1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Безопастность в Linux

Тема в разделе "Linux [OS]", создана пользователем ResH, 19 окт 2016.

  1. TopicStarter Overlay
    ResH

    ResH

    Регистрация:
    26 июл 2012
    Сообщения:
    315
    Симпатии:
    249
    Недавно купил у известного селлера выделенный сервер. При коннекте через рут (после установки ОС ) обнаружил что кто то через китайский айпи уже до меня подключился к серверу через рут. Мягко говоря я был ошеломлен , так как я думал что пароль такого рода как ""@#$87e9f7 трудно брутом подобрать. Оказалось что это не только я стал жертвой брута. Оказывается желторылые пачками ломают сервера а потом используют их для спама , стрессера и т.д. Так как же защитится от этого ? Есть 2 варианта
    1) Подключить двухфакторную аутентификацию
    2) Запретить рут
    Сегодня будем рассматривать второй вариант на примере CentOS 7
    Первым делом создаем нового пользователя на сервере
    adduser root2

    потом даем пароль для этого юзера

    passwd root2

    Мы создали нового пользователя root2
    Но он не имеет рут прав. Если нужно будет что то устанавливать под рут правами нам нужно будет использовать команду su -
    После сервер от нас потребует ввести пароль от root пользователя
    После этого мы сможем выполнять команды на сервере с root правами
    ВНИМАНИЕ ! Вам нужно создать пользователя до того как вы закроете root
    Теперь нам нужно закрыть доступ root пользователю.
    Для этого открываем конфиг файл ssh который находится по адресу
    /etc/ssh/sshd_config
    Находим строку
    #PermitRootLogin yes
    Раскомментируем его и меняем yes на no
    PermitRootLogin no

    после перезагружаем ssh командой
    systemctl restart sshd
    Ну все, вы закрыли root доступ к серверу
    ВНИМАНИЕ ! Вы не сможете редактировать, удалять файлы через аккаунт нового пользователя на сервере использую sftp протокол.
    Поэтому советую изучать команды vi редактора
    Но если вам не когда изучать этот редактор и вам хочет оставить редактировать ваши файлы на сервере через sftp то вы можете просто поменять порт ssh коннекта. По дефолту у ssh порт 22. Т.е тот кто будет брутить ваш сервер будет работать именно через этот порт. Поэтому после того как мы сменим порт все попытки брута будут закрыты сервером.
    Для смены порта открываем файл /etc/ssh/sshd_config
    Там меняем значение Port 22 на свой , например 15421
    после перезагружаем ssh командой
    systemctl restart sshd
    Теперь при коннекте к серверу не забудьте сменить порт коннекта с 22 на новый (это касается и sftp )
    Параноики вроде меня могут закрыть рут и поменять порт одновременно )
     
    • Like Like x 2
    Последнее редактирование: 19 окт 2016
  2. VasiaPechkin

    VasiaPechkin Ананасик

    Регистрация:
    11 июн 2014
    Сообщения:
    239
    Симпатии:
    259
    В тему, туториал по анонимизации себя любимого на Кали 2016.2 с помощью whоnix :
     
    • Agree Agree x 1
  3. germes1989

    germes1989

    Регистрация:
    2 июн 2016
    Сообщения:
    14
    Симпатии:
    0
    Это получается на кали устанавливаешь виртуалку на нее whоnix
    а прописываешь команды в кали ) так что ли
     
  4. VasiaPechkin

    VasiaPechkin Ананасик

    Регистрация:
    11 июн 2014
    Сообщения:
    239
    Симпатии:
    259
    да ХД
    Ну есть дистрибутивы, где это все куда лучше и проще исполнено, но там, в свою очередь, нет функционала кали
     
  5. morfin

    morfin

    Регистрация:
    22 июл 2016
    Сообщения:
    8
    Симпатии:
    0
    ТС, ты забыл еще указать про настройку firewall. Ато люди порт поменяют, а потом зайти не смогут, так как он заблокирован будет...
     
  6. TopicStarter Overlay
    ResH

    ResH

    Регистрация:
    26 июл 2012
    Сообщения:
    315
    Симпатии:
    249
     
  7. morfin

    morfin

    Регистрация:
    22 июл 2016
    Сообщения:
    8
    Симпатии:
    0
    Если честно, то не вижу тут ни слова о firewall. К примеру, в файле /etc/ssh/sshd_config меняем порт 22 на 15421. При подключении командой ssh server_IP:15421 и работающем firewall зайти по ssh не получится. Для того, чтоб можно было подключиться необходимо открыть порт 15421 командой firewall-cmd --zone=public --add-port=15421/tcp --permanent (zone может быть другая). после чего необходимо применить правило - firewall-cmd --reload.
    В случае с iptables команды будут немного другими, но суть останется та же. Прошу заметить, что указанные команды применимы для CentOS 7, которая указана в примере.
     
  8. TopicStarter Overlay
    ResH

    ResH

    Регистрация:
    26 июл 2012
    Сообщения:
    315
    Симпатии:
    249
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 15421 -j ACCEPT
     
  9. Artyom

    Artyom

    Регистрация:
    27 дек 2016
    Сообщения:
    2
    Симпатии:
    0
    Полностью поддерживаю
     
  10. Mac

    Mac

    Регистрация:
    15 фев 2017
    Сообщения:
    3
    Симпатии:
    0
  11. PitchFork

    PitchFork

    Регистрация:
    3 авг 2017
    Сообщения:
    13
    Симпатии:
    0
    Норм тема, а то дедики быстро уводят.
    А есть что-то подобное про вин?
     

Поделиться этой страницей

Загрузка...