Безопасность
сервера. Протокол SSH2 и Отключение прямого Root логин.
Вечером пришло
сообщение с датацентра – ваш сервер готов и online.
Что делать в первую очередь? Как обезопасить и настроить сервер?
С чего начать? С чашки чая... (кофе, кружки пива, бокала
коньяка и т.д.)
Не спешите. Если сегодня вечером вы получили свой сервер,
к утру он всё равно не будет работать в коммерческом режиме
(а если и будет, то недолго).
Первое – безопасность. Активная и пассивная. Отслеживать все
попытки вторжения и нарушения нормальной работы сервера, закрывая
бреши, обнаруженые в настройке и блокируя любые попытки вторжения
– это активная часть серверной безопасности.
И оставить заранее как можно мест для возможного проникновения
– это пассивная безопасность.
Для любых работ на сервере вам необходима программа Putty
– скачать здесь:
(Исходим из предположения, что на сервере уже установлен редактор
командной строки Pico.
Если нет >>> прочитать установка
редактора командной строки Pico.
Всё далее перечисленное выполняется в командной строке, вам
придётся на время забыть об удобстве графического интерфейса
(есть варианты с графическим интерфейсом, о них позже).
1.Первое, что советую сделать – отключить прямой логин для
root и оставить подключение только по протоколу SSH2, как
более безопасное.
Для этого введите в командной строке:
pico -w /etc/ssh/sshd_config
Найдите в открывшемся файле строку
#Port 22
и раскоментируйте её (уберите знак #)
Найдите строку
#Protocol 2, 1
Раскомментируйте и измените на:
Protocol 2
Этим вы запретите соединение по протоколу SSH1, как недостаточно
защищенному.
В WHM создайте акконт, который будете использовать в качестве
административного, используя нестандартное имя пользователя
(никаких ADMIN и TEST), лучше что-то вроде De37?jT_9, затем
разрешите SSH для этого юзера, зайдите в WHM:
Server Setup, затем в:
Manage Wheel Group Users
И укажите вашего юзера как члена Wheel Group.
Опять вводим:
pico -w /etc/ssh/sshd_config
строку
#PermitRootLogin yes
раскоментируйте и измените на:
PermitRootLogin no
теперь перезапустите демон SSH, используя команду:
/etc/rc.d/init.d/sshd restart
Теперь взломщику придётся последовательно преодолевать два
пароля вподряд, и возможность проникновения значительно уменьшается.
Для коннекта к серверу вы должны будете заходить теперь как
административный пользователь со своим паролем, затем ввести
su - (именно su - а не su-), затем root пароль.
Для выхода просто введите:
exit
и нажмите ENTER
2. Настройка сообщения по емайл о ROOТ логине на вашем сервере:
Отредактируйте файл
.bash_profile
в директории пользователей - в данном случае
/root
используя комманды:
su -
cd
pico .bash_profile
И в самом конце файла введите строку:
echo 'ALERT - Root Shell Access on:' `date` `who` | mail -s
"Alert: Root Access on Server #1" admin@XXXXXXX.com
Где admin@XXXXXXX.com - ваш адрес на любом ином сервере (для
невозможности для вторгшегося уничтожить сообщение о вторжении)
Сохраните, нажав комбинацию
CTRL+X
Затем – Y
И наконец – ENTER.
Теперь при ROOT логине сервер будет отсылать вам сообщение
на указаный адрес.
Настройка выделенного сервера, обеспечение
серверной безопасности - оглавление цикла
Услуги по настройке серверов
и обеспечению серверной безопасности оказываются на договорной
основе.
|
