Proteção de um servidor linux

Linux, o sistema operacional de código aberto fica melhor cada vez, mas tem sido um forte candidato desde o final dos anos 90. Com a popularidade, no entanto, tornou-se mais lucrativo para os ladrões para entrar servidores Linux e usá-los para spam, por fraude, e para usar os servidores para a pornografia, entre outras coisas. Aqui, nós dizemos-lhe algumas maneiras de proteger seu servidor de tal destino.

 #Usando LSOF ou ferramenta semelhante, você achar que seu computador usa as portas para conexões:

ns003: ~ # lsof -i
COMMAND PID USUÁRIO FD tipo de dispositivo NOME tamanho do nó
17829 chamado 4U raiz 12.689.530 IPv6 UDP *: 34327
17829 raiz 6U chamado IPv4 UDP 12689531 *: 34329
17829 raiz chamado 20U IPv4 UDP 12.689.526 ns003.unternet.net:domain
17829 raiz chamado 21u IPv4 TCP 12.689.527 ns003.unternet.net:domain (ouvir)
17829 raiz chamado 22U IPv4 UDP 12.689.528 209.40.205.146:domain
23U 17829 raiz chamado IPv4 TCP 12.689.529 209.40.205.146:domain (ouvir)
lighttpd www-data 17841 12689564 4u IPv4 TCP *: www (ouvir)
17860 sshd 3U raiz IPv6 TCP 12.689.580 *: ssh (ouvir)
17880 sshd 3U raiz IPv6 TCP 12.689.629 *: 8899 (ouvir)
30435 sshd 4u raiz 74.368.139 IPv6 TCP 209.40.205.146:8899-gt;dsl-189-130-12-20.prod-infinitum.com.mx:3262 (ESTABELECIDO)

1. 
   
   
   
   1
   Se você tiver dúvidas, eu fechá-la. Feche qualquer serviço desconhecida ou inútil, usando ferramentas adequadas, tais como update-rc.d em sistemas Debian, ou em alguns casos a edição de arquivos /etc/inetd.conf ou /etc/xinetd.d/*. Junto com isso, também se livrar de qualquer ferramenta que seu provedor de serviços adicionados para a administração do sistema, como Plesk.
2. 
   
   
   2
   Não permitir conexões de raiz para o seu porta sshd 22 primário (set PermitRootLogin para "não") - Muitas ferramentas automatizadas executar ataques com "força bruta" para isso. Estabelece uma porta secundária só funcionam para as chaves compartilhadas, senhas incapacitantes:
3. Copie o sshd_config para root_sshd_config arquivo e muda o seguinte em um novo arquivo:
4. porto 22 para outro número, por exemplo, 8899 (não use isso! Adquira o seu!)
5. PermitRootLogin de "não" (Você deveria ter colocado como "não" para a porta 22, lembra-se?) para "sim"
6. raiz AllowUsersadicionar esta linha, ou se existe, alterá-lo para permitir apenas conexões nesta porta.
7. ChallengeResponseAuthentication não certifique-se ler "não" em vez de "sim"
8. Tente este comando:
   
   sshd -D -f / etc / ssh / root_sshd_config
   
   e ver se ele funciona - para tentar ligar a partir de outro computador (você deve ter definido as chaves de autenticação entre dois computadores) usando:
   
   ssh -p8899 [email protected]
   
   e se ele funciona, control-C para o comando acima deve parar, em seguida, adicione no final de / etc / inittab:
   
   rssh: 2345: de respawn: sshd -D -f / etc / ssh / root_sshd_config
   
   
9. Reiniciar a tarefa de inicialização: # Init q Isto irá executar o seu "daemon ssh raiz" como uma tarefa de fundo e reinicie automaticamente se houver uma falha.