konfiguracja fw+ssh-domowy/prywatny serwer

26 wrz 2015, 05:49
doktordemolka

doktordemolka

Początkujący User 300 posty 43 pkt.

konfiguracja fw+ssh-domowy/prywatny serwer

26 wrz 2015, 05:49
prosta konfiguracja fw na serwerze + zabezpieczenie ssh (do zastosowań domowych/prywatnych)

konfigurację opieram na debianie


konfiguracja fw

Kod:
apt-get install shorewall


kopiujemy gotowe szablony:

Kod:
cp /usr/share/doc/shorewall/examples/one-interface/{zones,interfaces,policy,rules} /etc/shorewall/


przechodzimy do właściwej edycji:

/etc/shorewall/zones
Obrazek


/etc/shorewall/interfaces (interfejs tun jest tu opcjonalny, jeżeli ktoś posiada serwer openvpn), jeżeli chodzi o interfejs venet0, należy zastąpić go takim interfejsem jaki posiadamy na swojej maszynie -> (ifconfig)
Obrazek

polityka ruchu:

/etc/shorewall/policy
Obrazek


/etc/shorewall/rules
Obrazek


przydatna droplista:
/etc/shorewall/blacklist
http://wklej.org/id/1804082/


ustawiamy startowanie shorewall'a z automata
/etc/default/shorewall
startup = 1

odpalamy:
Kod:
shorewall safe-restart


po uzupełnieniu blacklisty o dodatkowe adresy trzeba ją wczytac ponownie:

Kod:
shorewall refresh


aby sprawdzić czy wprowadzone zmiany blacklisty działają:
Kod:
shorewall show blacklst


tymczasowy blok dowolnego adresu (utrzymywany do restartu maszyny):
Kod:
shorewall drop xx.xxx.xxx.xx



konfiguracja ssh

Najprostrze a zarazem najskuteczniejsze zabezpieczenie ssh to umożliwienie logowania się na serwer tylko z określonych zaufanych adresów ip:

/etc/hosts.allow
Kod:
sshd : 127.0.0.1 : allow
sshd : xxx.xxx.xxx.xxx : allow


/etc/hosts.deny
Kod:
sshd: ALL


Jeżeli nie posiadamy takiej możliwości (przykładowo zmienne ip), warto zmienić domyślny port nasłuchiwania ssh oraz uniemożliwić logowanie jako root (należy pamiętać aby w takim wypadku odblokować wybrany port nasłuchiwania ssh w fw i oczywiście stworzyć konto zwykłego użytkownika na które będziemy mogli się zalogować)

/etc/ssh/sshd_config
Port xxxx
PermitRootLogin no

ewentualnie można wygenerować klucze do logowania bezhasłowego (ssh-keygen)

/etc/ssh/sshd_config
PermitRootLogin without-password

Re: konfiguracja fw+ssh-domowy/prywatny serwer

26 wrz 2015, 11:14
Użytkownik nieaktywny

Użytkownik nieaktywny

Aktywny Gracz 1433 posty 184 pkt.

Re: konfiguracja fw+ssh-domowy/prywatny serwer

26 wrz 2015, 11:14
Do zabezpieczenia serwera można użyc także pakietu fail2ban który monitoruje logi plików dla prób połączeń. Jeśli z danego adresu IP zostanie przekroczona maksymalna ilość prób połączeń to blokuje dostęp dla tego adresu i zdarzenie jest logowane do pliku /var/log/fail2ban.log.

Co do ssh " Pierwszą, rzeczą na która warto zwrócić uwagę w pliku konfiguracyjnym jest wersja protokołu obsługiwana przez serwer SSH. Istnieją dwie. Ze względów bezpieczeństwa należy używać wersji nr 2, która została przeprojektowana od zera ze względu na ujawnione w wersji 1.5 podatności na ataki krypto analityczne, umożliwiające wstrzykiwanie komend do zaszyfrowanego strumienia SSH. "

Ważne jest też zablokowanie zdalnego dostępu do konta roota.
" Dużym zagrożeniem dla naszego serwera są różnego typu boty, które w większości przypadków próbują złamać hasło root’a. Aby tego uniknąć należy wyłączyć możliwość bezpośredniego logowania użytkownika root poprzez SSH na serwer."

oraz zmiana portu dla ssh

" Domyślnie serwer SSH oczekuje połączeń na porcie 22. Często wykorzystują to boty które próbują dokonać ataku na tym właśnie porcie. Kolejnym zagrożeniem są skanery portów które mogą dostarczyć atakującym informacji jakie usługi są uruchomione na jakiś portach. Skanują one zazwyczaj domyślnie tylko do portu 1024 (gdzie jak widzimy łapie się port 22 – z naszym serwerem SSH). Warto by to zmienić na port jakiś powyżej 1024 a najlepiej na 5000+."

No i trzeba też kontrolować dostęp
" Odpowiadają za to opcje:

AllowUsers user1_zSSH user2
DenyUsers user3_bezSSH user4
AllowGroups nazwa_grupy_z_SSH
DenyGroups grupa_bez_ssh"

:roll:
  • Brak nieprzeczytanych postów
  • Nieprzeczytane posty
  • Wątek zablokowany
  • Wątek przeniesiony
widget instagram lenovo
widget twitter lenovo
widget facebook lenovo
widget youtube lenovo