

Question

[Aligatro]

Добрый вечер, друзья. Скажите пожалуйста, какие меры предосторожности стоило бы принять после приобретения vps?
Пока что собираюсь сделать следующее: сменить порт ssh, обновить установленные пакеты, выполнить проверку на наличие руткитов, закрыть или повесить за farewall ненужные порты.

Так как опыт общения с linux подобными системами у меня менее 2 дней, то хотелось бы узнать какие процессы держат: 995, 993, 110, 143, 59938, 111 порты и можно ли их безболезненно закрыть или перенаправить в локалку? К тому же поясните пожалуйста зачем почтовому демону exim4 аж целых 4 порта и можно ли пустить почту только через 1?



Да и в целом, хотелось бы на будущее знать какие меры безопасности стоит предпринимать в самом начале и чего следует опасаться.

P.s тему по поводу защиты гуглил, статьи нашёл, но во всех описываются пункты которые я и так уже себе пометил. В целом меня больше интересует вопрос с портами.

Большое спасибо за ответы и участие. Да прибудет с вами сила =)

Answer 1

[Vladimir T]

Ознакомтесь с ответами отсуда

Answer 2

[Ltonid]

Самое простое это разрешить ssh только по ключу.
Exim по умолчанию работает с pop/pops, imap/imaps, smtp/smtps это 6 портов, по одному на каждый протокол. Обычно минимум можно два сделать на прием и отправку соответственно. Какие решайте сами.

Сервера взламывают через их сервисы, сервисы открывают порты чтобы работать, вы не сможете закрыть порты работающих сервисов. Вам необходимо поддерживать их в актуальном состоянии, настроить систему безопасности.

И вообще, если вы настроите работу всего общедоступного из вне без рут прав, то можете спать спокойно, ну и бэкапы конечно.

Учитывая, что на скриншоте я вижу слово apache вы направили ваши силы по устройству безопасности явно не туда.

Comments

[Sanes]

При чем тут апач? Если вас смущает, что от торчит наружу, то это вопрос не к апачу.

[Erelecano Oioraen]

> Exim по умолчанию работает с pop/pops, imap/imaps

Завязывайте с тяжелыми наркотиками. Exim — smtp-сервер.

Answer 3

[7365656c65]

+ к указанному выше - порт сменить, поставить/настроить denyhosts, а еще лучше ssh в "port knocking", в идеале еще сменить учетную запись суперадминистратора(тут от VPS зависит).

Comments

[Erelecano Oioraen]

Порт не менять, прекратите засовывать голову в песок.
Авторизация только по ключам достаточна для безопасности ssh. Не придумывайте глупостей с портами. Выкиньте denyhosts, есть fail2ban, но при авторайзе по ключам и в нем нет особой необходимости для ssh, зато его можно применить к другим сервисам.

[Сергей]

Erelecano Oioraen: порты меняются от наших братьев китайцев. которые их сканят с интервалом в пять минут. а не для того чтоб убрать полностью ). хотя проще port knocking реализовать

[Пума Тайланд]

Это вообще никак не повысит безопасность ssh , лучше уж длинный рса для доступа

[7365656c65]

Erelecano Oioraen: Я параноик, мне можно! За fail2ban - спасибо, подкинули дровишек)

[Erelecano Oioraen]

Сергей: ну сканят и? Они и на нестандартных портах сканят. Ничего не изменится. Авторизация по ключу полностью исключает подбор и дальше хоть ты обсканируйся.

[Erelecano Oioraen]

7365656c65: fail2ban прекрасен тем, что он не только под глупые случаи попыток подбора пароля по ssh подходит, а под любые логи. Я им у одного из клиентов прекрасно банил по некоторым регекспам тех кто пытался вызвать отказ в обслуживании майнкрафт-сервера, например, да и с nginx'ом в связке он дает хорошие результаты от L7-DDoS.

[Сергей]

Erelecano Oioraen: батенько. если у вас один сервак и логи размером на лист а4 ... то вам абсолютно насрать что у вас в эти самые логи сыпется и в каком количестве! а если сотня???? нестандартный порт снимает часть проблемы. так как до него еще нужно добраться. а уже на пятом (к примеру) порту сканирующего можно смело отправлять его в бан! добавим сюда ограничение ip-доступа по странам и вообще получается нифтяк. fail2ban вас не спасет от ботнет системы. они будут ломиться с тысяч адресов. и ваш роутер будет умирать от попыток разобраться что если хорошо, а что уже плохо. port knocking в разы более надежен

[Сергей]

Erelecano Oioraen: другое дело что вы можете по.истически относиться к логам. думая что вы за яцца поймали бога. но жизнь показывает что бессмертных не бывает в нашем деле и наказание последует. это тупо вопрос времени)

[Erelecano Oioraen]

Сергей: ох уж мне эти горе-специалисты админящие мамкин комп. Еще раз для идиотов: использования ключа достаточно. Переносить порты — security by obscurity и потому не нужно. Слушайте, вы админите два дня мамкин комп, а я 20 лет большое количество серверов. Если вы не научитесь читать старших коллег, то так и будете мамкин комп админить всю жизнь

[Сергей]

Erelecano Oioraen: использования ключа достаточно до того момента как очередную закладочку, в не столь отдаленных местах, не пустят по кругу. я ж говорю вы привыкли мнить что яйца у вас и жизнь хороша. это до определенного момента. а люди с логами работают ). и вы сейчас полмира тупыми назвали изза этого

[Сергей]

Erelecano Oioraen: если у вас .. кроме ваших умозаключний ... есть реальные опубликованные работы в этой области ... я с удовольствием их почитаю. а .издабольство к делу не пришьешь.

[7365656c65]

Сергей: Erelecano Oioraen: эй-эй, ребята не ругайтесь! Тут сколько экспертов, столько и мнений, правда у каждого своя. У меня только 2 VPSа, для личных нужд, но порты я скрываю т.к. имею неприятный опыт с "кулхацкерами"(оставил один сервак на 3 месяца на дефаултах сразу после инстала, так получилось в жизни, а потом посмотрел логи... ) + отзывы от пенттестеров, типа "сканеры портов сразу метят 22 порт как ssh, если его кидаешь просто на другой порт - то просто метят как tcp, а если ставить в простукивание, то еще лучше" и чем меньше инфы даешь потенциальному злоумышленнику о своем серваке - тем лучше! ... А fail2ban оч. интересная штука, как-то я ее пропустил...

Answer 4

[Пума Тайланд]

еще можно удалить весту цп
ну как решето