РЕКЛАМА НА ФОРУМЕ 

РЕКЛАМА НА ФОРУМЕ MultiVPN РЕКЛАМА НА ФОРУМЕ

Безопастность в Linux

Сообщения
293
Реакции
234
Баллы
84
Недавно купил у известного селлера выделенный сервер. При коннекте через рут (после установки ОС ) обнаружил что кто то через китайский айпи уже до меня подключился к серверу через рут. Мягко говоря я был ошеломлен , так как я думал что пароль такого рода как ""@#$87e9f7 трудно брутом подобрать. Оказалось что это не только я стал жертвой брута. Оказывается желторылые пачками ломают сервера а потом используют их для спама , стрессера и т.д. Так как же защитится от этого ? Есть 2 варианта
1) Подключить двухфакторную аутентификацию
2) Запретить рут
Сегодня будем рассматривать второй вариант на примере CentOS 7
Первым делом создаем нового пользователя на сервере
adduser root2

потом даем пароль для этого юзера

passwd root2

Мы создали нового пользователя root2
Но он не имеет рут прав. Если нужно будет что то устанавливать под рут правами нам нужно будет использовать команду su -
После сервер от нас потребует ввести пароль от root пользователя
После этого мы сможем выполнять команды на сервере с root правами
ВНИМАНИЕ ! Вам нужно создать пользователя до того как вы закроете root
Теперь нам нужно закрыть доступ root пользователю.
Для этого открываем конфиг файл ssh который находится по адресу
/etc/ssh/sshd_config
Находим строку
[HASHTAG]#PermitRootLogin[/HASHTAG] yes
Раскомментируем его и меняем yes на no
PermitRootLogin no

после перезагружаем ssh командой
systemctl restart sshd
Ну все, вы закрыли root доступ к серверу
ВНИМАНИЕ ! Вы не сможете редактировать, удалять файлы через аккаунт нового пользователя на сервере использую sftp протокол.
Поэтому советую изучать команды vi редактора
Но если вам не когда изучать этот редактор и вам хочет оставить редактировать ваши файлы на сервере через sftp то вы можете просто поменять порт ssh коннекта. По дефолту у ssh порт 22. Т.е тот кто будет брутить ваш сервер будет работать именно через этот порт. Поэтому после того как мы сменим порт все попытки брута будут закрыты сервером.
Для смены порта открываем файл /etc/ssh/sshd_config
Там меняем значение Port 22 на свой , например 15421
после перезагружаем ssh командой
systemctl restart sshd
Теперь при коннекте к серверу не забудьте сменить порт коннекта с 22 на новый (это касается и sftp )
Параноики вроде меня могут закрыть рут и поменять порт одновременно )
 
Последнее редактирование:

VasiaPechkin

Ананасик
Сообщения
236
Реакции
257
Баллы
78
В тему, туториал по анонимизации себя любимого на Кали 2016.2 с помощью whоnix :
 

VasiaPechkin

Ананасик
Сообщения
236
Реакции
257
Баллы
78
Это получается на кали устанавливаешь виртуалку на нее whоnix
а прописываешь команды в кали ) так что ли
да ХД
Ну есть дистрибутивы, где это все куда лучше и проще исполнено, но там, в свою очередь, нет функционала кали
 
Сообщения
8
Реакции
0
Баллы
1
ТС, ты забыл еще указать про настройку firewall. Ато люди порт поменяют, а потом зайти не смогут, так как он заблокирован будет...
 
OP
ResH
Сообщения
293
Реакции
234
Баллы
84
ТС, ты забыл еще указать про настройку firewall. Ато люди порт поменяют, а потом зайти не смогут, так как он заблокирован будет...
Теперь при коннекте к серверу не забудьте сменить порт коннекта с 22 на новый (это касается и sftp )
 
Сообщения
8
Реакции
0
Баллы
1
Если честно, то не вижу тут ни слова о firewall. К примеру, в файле /etc/ssh/sshd_config меняем порт 22 на 15421. При подключении командой ssh server_IP:15421 и работающем firewall зайти по ssh не получится. Для того, чтоб можно было подключиться необходимо открыть порт 15421 командой firewall-cmd --zone=public --add-port=15421/tcp --permanent (zone может быть другая). после чего необходимо применить правило - firewall-cmd --reload.
В случае с iptables команды будут немного другими, но суть останется та же. Прошу заметить, что указанные команды применимы для CentOS 7, которая указана в примере.
 
OP
ResH
Сообщения
293
Реакции
234
Баллы
84
-A INPUT -p tcp -m state --state NEW -m tcp --dport 15421 -j ACCEPT
 
Сообщения
2
Реакции
0
Баллы
1
Если честно, то не вижу тут ни слова о firewall. К примеру, в файле /etc/ssh/sshd_config меняем порт 22 на 15421. При подключении командой ssh server_IP:15421 и работающем firewall зайти по ssh не получится. Для того, чтоб можно было подключиться необходимо открыть порт 15421 командой firewall-cmd --zone=public --add-port=15421/tcp --permanent (zone может быть другая). после чего необходимо применить правило - firewall-cmd --reload.
В случае с iptables команды будут немного другими, но суть останется та же. Прошу заметить, что указанные команды применимы для CentOS 7, которая указана в примере.
Полностью поддерживаю
 
Сообщения
13
Реакции
0
Баллы
1
Норм тема, а то дедики быстро уводят.
А есть что-то подобное про вин?
 
Сверху