- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Есть несколько VPS, CentOS, Ubuntu LTS.
Некоторые работаю уже больше года.
Добрые люди предоставили для тестов виртуальный сервер, за что им большое спасибо.
Назрел вопрос безопасности VPS, чтобы один раз настроить, а потом только выполнять обновления безопасности.
В процессе настройки были использованы маны гугла.
Установил fail2ban, сменил стандартные порты ssh, ftp, запретил доступ рутом, сменил адрес phpmyadmin, панели управления, установлен apache-itk, фронт ngnix, бэк apache, suhosin установлен по дефолту в сборке системы для vps, пароли на root и панель мин. 20 символов, включая верхний, нижний регистр и цифры.
Прошу помощи администраторов, дабы расширить свои познания в правильной настройке программной части VPS. Полученные знания буду применять для действующих виртуальных серверов.
Спасибо.
http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf
Но взломают все равно через дырявый самописный похапэ скрипт :D
+ периодический анализ логов всех сайтов, устранение ошибок
+ clamav
+ доп. авторизация на админки
+ fail2ban анализ по 404м ошибкам
- смена ssh порта, особого смысла нет при fail2ban, недельного бана им хватает ;)
А еще могут сломать через троян на вашем пк
+ периодический анализ логов всех сайтов, устранение ошибок
+ clamav
+ доп. авторизация на админки
+ fail2ban анализ по 404м ошибкам
- смена ssh порта, особого смысла нет при fail2ban, недельного бана им хватает ;)
clamav туповатая глючная тормозящая штука, я б ее не ставил, пользы не много.
ssh порт менять на мой взгляд важнее, чем ставить fail2ban.
+за смену порта SSH.
Убирает проблему брутфорса практически в ноль (до смены порядка 10-15 IP в день, после смены ни одного за 2 года).
При паранойе port knocking весьма секьюрен.
+ контроль целостности системных файлов
+ ограничить доступ к ssh, phpmyadmin по IP
+ отправка логов на внешний сервер
Кроме того, советую мониторить параметры связанные с производительностью: загрузка процов, памяти, кол-во соединений и т.п.
Использование ftp заменить на sftp. можно будет выкинуть ненужный *ftpd.
noexec на /tmp
Ну и самое главное - отдельный системный юзер для каждого сайта(если их несколько), имеющий права только на свой каталог. apache-itk не тыкал, может быть он решает эту проблему(судя по описанию).
- "fail2ban" - не нужен, т.к. менять точку выхода не сложно и их количество очень велико - т.е. потенциального взломщика он не заметит. Но однажды он забанит владельца сервера и ему будет очень обидно.
- "сменил стандартные порты ssh, ftp" - не нужно, скан всех портов сервера занимает пару минут, смена портов приносит неудобства только владельцу сервера. Плюс FTP небезопасный (использовать SFTP).
- "сменил адрес phpmyadmin, панели управления" - если мы говорим о безопасности, то это ПО определенно лишнее.
- "пароли на root и панель мин. 20 символов, включая верхний, нижний регистр и цифры" - поскольку доступ рута запрещен, то и пароля у него быть не должно.
Но, как тут правильно заметили, наиболее вероятно, что войдут через уязвимость в скриптах сайтов, а про них пока что ни слова не было.
"fail2ban" на практике больше неудобств доставляет чем мог бы принести пользы.
Менять порты ssh и ftp нет смыла, кому надо - все равно найдут, а так вы только себе жизнь усложните.
В каких целях используется ftp, возможно можно обойтись sftp?
Доступ по root закрыть обязательно, настроить sudo, для своей учетной записи создать ключ и ходить только по ключу, доступ по паролю вообще закрыть. Можно еще VPN туннель создать и только с ip туннеля разрешить коннект по ssh, или без туннеля разрешить коннект только со своего статического ip, если работать планируете только с него.