Защищаем сервер от всяких угроз. Описание настроек сервисов, позволяющих улучшить безопасность и т.д.
Скрывать версию используемого программного обеспечения на сервере — хорошая практика, позволяющая запутать потенциальных взломщиков. Ведь зная версию, например, web-сервера, можно попытаться воспользоваться актуальной для этой версии уязвимостью.
А если хакер не знает, какая версия ПО используется на сервере, подбор уязвимости становится чуточку сложнее. На этой странице представлены параметры некоторых приложений, позволяющие скрыть версию и даже факт использования самого сервиса.
(далее…)
Протокол OCSP позволяет проверить статус SSL сертификата Online. При открытии сайта браузер пытается связаться с OCSP сервером и получить информацию об этом сертификате. Это влияет на скорость работы, так как OCSP сервер может находиться намного дальше, чем сервер, где расположен сайт.
Если у вас есть смартфон, то, наверняка, вы хоть иногда пользуетесь публичными Wi-Fi точками доступа. Зачастую, они не защищены паролем. Да и если администратор этой точки доступа задал пароль, всё равно желательно защищать свой трафик посредством шифрования. Мало ли, каким образом может воспользоваться владелец точки доступа открытой информацией.
SSH позволяет ограничивать доступ к серверу только для пользователей, состоящих в определённой группе. Не являясь её членами, другие пользователи не смогут зайти на сервер по ssh. Это удобная возможность выдавать права доступа только тем пользователям, кому это действительно необходимо.
Одной из первоочередных задач после установки системы является корректная настройка iptables для фильтрации трафика. Политика по-умолчанию разрешает всё, что не запрещено. Это не самый удачный метод в плане безопасности, потому что в таком режиме сервер подвержен воздействию злоумышленников.
Можно, например, заняться сканированием открытых на сервере портов. На основе этого возможно определение используемых сервисов, их версии, названия и версии операционной системы. Далее — подбор уязвимостей к ним. Или некоторые icmp — сообщения могут выдать лишнюю информацию.
Однажды я прочитал статью где речь шла о том, что можно скрыть факт использования nginx на сервере. Для этого требуется отредактировать исходный код модуля ngx_http_header_filter_module и изменить строки
static char ngx_http_server_string[] = "Server: nginx" CRLF; static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
Но чтобы пересобрать nginx из исходников, нужно обладать некоторыми знаниями.
Однако, существует и более простой метод, не требующий вообще никаких особых действий, типа редактирования исходников и перекомпиляции.
Читая документацию веб-сервера nginx, наткнулся на интересный модуль под названием http referer module. Он позволяет блокировать доступ к сайту, либо его разделам, если в запросе отсутствует корректный заголовок referer.
Этот модуль можно применить для защиты админки любого сайта от брутфорса. Например, сайт работает на вордпресс, но блокировка доступа по ip будет неуместной, если на сайте есть зарегистрированные пользователи. Им же тоже надо аутентифицироваться, а собирать их ip — занятие бессмысленное. :)
В случае взлома сервера, хакер может модифицировать файлы с целью оставить какой-нибудь бэкдор, шелл и т.п. Изменённые файлы можно было бы отследить по дате модификации, но эту дату легко подделать посредством утилиты touch.
(далее…)
В последнее время fail2ban перестал нормально защищать от брутфорса на wordpress потому, что ip во всяком запросе уникальный и блокировать каждый адрес бессмысленно.
Раз такая ерунда, решил ограничить доступ к файлу wp-login.php по ip. Здесь есть один нюанс: для прописанного в конфигурационном файле nginx локейшена (location) нужно добавить обработчик скриптов, при использовании php-fpm.
В итоге, конструкция выглядит так: (далее…)
На моём сервере Postfix работает в качестве сервера исходящей почты, то есть только отправляет почту с сайтов. Естественно, открыт 25-ый порт. Но большую часть времени туда долбятся носом всякие боты, пытающиеся воспользоваться сервером, как открытым релеем. :) Естественно, у них ничего не получается, ибо настроены правила. Но логи засоряют.