ProHoster > Blog > fitantanan-draharaha > fiarovana Linux-mpizara. Inona no tokony hatao voalohany

fiarovana Linux-mpizara. Inona no tokony hatao voalohany

fiarovana Linux-mpizara. Inona no tokony hatao voalohany
Habib M'henni/Wikimedia Commons, CC BY-SA

Amin'izao fotoana izao, ny fampiakarana mpizara amin'ny fampiantranoana dia ao anatin'ny minitra vitsivitsy ary kitiho totozy vitsivitsy. Saingy avy hatrany taorian'ny fandefasana azy dia mahita ny tenany ao anaty tontolo feno fankahalana izy, satria misokatra amin'ny Internet manontolo toy ny tovovavy tsy manan-tsiny ao anaty disco rocker. Hahita izany haingana ny scanner ary hamantatra bots an'arivony voasoratsoratra mandeha ho azy izay mikaroka ny tamba-jotra mitady vulnerable sy diso. Misy zavatra vitsivitsy tokony hataonao avy hatrany aorian'ny fandefasana mba hiantohana ny fiarovana fototra.

afa-po

Mpampiasa tsy root

Ny dingana voalohany dia ny mamorona mpampiasa tsy root ho anao. Ny tanjona dia ny mpampiasa root tombontsoa tanteraka ao amin'ny rafitra, ary raha mamela azy fitantanana lavitra, dia hanao ny antsasaky ny asa ho an'ny mpijirika, mamela anarana manan-kery ho azy.

Noho izany, mila mamorona mpampiasa hafa ianao, ary esory ny fitantanana lavitra amin'ny SSH ho an'ny faka.

Ny mpampiasa vaovao dia manomboka amin'ny baiko useradd:

useradd [options] <username>

Avy eo dia asiana tenimiafina ho azy miaraka amin'ny baiko passwd:

passwd <username>

Farany, ity mpampiasa ity dia mila ampidirina ao amin'ny vondrona iray izay manan-jo hanatanteraka baiko avo lenta sudoMiankina amin'ny fizarana Linux, mety ho vondrona samihafa ireo. Ohatra, ao amin'ny CentOS ary ampiana ao amin'ny vondrona ireo mpampiasa Red Hat wheel:

usermod -aG wheel <username>

В Ubuntu nampidirina tao amin'ny vondrona izy sudo:

usermod -aG sudo <username>

Fanalahidy fa tsy tenimiafina SSH

Ny herin'ny herisetra na ny fanintonana teny miafina dia vector fanafihana mahazatra, noho izany dia tsara kokoa ny manafoana ny fanamarinana ny tenimiafina ao amin'ny SSH (Secure Shell) ary mampiasa ny fanamarinana fanalahidy.

Misy programa isan-karazany amin'ny fampiharana ny protocol SSH, toy ny lsh и dropbear, fa ny malaza indrindra dia ny OpenSSH. Fametrahana ny mpanjifa OpenSSH amin'ny Ubuntu:

sudo apt install openssh-client

Fametrahana mpizara:

sudo apt install openssh-server

Fampandehanana ny daemon SSH (sshd) ao amin'ny mpizara eo ambanin'ny Ubuntu:

sudo systemctl start sshd

Atombohy ho azy ny daemon isaky ny boot:

sudo systemctl enable sshd

Marihina fa ny ampahany amin'ny mpizara OpenSSH dia ahitana ny ampahany amin'ny mpanjifa. Izany hoe, amin’ny alalan’ny openssh-server afaka mifandray amin'ny mpizara hafa ianao. Ankoatr'izay, avy amin'ny milina mpanjifanao, azonao atao ny manomboka tonelina SSH avy amin'ny mpizara lavitra mankany amin'ny mpampiantrano antoko fahatelo, ary avy eo ny mpampiantrano antoko fahatelo dia handinika ny mpizara lavitra ho loharanon'ny fangatahana. Endri-javatra tena ilaina amin'ny fametahana ny rafitrao. Jereo ny lahatsoratra raha mila fanazavana fanampiny "Torohevitra azo ampiharina, ohatra ary tonelina SSH".

Amin'ny milina mpanjifa dia matetika tsy misy dikany ny fametrahana mpizara feno mba hisorohana ny mety hisian'ny fifandraisana lavitra amin'ny solosaina (noho ny antony fiarovana).

Noho izany, ho an'ny mpampiasa vaovao anao, mila mamorona fanalahidy SSH aloha ianao amin'ny solosaina izay hidiranao amin'ny mpizara:

ssh-keygen -t rsa

Voatahiry ao anaty rakitra ny fanalahidin'ny daholobe .pub ary toa andian-tsoratra kisendrasendra izay manomboka amin'ny ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

Avy eo, avy eo ambanin'ny fakany, mamorona lahatahiry SSH amin'ny mpizara ao amin'ny lahatahiry an-tranon'ny mpampiasa ary ampio ny fanalahidin'ny daholobe SSH amin'ny rakitra authorized_keys, mampiasa tonian-dahatsoratra toa an'i Vim:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

Farany, apetraho ny fahazoan-dàlana marina ho an'ny rakitra:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

ary ovay ny tompon'ity mpampiasa ity:

chown -R username:username /home/username/.ssh

Amin'ny lafiny mpanjifa, mila mamaritra ny toerana misy ny fanalahidy miafina ianao amin'ny fanamarinana:

ssh-add DIR_PATH/keylocation

Ankehitriny ianao dia afaka miditra amin'ny mpizara amin'ny anaran'ny mpampiasa mampiasa ity fanalahidy ity:

ssh [username]@hostname

Aorian'ny fanomezan-dàlana dia azonao atao ny mampiasa ny baiko scp handikana ny rakitra, ny utility sshfs hametahana lavitr'ezaka rafitra na lahatahiry.

Tsara ny manao kopia backup maromaro amin'ny fanalahidy manokana, satria raha esorinao ny fanamarinana ny tenimiafina ary very izany, dia tsy hanana fomba hidirana amin'ny mpizara anao mihitsy ianao.

Araka ny voalaza etsy ambony, ao amin'ny SSH dia mila manaisotra ny fanamarinana ho an'ny fakany ianao (izany no antony nanombohanay mpampiasa vaovao).

amin'ny CentOS/Red Hat tadiavo ny tsipika PermitRootLogin yes ao amin'ny rakitra config /etc/ssh/sshd_config ary ovay izany:

PermitRootLogin no

amin'ny Ubuntu ampio andalana iray PermitRootLogin no mankany amin'ny rakitra config 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

Rehefa avy nanamarina fa ny mpampiasa vaovao dia manamarina amin'ny fanalahidiny, azonao atao ny manafoana ny fanamarinana ny tenimiafina mba hanafoanana ny loza mety hitranga amin'ny fivoahan'ny tenimiafina na ny herisetra. Ankehitriny, raha te hidirana amin'ny mpizara dia mila maka lakile manokana ny mpanafika.

amin'ny CentOS/Red Hat tadiavo ny tsipika PasswordAuthentication yes ao amin'ny rakitra config /etc/ssh/sshd_config ary ovay toy izao:

PasswordAuthentication no

amin'ny Ubuntu ampio andalana iray PasswordAuthentication no mametraka 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

Ho an'ny torolalana amin'ny fampandehanana ny fanamarinana roa amin'ny alàlan'ny SSH, jereo eto.

firewall

Ny firewall dia miantoka fa ny fifamoivoizana amin'ny seranana izay avelanao mivantana ihany no mankany amin'ny mpizara. Miaro amin'ny fanararaotana ny seranan-tsambo tsy nahy miaraka amin'ny serivisy hafa izany, izay mampihena be ny fanafihan'ny fanafihana.

Alohan'ny hametrahana firewall dia mila maka antoka ianao fa tafiditra ao anatin'ny lisitry ny fanilihana ny SSH ary tsy hosakanana. Raha tsy izany, aorian'ny fanombohana ny firewall dia tsy afaka mifandray amin'ny mpizara isika.

Miaraka amin'ny fizarana Ubuntu Ho avy ny Firewall tsy sarotra (Wow), ary miaraka amin'ny CentOS/Satroka Mena — firewalld.

Mamela ny SSH hiditra ao amin'ny firewall Ubuntu:

sudo ufw allow ssh

amin'ny CentOS/Red Hat ampiasao ny baiko firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

Aorian'ity dingana ity dia afaka manomboka ny firewall ianao.

amin'ny CentOS/Red Hat manomboka ny serivisy systemd ho an'ny firewalld:

sudo systemctl start firewalld
sudo systemctl enable firewalld

amin'ny Ubuntu mampiasa ity baiko ity izahay:

sudo ufw enable

Fail2Ban

fanompoana Fail2Ban mamakafaka ny logs ao amin'ny server ary manisa ny isan'ny andrana fidirana amin'ny adiresy IP tsirairay. Ny toe-javatra dia mamaritra ny fitsipika momba ny isan'ny andrana fidirana azo avela mandritra ny elanelam-potoana iray - aorian'izay dia voasakana ity adiresy IP ity mandritra ny fe-potoana voafaritra. Ohatra, avelao ny andrana fanamarinana SSH 5 tsy nahomby tao anatin'ny 2 ora, ary sakanana mandritra ny 12 ora ny adiresy IP nomena.

Fametrahana ny Fail2Ban CentOS ary ny Red Hat:

sudo yum install fail2ban

Mandeha ny fametrahana Ubuntu и Debian:

sudo apt install fail2ban

fandefasana:

systemctl start fail2ban
systemctl enable fail2ban

Ny programa dia manana rakitra fanamafisana roa: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. Voafaritra ao amin'ny rakitra faharoa ny famerana fandrarana.

Ny fonja ho an'ny SSH dia alefa amin'ny alàlan'ny default miaraka amin'ny fanovana default (andrana 5, elanelana 10 minitra, fandrarana 10 minitra).

[DEFAULT] ignorecommand=bantime=10m findtime=10m maxretry=5

Ho fanampin'ny SSH, ny Fail2Ban dia afaka miaro ny serivisy hafa amin'ny server web nginx na Apache.

Fanavaozana fiarovana mandeha ho azy

Araka ny fantatrao dia hita tsy mitsahatra ny vulnerability vaovao amin'ny programa rehetra. Aorian'ny famoahana ny vaovao dia ampidirina ao amin'ny fonosana exploit malaza ny exploit, izay ampiasain'ny hackers sy ny zatovo fatratra rehefa mijery ny lohamilina rehetra misesy. Noho izany, tena zava-dehibe ny fametrahana fanavaozana fiarovana raha vao miseho izy ireo.

Amin'ny mpizara Ubuntu Alefa ho azy ao amin'ny fikirana ny fanavaozana fiarovana, ka tsy misy hetsika fanampiny ilaina.

amin'ny CentOSMila mametraka ny fampiharana ny Red Hat dnf-automatique ary velomy ny fameram-potoana:

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

Fanamarinana fameram-potoana:

sudo systemctl status dnf-automatic.timer

Fanovana ny seranan-tsambo mahazatra

Ny SSH dia novolavolaina tamin'ny 1995 hanoloana ny telnet (seranan-tsambo 23) sy ftp (seranan-tsambo 21), ka ny mpanoratra ny programa, Tatu Iltonen port 22 voafantina amin'ny alàlan'ny default, ary neken'ny IANA.

Mazava ho azy, fantatry ny mpanafika rehetra hoe iza amin'ny seranan-tsambo SSH no mandeha - ary diniho miaraka amin'ireo seranana manara-penitra hafa mba hahitana ny dikan'ny rindrambaiko, hijerena ny tenimiafina fototra mahazatra, sns.

Ny fiovan'ny seranan-tsambo mahazatra - obfuscation - imbetsaka dia mampihena ny habetsaky ny fifamoivoizana fako, ny haben'ny hazo sy ny enta-mavesatra eo amin'ny mpizara, ary koa mampihena ny fanafihana. Na dia misy aza manakiana an'ity fomba "fiarovana amin'ny haizina" ity. (fiarovana amin'ny tsy fahitana). Ny antony dia ity teknika ity dia mifanohitra amin'ny fototra fiarovana ara-javakanto. Noho izany, ohatra, ny US National Institute of Standards and Technology in "Torolalana fiarovana amin'ny serivisy" dia manondro ny filana rafitra mpizara misokatra: "Ny fiarovana ny rafitra dia tsy tokony hiantehitra amin'ny tsiambaratelon'ny fampiharana ireo singa ao aminy," hoy ny antontan-taratasy.

Ara-teorika, ny fanovana ny seranan-tsambo mahazatra dia mifanohitra amin'ny fampiharana ny maritrano misokatra. Saingy amin'ny fampiharana dia mihena ny habetsaky ny fifamoivoizana maloto, ka fepetra tsotra sy mahomby izany.

Ny laharan'ny seranan-tsambo dia azo amboarina amin'ny fanovana ny torolàlana Port 22 ao amin'ny rakitra config / Etc / ssh / sshd_config. Asehon'ny paramètre koa izany -p <port> в ssh. SSH mpanjifa sy programa sftp manohana ihany koa ny safidy -p <port>.

fikirana -p <port> azo ampiasaina hamaritana ny laharana seranan-tsambo rehefa mifandray amin'ny baiko ssh в Linux. The sftp и scp ny parameter dia ampiasaina -P <port> (renivohitra P). Ny toromarika andalana baiko dia manafoana ny sanda rehetra ao amin'ny rakitra fikirakirana.

Raha betsaka ny mpizara, saika ireo hetsika fiarovana rehetra ireo LinuxAzo atao mandeha ho azy ao anaty script ny mpizara. Fa raha mpizara iray ihany no misy dia tsara kokoa ny mifehy ny dingana amin'ny tanana.

Momba ny zon'ny dokam-barotra

Manaova commande ary manomboka avy hatrany! Famoronana VDS na inona na inona rafitra sy rafitra miasa ao anatin'ny iray minitra. Ny fanamafisam-peo ambony indrindra dia ahafahanao mivoaka tanteraka - 128 cores CPU, 512 GB RAM, 4000 GB NVMe. Epic 🙂

fiarovana Linux-mpizara. Inona no tokony hatao voalohany

Source: www.habr.com

Mividiana fampiantranoana azo antoka ho an'ny tranokala misy fiarovana DDoS, mpizara VPS VDS 🔥 Mividiana fampiantranoana tranonkala azo antoka miaraka amin'ny fiarovana DDoS, mpizara VPS VDS | ProHoster