К вопросу о безопасности сервера

После того, как из дата-центра пришло сообщение о том, что ваш сервер готов и онлайн, необходимо внести настройки безопасности на сервер.

Прежде всего, необходимо внести настройки для обеспечения активной и пассивной безопасности. Для этого нужно следить за всеми вероятными попытками вторжения и нарушениями в работе сервера, внося необходимые данные в настройки. Эти действия составляют активную настройку серверной безопасности. А пассивная безопасность заключается в том, чтобы оставить как можно больше мест для возможного проникновения извне.

Для работ на сервере вам понадобится программа Putty. Затем после установки редактора командной Pico переходим к работе с командной строкой, которая не имеет графического интерфейса.

1. Необходимо оставить подключение только по протоколу SSH2, как самое безопасное, и отключить прямой логин для root. Для этого вводим в командную строку:
pico -w /etc/ssh/sshd_config

Далее ищем в открывшемся файле строку
#Port 22
И убираем из нее знак #

Ищем строку: #Protocol 2, 1
И изменяем ее на: Protocol 2

Так вы сможете запретить подключение к серверу по протоколу SSH1, ведь такое соединение недостаточно защищено.

В WHM создаем аккаунт админа с нестандартным логином и паролем, как можно боле сложным. Для админа разрешите соединение SSH, после чего зайдите в WHM:

Server Setup, затем в:
Manage Wheel Group Users

Назначьте админа как члена Wheel Group.

Для этого введите

pico -w /etc/ssh/sshd_config

строку: #PermitRootLogin yes
Измените на: PermitRootLogin no

С помощью команды: /etc/rc.d/init.d/sshd restart перезагрузите демон SSH

Такие манипуляции приведут к тому, что злоумышленнику, который захочет взломать ваш сервер, придется взламывать подряд двойной пароль. Это позволит значительно уменьшить риск проникновений на сервер.

Для соединения с сервером вы будете использовать логин и пароль, назначенный вами для админа, после чего вводить «su -» root пароль.

Для отключения от сервера достаточно будет ввести «exit» и нажать ENTER.

2. Настраиваем сообщения по электронке в ROOТ логине на вашем сервере

Для этого необходимо отредактировать файл
.bash_profile
в директории пользователей /root

для редактирования файла используем команды:
cd
su -
pico .bash_profile

В конце файла нужно ввести строку:
echo ‘ALERT - Root Shell Access on:’ `date` `who` | mail -s “Alert: Root Access on Server #1″ admin@XXXXXXX.com

Строка admin@XXXXXXX.com будет означать ваш адрес на другом сервере. Такое ухищрение необходимо для того, чтобы вторгнувшийся на ваш сервер не смог уничтожить сообщение о своем вторжении.

Сохраняем изменения в файле при помощи комбинации клавиш
CTRL+X
Y
И ENTER.

После таких настроек при использовании ROOT логина сервер автоматически будет отправлять на указанный вами электронный адрес сообщение о подключении к серверу.

Запись создана в Понедельник, 8 Декабрь 2008 г. в 19:41. Рубрика: В мире хостинга. Вы можете подписаться на комментарии к этой записи RSS 2.0. Вы можете оставить отзыв, или отправить trackback со своего сайта.