ФорумРазработкаУстановка и администрирование ПОВебсервер → защита сервера

защита сервера

  • EDark

    Сообщения: 64 Репутация: N Группа: Кто попало

    Spritz 22 августа 2011 г. 11:11

    Замучился я с этой безопасностью :)
    сказали поставить fail2ban
    правильно сразу отказалась работать помогла статья
    _http://www.bubuntu.spb.ru/fail2ban/

    но дальше Конфигурируем для VPS openvz: ничего не понимаю, а раньше мы что конфигурировали? да и вроде все работает

    но самое главное я не знаю что нужно включать там столько настроек, включил всё, кроме ftp (ftp у меня удален)

    и вот думаю может защищать надо только ssh все остальное и не брутится?
    а почтовый сервер?
    короче я в дауне

    везде в инете останавливаются на установке и словами что работает по дефолту только для ssh для остального сами смотрите что нужно, а я знаю что нужно то?

    потом сказали нужно периодически очищать iptables - вобще аут, стоко инфы за последнии дни :) а ведь три дня назад и знать не знал про vps и администрирование…

    в чем же вопрос?
    что же конкретно и как защищать

    система debian 5 lenny 64 ispmanager superlite
    apache nginx fastcgi eaccelerator ну и куча другая твиков
    Спустя 26 сек.
    * http://www.bubuntu.spb.ru/fail2ban/
    Спустя 67 сек.
    http://www.bubuntu.spb.ru/fail2ban/
    как интересно, парсер фигово парсит ссылки)))
    Спустя 103 сек.
    пардон, прогнал
  • Ivan

    Сообщения: 1316 Репутация: N Группа: Адекваты

    Spritz 22 августа 2011 г. 12:05, спустя 54 минуты 15 секунд

    И в чем вопрос?
  • EDark

    Сообщения: 64 Репутация: N Группа: Кто попало

    Spritz 22 августа 2011 г. 12:16, спустя 10 минут 55 секунд

    да что нужно защищать от брута кроме ssh?
  • md5

    Сообщения: 11948 Репутация: N Группа: в ухо

    Spritz 22 августа 2011 г. 14:57, спустя 2 часа 41 минуту

    что открыто - то и защищать
    а лучше - закрыть нахуй, доступ по ип/ключам
    все умрут, а я изумруд
  • Ivan

    Сообщения: 1316 Репутация: N Группа: Адекваты

    Spritz 22 августа 2011 г. 16:03, спустя 1 час 6 минут 23 секунды

    Ну у меня свой метод, не блесятщий конечно, но спасает от недохакеров - тупо перебрасываешь mysql/ssh/прочее со стандартных портов на нестандартные (например с 3306 на 19981) итд
    Сервер конечно nginx, и грамотно настроенный - обычно какеров отпугивает то, что сервер nginx
    Спустя 140 сек.
    Если у тебя апач не ставь его на порты 8080 и 9000 (дефолтные порты upstream апача и fcgi) - забрось на порт выше 10000 и проксируй nginx с 80 порта
  • mario

    Сообщения: 6067 Репутация: N Группа: Джедаи

    Spritz 22 августа 2011 г. 16:54, спустя 50 минут 39 секунд

    Ivan, это пиздец как по ебанутом, лучше тупо поставить
    disallow all
    allow 80/tcp
    +ссх, у кого как.
  • phpdude

    Сообщения: 26624 Репутация: N Группа: в ухо

    Spritz 22 августа 2011 г. 17:20, спустя 25 минут 47 секунд

    мудаки) я еще выше сказал - апач вешаем на 127.0.0.1:8080 и все. даже закрывать нихуя не надо :-)

    ну а нгинкс проксирует через этот же локалхост:port
    Сапожник без сапог
  • md5

    Сообщения: 11948 Репутация: N Группа: в ухо

    Spritz 22 августа 2011 г. 17:22, спустя 2 минуты 34 секунды

    phpdude, ты, мудак, темой не ошибся? )
    все умрут, а я изумруд
  • phpdude

    Сообщения: 26624 Репутация: N Группа: в ухо

    Spritz 22 августа 2011 г. 17:23, спустя 50 секунд


    phpdude, ты, мудак, темой не ошибся? )
    и правда =)))) ну и похуй.
    Сапожник без сапог
  • Frozzeg

    Сообщения: 5641 Репутация: N Группа: Джедаи

    Spritz 22 августа 2011 г. 17:24, спустя 31 секунду

    ахаха
    You can be anything you want to be. Just turn yourself into anything you think that you could ever be.
  • EDark

    Сообщения: 64 Репутация: N Группа: Кто попало

    Spritz 23 августа 2011 г. 3:43, спустя 10 часов 19 минут 31 секунду

    :D

    насчет портов, если от недохакеров то да, но отних вобще особо парится не надо, они и брутить не смогут долго, да и влом станет

    а вот уже кулхацкер быро порты просканирует - дело одной секунды
    и все танцы с портами коту под хвост

    так же могут брутить с разных ip

    мой выбор пока остановился на fail2ban который банит ip по логам
    только я хз что там включать там десяток правил -ssh ssh-ddos pam-generic apache postfix etc

    я включил все кроме ftp (он удален) но памяти жрет и я хз мне сказали что iptables может со временем распухнуть и подтормаживать сервер, я вот думаю а с чего он будет пухнуть то? там же бан не пожизненный, потом unban или unbun тоже в iptables заносятся?

    еще я везде где мог доступ только со своего диапазона ip прописал (phpmyadmin rouncube awstat) и force SSL

    осталось понять что включать надо в fail2ban а что лишнии траты ресурсов
    и что творится с iptables

    mario по умолчанию как бы так и есть, только при связке apache nginx ispmanger порт 8080 открыт, но я его закрыл

    mysql вобще только с локальными подключениями работает

    то есть получается как раз по этим портам

    80 ALLOW Anywhere
    443 ALLOW Anywhere
    25 ALLOW Anywhere
    465 ALLOW Anywhere
    53 ALLOW Anywhere
    110 ALLOW Anywhere
    995 ALLOW Anywhere
    143 ALLOW Anywhere
    993 ALLOW Anywhere
    2442 ALLOW Anywhere

    и могут долбится а вот чтобы их защитить нужен fail2ban
  • adw0rd

    Сообщения: 22905 Репутация: N Группа: в ухо

    Spritz 23 августа 2011 г. 5:14, спустя 1 час 31 минуту 21 секунду

  • EDark

    Сообщения: 64 Репутация: N Группа: Кто попало

    Spritz 23 августа 2011 г. 7:15, спустя 2 часа 7 секунд

    adw0rd, у меня debian lenny
    там штатный фаер iptables (который я уже настроил, лишнее позакрывал, что-то только на мой ip ограничил)
    и я уже остановился на fail2ban

    кто нить юзает fail2ban?

    adw0rd, кстати а у тебя правила в фаере растут? принцип то тотже, в фаер добавляются правила типа забанен ip отбанин ip и тд
    Спустя 69 сек.
    если таких записей будет дофига то будет подтормаживать
  • adw0rd

    Сообщения: 22905 Репутация: N Группа: в ухо

    Spritz 23 августа 2011 г. 7:18, спустя 3 минуты 11 секунд

    я их чищу переодически
    adw/0
  • EDark

    Сообщения: 64 Репутация: N Группа: Кто попало

    Spritz 23 августа 2011 г. 7:18, спустя 45 секунд

    всё вопрос с iptables отпал
    записи подчищается после отбанивания, bantime главное небольшой

Пожалуйста, авторизуйтесь, чтобы написать комментарий!