Страница 1 из 4
[Настройка] Безопасность сервера
Добавлено: Пт апр 04, 2014 12:23 pm
PAV
Други, я когда проект поставил на Pi всем файлам поставил максимальные права, чтобы не иметь проблем при настройке.
Отсюда вопрос - когда я систему установлю в квартире, как мне ее защитить?
В смысле какие права каким файлам назначить, каким вообще запретить, какие пароли где прописать и прочее?
Будет доступ из инета - надо защищаться.
Поставлю цисковский свич гиговый и роутер, что там прописывать в смысле безопасности?
Кто это уже прошел - подскажите.
UPD:
Для .nix
1 - сменить порты SSH на нестандартные с 22 на 54343 например
2 - поставить программу fail2ban, которая блокирует особо борзых
3 - желательно доступ по VPN
Re: Безопасность сервера
Добавлено: Пт апр 04, 2014 1:35 pm
zlayaptichka
Для начала надо поставить пароль на вход через интернет:
Код: Выделить всё
pi@raspberrypi ~ $ tail /var/www/config.php
//Define('ONEWIRE_SERVER', 'tcp://localhost:8234'); // 1-wire OWFS server
Define('HOME_NETWORK', '192.168.1.*'); // домашняя сеть (optional)
Define('EXT_ACCESS_USERNAME', 'имя пользователя'); // access details for external network (internet)
Define('EXT_ACCESS_PASSWORD', 'пароль');
//Define('DROPBOX_SHOPPING_LIST', 'c:/data/dropbox/list.txt'); // (Optional)
?>
Права файлам:
Код: Выделить всё
sudo chown -R www-data /var/www
sudo usermod -a -G audio www-data
Ещё я могу посоветовать подключить CloudFlare для DDoS-атак (или Cisco свитч для того же)
Запретить доступ к файлам конфигурации:
Код: Выделить всё
<FILES config.php>
deny from all
</FILES>
<FILES debmes.txt>
deny from all
</FILES>
<DIRECTORY debmes>
deny from all
</DIRECTORY>
<DIRECTORY cached>
deny from all
</DIRECTORY>
<DIRECTORY backup>
deny from all
</DIRECTORY>
Код: Выделить всё
location /config.php {
deny all;
}
location /debmes.txt {
deny all;
}
location /cached {
deny all;
}
location /debmes {
deny all;
}
location /backup {
deny all;
}
(первый для апача, второй для nginx)
Re: Безопасность сервера
Добавлено: Пт апр 04, 2014 4:29 pm
PAV
Пароль поставил, циску поставил, до остального не додумался
Re: Безопасность сервера
Добавлено: Пт апр 04, 2014 4:46 pm
electric
PAV писал(а):Други, я когда проект поставил на Pi всем файлам поставил максимальные права, чтобы не иметь проблем при настройке.
Отсюда вопрос - когда я систему установлю в квартире, как мне ее защитить?
В смысле какие права каким файлам назначить, каким вообще запретить, какие пароли где прописать и прочее?
Будет доступ из инета - надо защищаться.
Поставлю цисковский свич гиговый и роутер, что там прописывать в смысле безопасности?
Кто это уже прошел - подскажите.
Запустить на том же RasPi OpenVPN-сервер или на роуетере.
И из любого инета на своем телефоне/планшете/ноуте/работе подключаться к своему VPN-серверу и работать...
Проверено - работает.
В идеале можно даже пробросить инет через VPN-сетку, чтобы для всяких бесплатных WiFi и сотовых операторов не палить свой трафик...
Re: Безопасность сервера
Добавлено: Пт апр 04, 2014 9:43 pm
PAV
Да я все понимаю, но что и как позакрывать в PI? Сейчас на все файлы стоят права 7777. Менять надо?
Re: Безопасность сервера
Добавлено: Пт апр 04, 2014 11:05 pm
zlayaptichka
PAV писал(а):Да я все понимаю, но что и как позакрывать в PI? Сейчас на все файлы стоят права 7777. Менять надо?
Да, надо!
http://joomla-book.ru/blog/filesystem-p ... 777-is-bad
http://nodesquad.blogspot.ru/2011/01/666777.html
http://hosting101.ru/qa/68/10017
Исправить:
Код: Выделить всё
find /var/www/ -type f -exec chmod 0666 {} \;
find /var/www/ -type d -exec chmod 0777 {} \;
chown -R www-data:www-data /var/www/
Источник:
http://smartliving.ru/Main/SetupLinux
Re: Безопасность сервера
Добавлено: Сб апр 05, 2014 10:19 am
Ivan
Я пытался на rapberry шаманить с правами. И запускать от www-data. Но со временем проявились некоторые баги:
1. Цикл правильно работает только от root. Если нет отваливается половина сервисов: Log, Ping, Voice, и другие связки с оборудованием. Их конечно можно все прописать и добавить в группу www-data - но это очень муторно. И иногда не знаешь куда копать пока не убьёшь кучу времени на 1 сервис.
2. Возникает проблема обновления. То есть при каждом обновлении отключается что-то. Долго боролся с этим, и обновлял прова после обновления. Но пришёл к выводу что во время самого обновления возникают куча ошибок что приводит к неправильному обновлению.
3. Получается нельзя иметь веб сервер с одними правами а цикл с другими
В итоге. Пришлось всё загнать под Root. ДА это неправильно и не безопастно. Я вообще считаю что лучше не открывать МД во внешнюю сетку. А если и очень хочется то VPN или Connect вам в помощь
Re: Безопасность сервера
Добавлено: Сб апр 05, 2014 11:45 am
PAV
Re: Безопасность сервера
Добавлено: Сб апр 05, 2014 12:00 pm
Ivan
Смотрите:
От кого запущен цикл
Есть ли у этого юзера права на выполнение этой команды. Зачастую у юзера www-data нет прав на запуск команд консоли
Re: Безопасность сервера
Добавлено: Пт окт 24, 2014 1:04 pm
PAV
Полез я сегодня логи смотреть и увидел вот такое:
Это что, кто-то ломануть пытается? Как бороться.
А главное, как научить МЖД сообщать о таких фактах?
Код: Выделить всё
ct 24 13:09:44 localhost sshd[20656]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.50.229 user=root
Oct 24 13:09:44 localhost sshd[20656]: PAM service(sshd) ignoring max retries; 5 > 3
Oct 24 13:09:46 localhost sshd[20681]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.50.229 user=root
Oct 24 13:09:48 localhost sshd[20681]: Failed password for root from 222.186.50.229 port 3640 ssh2
Oct 24 13:09:50 localhost sshd[20681]: Failed password for root from 222.186.50.229 port 3640 ssh2
Oct 24 13:09:52 localhost sshd[20681]: Failed password for root from 222.186.50.229 port 3640 ssh2
Oct 24 13:09:54 localhost sshd[20681]: Failed password for root from 222.186.50.229 port 3640 ssh2
Oct 24 13:09:57 localhost sshd[20681]: Failed password for root from 222.186.50.229 port 3640 ssh2
Oct 24 13:09:57 localhost sshd[20681]: fatal: Read from socket failed: Connection reset by peer [preauth]
Oct 24 13:09:57 localhost sshd[20681]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.50.229 user=root
Oct 24 13:09:57 localhost sshd[20681]: PAM service(sshd) ignoring max retries; 5 > 3
Oct 24 13:10:04 localhost sshd[20683]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.50.229 user=root
Oct 24 13:10:06 localhost sshd[20683]: Failed password for root from 222.186.50.229 port 3640 ssh2
Oct 24 13:10:10 localhost sshd[20683]: Failed password for root from 222.186.50.229 port 3640 ssh2
Oct 24 13:10:16 localhost sshd[20683]: Failed password for root from 222.186.50.229 port 3640 ssh2
Oct 24 13:10:25 localhost sshd[20683]: Failed password for root from 222.186.50.229 port 3640 ssh2
Oct 24 13:10:28 localhost sshd[20683]: Failed password for root from 222.186.50.229 port 3640 ssh2
Oct 24 13:10:29 localhost sshd[20683]: fatal: Read from socket failed: Connection reset by peer [preauth]