Средства защиты сервера VPS

Защита сервера

Мы уже рассказывали про защиту виртуального сервера. Сегодня я хочу дополнить статью и рассказать об эффективных средствах защиты сервера VPS.

Server hardening — это процесс настройки сервера в целях его защиты от взлома. Например, можно защитить загрузчик GRUB паролем, чтобы не дать злоумышленнику изменить процесс загрузки, или установить такой инструмент, как ArpWatch, разработанный Национальной лабораторией им. Лоуренса в Беркли, позволяющий обнаруживать признаки ARP-спуфинга.

Если не проявлять осторожность при защите виртуального сервера VPS, то в конечном итоге его можно случайно заблокировать или слишком ограничить возможности.

Для защиты виртуального сервера, часто отключают компиляторы, это не позволит злоумышленнику скомпилировать на сервере вредоносное ПО. Но если вы будете использовать виртуальный сервер для пентеста и этичного хакинга, тогда не стоит это делать, так как вам понадобится компилятор для компиляции своих инструментов.

Центр интернет-безопасности (Center for Internet Security, CIS) предоставляет список рекомендаций по обеспечению безопасности систем, который называется CIS Benchmarks. Используйте эти рекомендации для защиты VPS-сервера и учитывайте их при аудите корпоративных систем безопасности.

Если есть проблемы с английским, тогда помогут такие инструменты, как Jshielder, debian-cis и nixarmor. Они позволяют автоматически применять многие из рекомендаций CIS к вашему серверу.

Вы можете установить инструмент JShielder следующим образом:

Перейдите в папку JShielder и запустите скрипт JShielder.sh:

Он предложит вам выбрать операционную систему, которую вы хотите защитить:

Подобные инструменты часто устанавливают средства обнаружения руткитов наподобие rkhunter или chkrootkit. Кроме того, они могут установить такие системы предотвращения вторжений, как fail2ban, которые обновляют правила вашего файрвола так, чтобы он блокировал IP-адреса после нескольких неудачных попыток аутентификации.

Многие инструменты, предназначенные для защиты сервера, используют iptables в настройке правил файрвола. Если вы хотите изменять эти правила самостоятельно, то можете использовать один из интерфейсов, разработанных для iptables. Самый лучший из них — Uncomplicated Firewall. Для установки этой утилиты используйте команду:

Установив ее, вы сможете настроить межсетевой экран, используя всего пару команд. Например, следующая команда задает блокировку всех входящих пакетов в качестве политики по умолчанию:

Затем вы можете добавить исключения. Например, мы могли бы разрешить SSH-соединения и соединения через порт 8080, чтобы позволит к серверу:

Завершив настройку правил, включите брандмауэр, выполнив команду ufw enable:

Используйте команду ufw status, чтобы просмотреть состояние межсетевого экрана и сводку его правил:

Другой полезный инструмент под названием SELinux, разработанный АНБ и компанией Red Hat, добавляет дополнительный атрибут политики файлам операционной системы. Этот атрибут в сочетании с правилами политики SELinux управляет доступом к этим файлам и их изменением. Когда процесс пытается получить доступ к файлу, SELinux проверяет атрибуты политики этого файла, чтобы выяснить, имеет ли данный процесс разрешение на доступ к нему.

Кроме того, SELinux регистрирует все заблокированные попытки получения доступа, что делает журналы этого инструмента отличным ресурсом для выявления фактов вторжений.

Выполните следующую команду, чтобы установить SELinux с политикой по умолчанию:

Когда установка завершится, активируйте SELinux и перезагрузите систему:

Помимо укрепления сервера, вам также следует включить полное шифрование диска.

Полезные ссылки:

Ban32

Хакер-самоучка, который может взломать тостер и настроить его на отправку вам утреннего приветствия в коде Морзе.

Добавить комментарий