Habib M'henni/Wikimedia Commons, CC BY-SA

დღესდღეობით, სერვერის ამაღლება ჰოსტინგზე რამდენიმე წუთის და მაუსის რამდენიმე დაწკაპუნების საკითხია. მაგრამ გაშვებისთანავე ის აღმოჩნდება მტრულ გარემოში, რადგან ის ღიაა მთელი ინტერნეტისთვის, როგორც უდანაშაულო გოგონა როკერ დისკოთეკაში. სკანერები სწრაფად იპოვიან მას და აღმოაჩენენ ათასობით ავტომატურად დაწერილ ბოტს, რომლებიც ასუფთავებენ ქსელს და ეძებენ დაუცველობას და არასწორ კონფიგურაციას. არსებობს რამდენიმე რამ, რაც უნდა გააკეთოთ გაშვებისთანავე, ძირითადი დაცვის უზრუნველსაყოფად.

ინფორმაციის

• არა root მომხმარებელი
• გასაღებები SSH პაროლების ნაცვლად
• Firewall
• Fail2Ban
• უსაფრთხოების ავტომატური განახლებები
• ნაგულისხმევი პორტების შეცვლა

არა root მომხმარებელი

პირველი ნაბიჯი არის საკუთარი თავისთვის არა-root მომხმარებლის შექმნა. საქმე იმაშია, რომ მომხმარებელი root სისტემაში აბსოლუტური პრივილეგიები და თუ მას დისტანციურ ადმინისტრირებას მისცემთ, მაშინ ჰაკერისთვის ნახევარ სამუშაოს შეასრულებთ და მისთვის მოქმედ მომხმარებლის სახელს დაუტოვებთ.

ამიტომ, თქვენ უნდა შექმნათ სხვა მომხმარებელი და გამორთოთ დისტანციური ადმინისტრირება SSH-ის მეშვეობით root-ისთვის.

ახალი მომხმარებელი იწყება ბრძანებით useradd:

useradd [options] <username>

შემდეგ მას ემატება პაროლი ბრძანებით passwd:

passwd <username>

და ბოლოს, ეს მომხმარებელი უნდა დაემატოს ჯგუფს, რომელსაც აქვს უფლება შეასრულოს ამაღლებული ბრძანებები sudo. Linux-ის განაწილებიდან გამომდინარე, ეს შეიძლება იყოს სხვადასხვა ჯგუფები. მაგალითად, CentOS-სა და Red Hat-ში მომხმარებელი ემატება ჯგუფს wheel:

usermod -aG wheel <username>

Ubuntu-ში ის ემატება ჯგუფს sudo:

usermod -aG sudo <username>

გასაღებები SSH პაროლების ნაცვლად

უხეში ძალის ან პაროლის გაჟონვა არის სტანდარტული თავდასხმის ვექტორი, ამიტომ უმჯობესია გამორთოთ პაროლის ავტორიზაცია SSH-ში (Secure Shell) და ამის ნაცვლად გამოიყენოთ გასაღების ავთენტიფიკაცია.

არსებობს SSH პროტოკოლის დანერგვის სხვადასხვა პროგრამა, მაგ ლშშ и წვეთიანი, მაგრამ ყველაზე პოპულარულია OpenSSH. OpenSSH კლიენტის ინსტალაცია Ubuntu-ზე:

sudo apt install openssh-client

სერვერის ინსტალაცია:

sudo apt install openssh-server

SSH დემონის (sshd) დაწყება Ubuntu სერვერზე:

sudo systemctl start sshd

ავტომატურად დაიწყეთ დემონი ყოველ ჩატვირთვაზე:

sudo systemctl enable sshd

უნდა აღინიშნოს, რომ OpenSSH-ის სერვერის ნაწილი მოიცავს კლიენტის ნაწილს. ანუ მეშვეობით openssh-server შეგიძლიათ დაუკავშირდეთ სხვა სერვერებს. უფრო მეტიც, თქვენი კლიენტის აპარატიდან შეგიძლიათ დაიწყოთ SSH გვირაბი დისტანციური სერვერიდან მესამე მხარის ჰოსტში, შემდეგ კი მესამე მხარის ჰოსტი განიხილავს დისტანციურ სერვერს მოთხოვნის წყაროდ. ძალიან მოსახერხებელი ფუნქცია თქვენი სისტემის დასაფარად. იხილეთ სტატია დეტალებისთვის "პრაქტიკული რჩევები, მაგალითები და SSH გვირაბები".

კლიენტის აპარატზე, როგორც წესი, აზრი არ აქვს სრულფასოვანი სერვერის დაყენებას, რათა თავიდან აიცილოს კომპიუტერთან დისტანციური კავშირის შესაძლებლობა (უსაფრთხოების მიზნით).

ასე რომ, თქვენი ახალი მომხმარებლისთვის, თქვენ ჯერ უნდა შექმნათ SSH კლავიშები კომპიუტერზე, საიდანაც შეხვალთ სერვერზე:

ssh-keygen -t rsa

საჯარო გასაღები ინახება ფაილში .pub და ჰგავს შემთხვევითი სიმბოლოების სტრიქონს, რომელიც იწყება ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

შემდეგ, root-დან, შექმენით SSH დირექტორია სერვერზე მომხმარებლის სახლის დირექტორიაში და დაამატეთ SSH საჯარო გასაღები ფაილს. authorized_keysტექსტური რედაქტორის გამოყენებით, როგორიცაა Vim:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

დაბოლოს, დააყენეთ სწორი ნებართვები ფაილისთვის:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

და შეცვალეთ მფლობელობა ამ მომხმარებლისთვის:

chown -R username:username /home/username/.ssh

კლიენტის მხარეს, თქვენ უნდა მიუთითოთ საიდუმლო გასაღების მდებარეობა ავთენტიფიკაციისთვის:

ssh-add DIR_PATH/keylocation

ახლა თქვენ შეგიძლიათ შეხვიდეთ სერვერზე მომხმარებლის სახელით ამ გასაღების გამოყენებით:

ssh [username]@hostname

ავტორიზაციის შემდეგ, შეგიძლიათ გამოიყენოთ scp ბრძანება ფაილების, კომუნალური პროგრამის დასაკოპირებლად სშფს ფაილური სისტემის ან დირექტორიების დისტანციურად დასამონტაჟებლად.

მიზანშეწონილია პირადი გასაღების რამდენიმე სარეზერვო ასლის გაკეთება, რადგან თუ გამორთავთ პაროლის ავტორიზაციას და დაკარგავთ მას, მაშინ საერთოდ არ გექნებათ საშუალება შეხვიდეთ საკუთარ სერვერზე.

როგორც ზემოთ აღინიშნა, SSH-ში თქვენ უნდა გამორთოთ ავტორიზაცია root-ისთვის (ეს არის მიზეზი, რის გამოც ჩვენ დავიწყეთ ახალი მომხმარებელი).

CentOS/Red Hat-ზე ვპოულობთ ხაზს PermitRootLogin yes კონფიგურაციის ფაილში /etc/ssh/sshd_config და შეცვალეთ:

PermitRootLogin no

Ubuntu-ზე დაამატეთ ხაზი PermitRootLogin no კონფიგურაციის ფაილზე 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

დადასტურების შემდეგ, რომ ახალი მომხმარებელი ამოწმებს თავისი გასაღებით, შეგიძლიათ გამორთოთ პაროლის ავტორიზაცია, რათა თავიდან აიცილოთ პაროლის გაჟონვის ან უხეში ძალის რისკი. ახლა, სერვერზე წვდომისთვის, თავდამსხმელს დასჭირდება პირადი გასაღების მიღება.

CentOS/Red Hat-ზე ვპოულობთ ხაზს PasswordAuthentication yes კონფიგურაციის ფაილში /etc/ssh/sshd_config და შეცვალეთ ასე:

PasswordAuthentication no

Ubuntu-ზე დაამატეთ ხაზი PasswordAuthentication no შეიტანოს 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

SSH-ის საშუალებით ორფაქტორიანი ავთენტიფიკაციის ჩართვის ინსტრუქციებისთვის იხ აქ.

Firewall

Firewall უზრუნველყოფს, რომ მხოლოდ პორტების ტრაფიკი, რომელსაც თქვენ პირდაპირ დაუშვებთ, გადადის სერვერზე. ეს იცავს პორტების ექსპლუატაციისგან, რომლებიც შემთხვევით ჩართულია სხვა სერვისებთან, რაც მნიშვნელოვნად ამცირებს თავდასხმის ზედაპირს.

Firewall-ის დაყენებამდე უნდა დარწმუნდეთ, რომ SSH შედის გამორიცხვის სიაში და არ დაიბლოკება. წინააღმდეგ შემთხვევაში, firewall-ის გაშვების შემდეგ, ჩვენ ვერ შევძლებთ სერვერთან დაკავშირებას.

Ubuntu დისტრიბუციას გააჩნია გაურთულებელი Firewall (უფვ) და CentOS/Red Hat-ით - ცეცხლოვანი სამყარო.

SSH-ის დაშვება უბუნტუს ბუხარში:

sudo ufw allow ssh

CentOS/Red Hat-ზე გამოიყენეთ ბრძანება firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

ამ პროცედურის შემდეგ, შეგიძლიათ დაიწყოთ firewall.

CentOS/Red Hat-ზე დაიწყეთ სისტემური სერვისი firewalld-ისთვის:

sudo systemctl start firewalld
sudo systemctl enable firewalld

Ubuntu-ზე ვიყენებთ შემდეგ ბრძანებას:

sudo ufw enable

Fail2Ban

სამსახურის Fail2Ban აანალიზებს ლოგებს სერვერზე და ითვლის წვდომის მცდელობების რაოდენობას თითოეული IP მისამართიდან. პარამეტრები განსაზღვრავს წესებს, თუ რამდენი წვდომის მცდელობაა დაშვებული გარკვეული ინტერვალით - რის შემდეგაც ეს IP მისამართი იბლოკება განსაზღვრული პერიოდის განმავლობაში. მაგალითად, დავუშვათ 5 წარუმატებელი SSH ავთენტიფიკაციის მცდელობა 2 საათის განმავლობაში, შემდეგ დავბლოკოთ მოცემული IP მისამართი 12 საათის განმავლობაში.

Fail2Ban-ის დაყენება CentOS-სა და Red Hat-ზე:

sudo yum install fail2ban

ინსტალაცია Ubuntu-სა და Debian-ზე:

sudo apt install fail2ban

გაშვება:

systemctl start fail2ban
systemctl enable fail2ban

პროგრამას აქვს ორი კონფიგურაციის ფაილი: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. აკრძალვის შეზღუდვები მითითებულია მეორე ფაილში.

Jail for SSH ჩართულია ნაგულისხმევად ნაგულისხმევი პარამეტრებით (5 მცდელობა, ინტერვალი 10 წუთი, აკრძალვა 10 წუთი).

[DEFAULT] ignorecommand=bantime=10m findtime=10m maxretry=5

SSH-ის გარდა, Fail2Ban-ს შეუძლია დაიცვას სხვა სერვისები nginx ან Apache ვებ სერვერზე.

უსაფრთხოების ავტომატური განახლებები

მოგეხსენებათ, ყველა პროგრამაში მუდმივად გვხვდება ახალი დაუცველობა. ინფორმაციის გამოქვეყნების შემდეგ, ექსპლოიტები ემატება პოპულარულ ექსპლოიტის პაკეტებს, რომლებსაც მასიურად იყენებენ ჰაკერები და თინეიჯერები ყველა სერვერის ზედიზედ სკანირებისას. ამიტომ, ძალიან მნიშვნელოვანია უსაფრთხოების განახლებების დაყენება, როგორც კი ისინი გამოჩნდება.

Ubuntu სერვერზე უსაფრთხოების ავტომატური განახლებები ჩართულია ნაგულისხმევად, ამიტომ შემდგომი ქმედება არ არის საჭირო.

CentOS/Red Hat-ზე თქვენ უნდა დააინსტალიროთ აპლიკაცია dnf-ავტომატური და ჩართეთ ტაიმერი:

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

ტაიმერის შემოწმება:

sudo systemctl status dnf-automatic.timer

ნაგულისხმევი პორტების შეცვლა

SSH შეიქმნა 1995 წელს, რათა შეცვალოს telnet (პორტი 23) და ftp (პორტი 21), ასე რომ, პროგრამის ავტორი ტატუ ილტონენი ნაგულისხმევად არჩეული პორტი 22, და დამტკიცებულია IANA-ს მიერ.

ბუნებრივია, ყველა თავდამსხმელმა იცის რომელ პორტზე მუშაობს SSH - და დაასკანირებს მას დანარჩენ სტანდარტულ პორტებთან ერთად პროგრამული უზრუნველყოფის ვერსიის გასარკვევად, სტანდარტული root პაროლების შესამოწმებლად და ა.შ.

სტანდარტული პორტების შეცვლა - დაბნელება - რამდენჯერმე ამცირებს ნაგვის ტრაფიკის რაოდენობას, ლოგების ზომას და დატვირთვას სერვერზე, ასევე ამცირებს თავდასხმის ზედაპირს. მიუხედავად იმისა, რომ ზოგიერთი აკრიტიკებენ ამ მეთოდს „ბუნდოვანებისგან დაცვას“ (უსაფრთხოება გაურკვევლობის მეშვეობით). მიზეზი ის არის, რომ ეს ტექნიკა ეწინააღმდეგება ფუნდამენტურს არქიტექტურული დაცვა. ამიტომ, მაგალითად, აშშ-ს სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტი ქ "სერვერის უსაფრთხოების სახელმძღვანელო" მიუთითებს ღია სერვერის არქიტექტურის საჭიროებაზე: „სისტემის უსაფრთხოება არ უნდა ეყრდნობოდეს მისი კომპონენტების განხორციელების საიდუმლოებას“, - ნათქვამია დოკუმენტში.

თეორიულად, ნაგულისხმევი პორტების შეცვლა ეწინააღმდეგება ღია არქიტექტურის პრაქტიკას. მაგრამ პრაქტიკაში, მავნე ტრაფიკის რაოდენობა რეალურად მცირდება, ამიტომ ეს მარტივი და ეფექტური ღონისძიებაა.

პორტის ნომრის კონფიგურაცია შესაძლებელია დირექტივის შეცვლით Port 22 კონფიგურაციის ფაილში / etc / ssh / sshd_config. ის ასევე მითითებულია პარამეტრით -p <port> в სშდ. SSH კლიენტი და პროგრამები sftp ასევე მხარი დაუჭირეთ ვარიანტს -p <port>.

პარამეტრის -p <port> შეიძლება გამოყენებულ იქნას პორტის ნომრის დასაზუსტებლად ბრძანებასთან დაკავშირებისას ssh ლინუქსში. IN sftp и scp პარამეტრი გამოიყენება -P <port> (კაპიტალი P). ბრძანების ხაზის ინსტრუქცია უგულებელყოფს ნებისმიერ მნიშვნელობას კონფიგურაციის ფაილებში.

თუ ბევრი სერვერია, Linux სერვერის დასაცავად თითქმის ყველა ეს მოქმედება შეიძლება ავტომატიზირებული იყოს სკრიპტში. მაგრამ თუ მხოლოდ ერთი სერვერია, მაშინ უმჯობესია პროცესი ხელით გააკონტროლოთ.

რეკლამის უფლებების შესახებ

შეუკვეთეთ და დაიწყეთ დაუყოვნებლივ! VDS-ის შექმნა ნებისმიერი კონფიგურაცია და ნებისმიერი ოპერაციული სისტემა წუთში. მაქსიმალური კონფიგურაცია საშუალებას მოგცემთ სრულად გამოიყენოთ - 128 CPU ბირთვი, 512 GB ოპერატიული მეხსიერება, 4000 GB NVMe. ეპიკური 🙂

წყარო: www.habr.com