Безопастность в Linux

Недавно купил у известного селлера выделенный сервер. При коннекте через рут (после установки ОС ) обнаружил что кто то через китайский айпи уже до меня подключился к серверу через рут. Мягко говоря я был ошеломлен , так как я думал что пароль такого рода как ""@#$87e9f7 трудно брутом подобрать. Оказалось что это не только я стал жертвой брута. Оказывается желторылые пачками ломают сервера а потом используют их для спама , стрессера и т.д. Так как же защитится от этого ? Есть 2 варианта
1) Подключить двухфакторную аутентификацию
2) Запретить рут
Сегодня будем рассматривать второй вариант на примере CentOS 7
Первым делом создаем нового пользователя на сервере
adduser root2

потом даем пароль для этого юзера

passwd root2

Мы создали нового пользователя root2
Но он не имеет рут прав. Если нужно будет что то устанавливать под рут правами нам нужно будет использовать команду su -
После сервер от нас потребует ввести пароль от root пользователя
После этого мы сможем выполнять команды на сервере с root правами
ВНИМАНИЕ ! Вам нужно создать пользователя до того как вы закроете root
Теперь нам нужно закрыть доступ root пользователю.
Для этого открываем конфиг файл ssh который находится по адресу
/etc/ssh/sshd_config
Находим строку
#PermitRootLogin yes
Раскомментируем его и меняем yes на no
PermitRootLogin no
после перезагружаем ssh командой
systemctl restart sshd
Ну все, вы закрыли root доступ к серверу
ВНИМАНИЕ ! Вы не сможете редактировать, удалять файлы через аккаунт нового пользователя на сервере использую sftp протокол.
Поэтому советую изучать команды vi редактора
Но если вам не когда изучать этот редактор и вам хочет оставить редактировать ваши файлы на сервере через sftp то вы можете просто поменять порт ssh коннекта. По дефолту у ssh порт 22. Т.е тот кто будет брутить ваш сервер будет работать именно через этот порт. Поэтому после того как мы сменим порт все попытки брута будут закрыты сервером.
Для смены порта открываем файл /etc/ssh/sshd_config
Там меняем значение Port 22 на свой , например 15421
после перезагружаем ssh командой
systemctl restart sshd
Теперь при коннекте к серверу не забудьте сменить порт коннекта с 22 на новый (это касается и sftp )
Параноики вроде меня могут закрыть рут и поменять порт одновременно )

 

В тему, туториал по анонимизации себя любимого на Кали 2016.2 с помощью whоnix :

 

Это получается на кали устанавливаешь виртуалку на нее whоnix
а прописываешь команды в кали ) так что ли

 

да ХД
Ну есть дистрибутивы, где это все куда лучше и проще исполнено, но там, в свою очередь, нет функционала кали

 

ТС, ты забыл еще указать про настройку firewall. Ато люди порт поменяют, а потом зайти не смогут, так как он заблокирован будет...

 

Если честно, то не вижу тут ни слова о firewall. К примеру, в файле /etc/ssh/sshd_config меняем порт 22 на 15421. При подключении командой ssh server_IP:15421 и работающем firewall зайти по ssh не получится. Для того, чтоб можно было подключиться необходимо открыть порт 15421 командой firewall-cmd --zone=public --add-port=15421/tcp --permanent (zone может быть другая). после чего необходимо применить правило - firewall-cmd --reload.
В случае с iptables команды будут немного другими, но суть останется та же. Прошу заметить, что указанные команды применимы для CentOS 7, которая указана в примере.

 

-A INPUT -p tcp -m state --state NEW -m tcp --dport 15421 -j ACCEPT

 

Полностью поддерживаю

 

?

 

Норм тема, а то дедики быстро уводят.
А есть что-то подобное про вин?