Как защитить свой выделенный сервер от взлома?

Question

[admiralskiy69]

Недавно приобрёл выделенный сервер у хетзнера. Устанавливать систему и настраивать её я научился. Но как быть с безопасностью? Нужны дельные советы о том, какие порты лучше сразу закрыть, как обезопаситься от netscan абуз, и какие роли и службы лучше не ставить. Сервер будет использоваться для посещения закрытых в Украине сайтов и скачивания файлов с облака.

Поправка: на сервере установлена Windows Server R2 2012

Answer 1

[paran0id]

Базовый набор прост:
- закрываем все порты, открываем только те, которые нужны
- административый доступ - по нестандартному порту, с километровым паролем, а лучше без пароля по ключу

Остальное зависит от операционки. Ключевое слово для гуглежа - hardening: linux hardening, nginx hardening, и т.д.

Comments

[acwartz]

3. пока сервером физически владеет кто-то другой - ваши потуги бессмысленны.

[Армянское Радио]

Идею про километровый пароль не стоит транслировать. Грамотнее говорить, что любой доступ, кроме доступа по ключу следует отключить, поправив /etc/ssh/sshd_config

Потому что кроме админской учетки с длинным, якобы надежным паролем, рядом может оказаться учетка субподрядчика с паролем asd$321 и прочие прелести.

Потому что в результате ярых экспериментов кто-то сдуру может задать такой пароль учетке postgres или mysql, что автоматически сделает ее доступной для логина.

Потому что текстовый пароль может храниться в каком-то дурацком месте, особенно если речь идет о фирме (типа гуглодока с доступом по ссылке).

[paran0id]

acwartz, ведь всем известно, что AWS продаёт в даркнете доступ к клентским серверам по 5копеек/пучок.

[paran0id]

gbg, а как там в винде с /etc/ssh/sshd_config? Автор не указывал ОС.

[admiralskiy69]

paran0id, Windows Server R2 2012

Answer 2

[Drno]

У хетзнера в лк есть фаерволл. Там и закрыть весь доступ, кроме Вашего или не только IP. Ест IP должен быть фиксированным

Answer 3

[MrGroovy]

Поправка: на сервере установлена Windows Server R2 2012

Если есть возможность то я бы порекомендовал обновить вашу версию сервера, так как основная поддержка Windows Server R2 2012 прекращена в 2018 году. Если это невозможно, то необходимо установить последние патчи. Так как Windows Server R2 2012 имеет ряд проблем с переполнением памяти ядра.
Далее настраиваем файрволл, базу данных и прочие сервисы в соответствии с официальной документацией от Microsoft .

какие порты лучше сразу закрыть

Закрываем все, что не нужно для непосредственной работы сервера.

какие роли и службы лучше не ставить

Лучше не ставить "крякнутые" и устаревшие службы. Первые могут содержать вредоносный код, вторые - системные эксплойты.

Для каждой отдельной уязвимости и для каждого отдельного типа существуют различные утилиты для проверки.
Начать можно с Nmap и продолжить чтением OWASP Web Application Security Guide.

Есть специальные ресурсы, сканеры уязвимостей, которые могут проверить большинство уязвимостей на каждом из уровней.
https://metascan.ru
https: //acunetix.com/
https: //detectify.com/