защита сервера

Страницы: ← Следующая страница →

EDark

Сообщения: 64 Репутация: N Группа: Кто попало

22 августа 2011 г. 19:11

Замучился я с этой безопасностью :)
сказали поставить fail2ban
правильно сразу отказалась работать помогла статья
_http://www.bubuntu.spb.ru/fail2ban/

но дальше Конфигурируем для VPS openvz: ничего не понимаю, а раньше мы что конфигурировали? да и вроде все работает

но самое главное я не знаю что нужно включать там столько настроек, включил всё, кроме ftp (ftp у меня удален)

и вот думаю может защищать надо только ssh все остальное и не брутится?
а почтовый сервер?
короче я в дауне

везде в инете останавливаются на установке и словами что работает по дефолту только для ssh для остального сами смотрите что нужно, а я знаю что нужно то?

потом сказали нужно периодически очищать iptables - вобще аут, стоко инфы за последнии дни :) а ведь три дня назад и знать не знал про vps и администрирование…

в чем же вопрос?
что же конкретно и как защищать

система debian 5 lenny 64 ispmanager superlite
apache nginx fastcgi eaccelerator ну и куча другая твиков
Спустя 26 сек.
* http://www.bubuntu.spb.ru/fail2ban/
Спустя 67 сек.
http://www.bubuntu.spb.ru/fail2ban/
как интересно, парсер фигово парсит ссылки)))
Спустя 103 сек.
пардон, прогнал
Ivan

Сообщения: 1316 Репутация: N Группа: Адекваты

22 августа 2011 г. 20:05, спустя 54 минуты 15 секунд

И в чем вопрос?
EDark

Сообщения: 64 Репутация: N Группа: Кто попало

22 августа 2011 г. 20:16, спустя 10 минут 55 секунд

да что нужно защищать от брута кроме ssh?
md5

Сообщения: 11960 Репутация: N Группа: в ухо

22 августа 2011 г. 22:57, спустя 2 часа 41 минуту

что открыто - то и защищать
а лучше - закрыть нахуй, доступ по ип/ключам

все умрут, а я изумруд
Ivan

Сообщения: 1316 Репутация: N Группа: Адекваты

23 августа 2011 г. 0:03, спустя 1 час 6 минут 23 секунды

Ну у меня свой метод, не блесятщий конечно, но спасает от недохакеров - тупо перебрасываешь mysql/ssh/прочее со стандартных портов на нестандартные (например с 3306 на 19981) итд
Сервер конечно nginx, и грамотно настроенный - обычно какеров отпугивает то, что сервер nginx
Спустя 140 сек.
Если у тебя апач не ставь его на порты 8080 и 9000 (дефолтные порты upstream апача и fcgi) - забрось на порт выше 10000 и проксируй nginx с 80 порта
mario

Сообщения: 6067 Репутация: N Группа: Джедаи

23 августа 2011 г. 0:54, спустя 50 минут 39 секунд

Ivan, это пиздец как по ебанутом, лучше тупо поставить
disallow all
allow 80/tcp
+ссх, у кого как.
phpdude

Сообщения: 26646 Репутация: N Группа: в ухо

23 августа 2011 г. 1:20, спустя 25 минут 47 секунд

мудаки) я еще выше сказал - апач вешаем на 127.0.0.1:8080 и все. даже закрывать нихуя не надо :-)

ну а нгинкс проксирует через этот же локалхост:port

Сапожник без сапог
md5

Сообщения: 11960 Репутация: N Группа: в ухо

23 августа 2011 г. 1:22, спустя 2 минуты 34 секунды

phpdude, ты, мудак, темой не ошибся? )

все умрут, а я изумруд
phpdude

Сообщения: 26646 Репутация: N Группа: в ухо

23 августа 2011 г. 1:23, спустя 50 секунд

phpdude, ты, мудак, темой не ошибся? )
и правда =)))) ну и похуй.

Сапожник без сапог
Frozzeg

Сообщения: 5641 Репутация: N Группа: Джедаи

23 августа 2011 г. 1:24, спустя 31 секунду

ахаха

You can be anything you want to be. Just turn yourself into anything you think that you could ever be.
EDark

Сообщения: 64 Репутация: N Группа: Кто попало

23 августа 2011 г. 11:43, спустя 10 часов 19 минут 31 секунду

:D

насчет портов, если от недохакеров то да, но отних вобще особо парится не надо, они и брутить не смогут долго, да и влом станет

а вот уже кулхацкер быро порты просканирует - дело одной секунды
и все танцы с портами коту под хвост

так же могут брутить с разных ip

мой выбор пока остановился на fail2ban который банит ip по логам
только я хз что там включать там десяток правил -ssh ssh-ddos pam-generic apache postfix etc

я включил все кроме ftp (он удален) но памяти жрет и я хз мне сказали что iptables может со временем распухнуть и подтормаживать сервер, я вот думаю а с чего он будет пухнуть то? там же бан не пожизненный, потом unban или unbun тоже в iptables заносятся?

еще я везде где мог доступ только со своего диапазона ip прописал (phpmyadmin rouncube awstat) и force SSL

осталось понять что включать надо в fail2ban а что лишнии траты ресурсов
и что творится с iptables

mario по умолчанию как бы так и есть, только при связке apache nginx ispmanger порт 8080 открыт, но я его закрыл

mysql вобще только с локальными подключениями работает

то есть получается как раз по этим портам

80 ALLOW Anywhere
443 ALLOW Anywhere
25 ALLOW Anywhere
465 ALLOW Anywhere
53 ALLOW Anywhere
110 ALLOW Anywhere
995 ALLOW Anywhere
143 ALLOW Anywhere
993 ALLOW Anywhere
2442 ALLOW Anywhere

и могут долбится а вот чтобы их защитить нужен fail2ban
adw0rd

Сообщения: 22959 Репутация: N Группа: в ухо

23 августа 2011 г. 13:14, спустя 1 час 31 минуту 21 секунду

http://adw0rd.ru/2010/first-measures-security-freebsd/
Спустя 37 сек.
http://adw0rd.ru/2009/denyhosts/
Спустя 6 сек.
http://adw0rd.ru/2009/http-ddos-and-ipfw/

https://smappi.org/ - платформа по созданию API на все случаи жизни
EDark

Сообщения: 64 Репутация: N Группа: Кто попало

23 августа 2011 г. 15:15, спустя 2 часа 7 секунд

adw0rd, у меня debian lenny
там штатный фаер iptables (который я уже настроил, лишнее позакрывал, что-то только на мой ip ограничил)
и я уже остановился на fail2ban

кто нить юзает fail2ban?

adw0rd, кстати а у тебя правила в фаере растут? принцип то тотже, в фаер добавляются правила типа забанен ip отбанин ip и тд
Спустя 69 сек.
если таких записей будет дофига то будет подтормаживать
adw0rd

Сообщения: 22959 Репутация: N Группа: в ухо

23 августа 2011 г. 15:18, спустя 3 минуты 11 секунд

я их чищу переодически

https://smappi.org/ - платформа по созданию API на все случаи жизни
EDark

Сообщения: 64 Репутация: N Группа: Кто попало

23 августа 2011 г. 15:18, спустя 45 секунд

всё вопрос с iptables отпал
записи подчищается после отбанивания, bantime главное небольшой

Страницы: ← Следующая страница →

Пожалуйста, авторизуйтесь, чтобы написать комментарий!

защита сервера

Войти