Доступ к серверу по ssh только для определённой группы

SSH позволяет ограничивать доступ к серверу только для пользователей, состоящих в определённой группе. Не являясь её членами, другие пользователи не смогут зайти на сервер по ssh. Это удобная возможность выдавать права доступа только тем пользователям, кому это действительно необходимо.

(далее…)

Резервное копирование на Яндекс.Диск через davfs

Резервное копирование — важная задача, которую необходимо выполнять на любом сервере, где располагаются важные данные. Решить её можно различными методами. Для больших систем — это соответствующее программное обеспечение, способное создавать бэкапы без заметной задержки в работе сервера.

(далее…)

Базовая настройка iptables

Одной из первоочередных задач после установки системы является корректная настройка iptables для фильтрации трафика. Политика по-умолчанию разрешает всё, что не запрещено. Это не самый удачный метод в плане безопасности, потому что в таком режиме сервер подвержен воздействию злоумышленников.

Можно, например, заняться сканированием открытых на сервере портов. На основе этого возможно определение используемых сервисов, их версии, названия и версии операционной системы. Далее — подбор уязвимостей к ним. Или некоторые icmp — сообщения могут выдать лишнюю информацию.

(далее…)

Как скрыть факт использования nginx на сервере

Однажды я прочитал статью где речь шла о том, что можно скрыть факт использования nginx на сервере. Для этого требуется отредактировать исходный код модуля ngx_http_header_filter_module и изменить строки

static char ngx_http_server_string[] = "Server: nginx" CRLF;
static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;

Но чтобы пересобрать nginx из исходников, нужно обладать некоторыми знаниями.

Однако, существует и более простой метод, не требующий вообще никаких особых действий, типа редактирования исходников и перекомпиляции.

(далее…)

Исправление ошибки Directory /tmp to mount over is not empty, mounting anyway

На давно работающей системе появилась необходимость выделить /tmp в отдельный раздел, чтобы запретить исполнение файлов и ограничить размер на случай переполнения.

(далее…)

Использование nginx http_referer_module для защиты админки сайта от брутфорса

Читая документацию веб-сервера nginx, наткнулся на интересный модуль под названием http referer module. Он позволяет блокировать доступ к сайту, либо его разделам, если в запросе отсутствует корректный заголовок referer.

Этот модуль можно применить для защиты админки любого сайта от брутфорса. Например, сайт работает на вордпресс, но блокировка доступа по ip будет неуместной, если на сайте есть зарегистрированные пользователи. Им же тоже надо аутентифицироваться, а собирать их ip — занятие бессмысленное. :)

(далее…)

Простое отслеживание изменений файлов

В случае взлома сервера, хакер может модифицировать файлы с целью оставить какой-нибудь бэкдор, шелл и т.п. Изменённые файлы можно было бы отследить по дате модификации, но эту дату легко подделать посредством утилиты touch.
(далее…)

Установка apache и php на Debian

Определённые системы управления контентом не работают со связкой nginx и php-fpm, и требуют именно веб-сервера apache с модулем php. Чаще всего причина этого — необходимость использования модуля rewrite для работы сайта.

(далее…)

Ограничение доступа к wp-login по ip в nginx

В последнее время fail2ban перестал нормально защищать от брутфорса на wordpress потому, что ip во всяком запросе уникальный и блокировать каждый адрес бессмысленно.

Раз такая ерунда, решил ограничить доступ к файлу wp-login.php по ip. Здесь есть один нюанс: для прописанного в конфигурационном файле nginx локейшена (location) нужно добавить обработчик скриптов, при использовании php-fpm.

В итоге, конструкция выглядит так: (далее…)