Защита сервера. Кто что делает?

latteo написал(а):
nmap редко запускают на скан всех портов - это уже больше похоже на преднамеренную атаку конкретного сервера, а при таком подходе fail2ban уже не поможет, хоть и ослабит.
А вот сканы на стандартные порты и с простыми паролями типа admin/qwerty от школьников прелетают ежедневно. И здесь решение со сменой порта вполне разумно.
Нажмите для раскрытия...
Перед атакой всегда идет изучение жертвы, иначе это не атака и это делают даже школьники. fail2ban поможет и от брутфорса тоже, практика показывает, что именно fail2ban спокойно отбивает школоту, например, 3 попытки авторизации и бан ip часиков 3-5.
а вариант со сменой порта ssh и "редко используют nmap" мне напоминает смену названия той или иной папки/директории, например admin на admin 123qwerty в популярной cms-ке и указание названия в robots.txt этой самой директории, дабы роботы не индексировали.
Но есть и еще один вариант, это авторизация ssh по ключу.
 
Yarius написал(а):
Перед атакой всегда идет изучение жертвы, иначе это не атака и это делают даже школьники. fail2ban поможет и от брутфорса тоже, практика показывает, что именно fail2ban спокойно отбивает школоту, например, 3 попытки авторизации и бан ip часиков 3-5.
а вариант со сменой порта ssh и "редко используют nmap" мне напоминает смену названия той или иной папки/директории, например admin на admin 123qwerty в популярной cms-ке и указание названия в robots.txt этой самой директории, дабы роботы не индексировали.
Но есть и еще один вариант, это авторизация ssh по ключу.
Нажмите для раскрытия...
Если атака целенаправленная на Вас, то да. Если решили сломать именно Ваш сервис или сайт, то и подход будет более тщательный. 99,9% всех "атак" это скрипт-кидди балуется и они отшиваются банальным переносом порта на нестандартный. А fail2ban для них как серпом по яйцам ))). Сколько то лет назад начинал изучать freebsd, ну и выставил его в инет с открытым портом ssh в инет. Через пару дней в логах такая вакханалия творилась! Настроил авторизацию по ключу - уже веселее, но лог растёт от записей о неудачных попытках подключения. Перенёс порт на рандомный и тишина (про fail2ban я тогда не знал).
 
alex309 написал(а):
Если атака целенаправленная на Вас, то да. Если решили сломать именно Ваш сервис или сайт, то и подход будет более тщательный. 99,9% всех "атак" это скрипт-кидди балуется и они отшиваются банальным переносом порта на нестандартный. А fail2ban для них как серпом по яйцам ))). Сколько то лет назад начинал изучать freebsd, ну и выставил его в инет с открытым портом ssh в инет. Через пару дней в логах такая вакханалия творилась! Настроил авторизацию по ключу - уже веселее, но лог растёт от записей о неудачных попытках подключения. Перенёс порт на рандомный и тишина (про fail2ban я тогда не знал).
Нажмите для раскрытия...
люблю такое, когда приводят свой пример и на этом одном, частном случае делают вывод обо всем явлении. у меня всё.
по теме, тс, будут вопросы, задавай постараемся ответить, одними рекомендациями и советами такой вопрос не решить.
 
Yarius написал(а):
люблю такое, когда приводят свой пример и на этом одном, частном случае делают вывод обо всем явлении. у меня всё.
по теме, тс, будут вопросы, задавай постараемся ответить, одними рекомендациями и советами такой вопрос не решить.
Нажмите для раскрытия...
А кто Вам сказал, что это "один частный случай"? Я описал только первый опыт и его результаты и опыт довольно старенький. Один способ защиты редко может гарантировать безопасность - только смесь разных методов и способов, чтобы максимально усложнить жизнь кул хацкерам.
К примеру из Вашего поста можно предположить, что fail2ban - это панацея, выставляем сервак 22-ым портом в мир защищаем его fail2ban-ом и спим спокойно. Периодически любуемся логами добавленных в бан IP. Зачем так делать, если можно перенести ssh на порт, например, 13824 и 99.9% атак даже не начнутся! fail2ban будет тупо простаивать, он конечно нужен, но работы ему убавится на пару порядков. Ну и конечно же в обязательном порядке ssh по ключу + запрет авторизации от имени root + надёжные пароли в keepass.
 
А подскажите насчет установки в качестве шлюза машинки с pfSense. Имеет смысл?
Т.е. на виртуальном сервере и в обычной сети весь траффик пропускаем через шлюз с pfSense.
На нем ставим snort с обновляемой базой и отслеживание всего трафика.
Имеет смысл?
В различных статьях нахваливают... а реальность?
 
а какие именно цели вы преследуете (со снортом и pfsens'om)? потому как в некоторых случая это будет все равно что из пушки по воробьям.
 
IMoney написал(а):
А подскажите насчет установки в качестве шлюза машинки с pfSense. Имеет смысл?
Т.е. на виртуальном сервере и в обычной сети весь траффик пропускаем через шлюз с pfSense.
На нем ставим snort с обновляемой базой и отслеживание всего трафика.
Имеет смысл?
В различных статьях нахваливают... а реальность?
Нажмите для раскрытия...
Это хостинговый сервер или защита для локального компа? Надо учитывать, что для хостингового сервера с ростом количества трафика на нём будет расти нагрузка от снорта.
 
А я не порты SSH переношу, а просто повесил SSH на случайно сгенеренный IP из /64 подсетки IPv6, которые у меня есть на всех серверах. Туда же и FTP.
За последние несколько лет не видел ни одной попытки коннекта, кроме собственных.
ИМХО, /64 невозможно просканить за обозримое время.
 
Автор,
Можно просто загнать все в vpn (ocserv или softethervpn помогут организовать все быстро и только под одну подсеть что бы трафик весь не гнать), наружу выбросить только 80 порт и его лучше заменить на https благо сертификатов бесплатных полно. Очень часто снифают пароли от FTP (он шлет все открытым текстом), а поскольку у большинства PAM аутентификация, эти данные подходят и для ssh
для fail2ban можно настроить sendmail и указать в его настройках ящик, он сам будет стучать на нарушителей
 
перенос всех нужных портов на другие по рандому, открыты только 80 + 443
fail2ban и доступ к с ограничением по ipшникам или подсетям с помощью iptables
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху