http://quizz.bhome.ru/448-osnovy-bezopasnosti-linux/#more-448Обсудим основы безопасности в Linux. Знаете, я не заморочен ею до паранойи, но сталкивался со взломом серверов и последствиями. На серверах и рабочих станциях под Windows пока не буду останавливаться, хотя мне и там есть, что сказать, я про сервера под альтернативными ОС, хотя, знаете ли, это Windows – альтернативная ОС для сервера.
Итак, у нас есть Linux-сервер, стоит он где-то. Где-то – это может быть на работе, дома, VPS или VDS в дата-центре. Операционную систему Linux поставили, открыли доступ по ssh, сейчас собираемся начать работать. Только для начала выполним следующие процедуры:
1. Это прям самое базовое, про что исписали половину интернета для IT-специалистов самой разной руки: создадим для себя пользователя, отличного от рута (ну да, в Ubuntu рута по-умолчанию нет, поэтому Ubuntu это не очень касается), а в файле /etc/ssh/sshd_config в опции PermitRootLogin поставим No. Этим мы уже уберем 60% вероятности того, что нас поломают через тривиальный брутфорс.
2. Обновите программное обеспечение сервера через пакетный менеджер.
3. Всем пользователям, который не нужен shell-доступ, а только всякие ftp в качестве шелла поставим /bin/nologin. Не нужно, значит не положено.
4. Уволился сотрудник так или иначе имеющий аккаунт на сервере – отключаем. Даже если вы расстались лучшими друзьями – мало ли чего он там натворит.
5. Еще я сталкивался с таким моментом, причем сразу было не очень очевидно, откуда потекло: человека уволили, пользователи как прежде работали со всякими своими сервисами с /bin/nologin, в один день одному из сотрудников технического отдела дали доступ к sh и sudo, в тот момент и начались проблемы. Оказалось, что свой пароль сотрудник не менял в течение года с лишним, а уволенный его знал. Так что меняйте свои пароли. Хотя бы раз в три месяца.
6. Используйте sudo. Это лучше, когда административный доступ нужен больше, чем двум it-специалистам.
7. Установите fail2ban: он на 39.99 из оставшихся 40 процентов защитит Вас от брутфорса с помощью обычной блокировки хоста на n минут, вводившего неправильный пароль m раз подряд.
8. Используйте сервисы, поддерживающие шифрование через ssl – imaps, sftp, https.
Это лишь основы безопасности в Linux, но приведенными выше методами вы минимизируете возможность взлома Вашего сервера самыми распространенными способами.