Zabezpieczenie plików serwerowych

[watus]

Jak zabezpieczyć pliki serwerowe?

Obecnie moje zabezpieczenia to:

-usunięcie komend

-trudne hasło navi

-trudne hasło freebsd

 

Jakie inne zabezpieczenia?

Na przed atakami ddos nie będę zabezpieczał, 100mb/s -nie ma sensu.

Czy opłaca się kodować clienta? Mam trochę swoich nowości, ale nie są na tyle przełomowe, aby ktoś sobie nie poradził z ich zrobieniem i próbował grać gdzie indziej na moim cliencie.

[Alkoholic]

Na przed atakami ddos nie będę zabezpieczał, 100mb/s -nie ma sensu. - Ma sens ponieważ bez tego zgaszą Cię raz dwa, jednak fw trochę zablokuje.

Clienta nie koduj.

­

[Maxrik]

"Na przed atakami ddos nie będę zabezpieczał, 100mb/s -nie ma sensu."  z takim podejściem nie radzę ci stawiać czegokolwiek, co do trudnego hasła do freebsd i mysql, to też nie za dużo da, zabezpiecz ssh, zmien port, wyłącz zdalne logowanie na roota, i żaden "hakier bonzo" ci nie wbije.

Co do ddosów, polecam zainwestować w zew. firewall.

[watus]

Inwestowanie w firewalle, anty ddos jeszcze na tym etapie. Robię niskobudżetowy serwer dla małej ilości ludzi i stosunkowo z przyrostem ludności (lub nie   ) będę dodawał kolejne zabezpieczenia.

 

-zabezpiecz ssh- jak?

-zmien port- logowania, ch1, sql, może wszystkie?

-wyłącz zdalne logowanie na roota-jak?

[Alkoholic]

To nie ma sensu, ponieważ na starcie od razu będzie OUT. Ssh możez założyć na swoje ip, porty ssh ftp itp

 

[watus]

OUT przy 50 osobach? Nie sądzę

[Endymion]

Wystarczy zastosować klucz do roota wyłączając opcję logowania na root z hasłem. W bazie robisz userów na localhosta i jeden na www, tyle wystarczy.

[R60]

Podstawowe to:

1.Wchodzisz do roota i :

ee /etc/ssh/sshd_config

Zmieniasz port 22 na np: 1234 i usuwasz # i zapisujesz Esc i a,a 

 

2. Zapisujesz ten plik jako firewall.sh i edytujesz w nim:

ipfw add 5 allow tcp from any to me 22 in via em0 setup limit src-addr 10

22 to twój port 

 

Niech to sprawdzi  Endymion_

Każdy ma swoje ustawienia  

clear
echo "Podaj adres Ip serwera"
read serverip
clear
echo "Adres IP został wprowadzony : $serverip"
echo 'Jeśli adres IP jest poprawny i chcesz kontynować naciśnij "y" ,';
echo 'gdy wprowadziłeś błędny adres IP naciśjij "r" ,';
echo 'Jeśli nie chcesz kontynuować naciśnij "n" ,aby wyjść.';
read secim
case $secim in
n)
clear
echo "Program startuje..."
;;
r)
sh firewall.sh
;;
y)
clear
echo "Adres IP serwera wprowadzony : $serverip"
echo "Nastąpi teraz cała configuracja według tego IP."
echo 'Proszę czekać dokońca instalacji.!'
sleep 5
clear
echo "nano instaluje...";
sleep 3
cd /usr/ports/editors/nano
make install
clear
echo "screen instaluje...";
sleep 3
cd  /usr/ports/sysutils/screen
make install
clear
echo "free instaluje...";
sleep 3
cd /usr/ports/sysutils/freecolor/
make install clean
echo "/usr/local/bin/freecolor -mto" > /usr/local/bin/free
chmod a+x  /usr/local/bin/free
rehash
clear
echo "Screen nano został utworzony w sposób szybki i z sukcesem";
sleep 3
clear
echo "MySQL znajduje się...";
cd /usr/local/bin/mysql_install_db
chown -R mysql /var/db/mysql/
chgrp -R mysql /var/db/mysql/
echo 'mysql_enable="YES"' >> /etc/rc.conf
echo "[mysqld]" >> /var/db/mysql/my.cnf
echo "set-variable=local-infile=0" >> /var/db/mysql/my.cnf
echo "set-variable = max_connections=4096" >> /var/db/mysql/my.cnf
echo "safe-show-database" >> /var/db/mysql/my.cnf
echo "max_allowed_packet=16M" >> /var/db/mysql/my.cnf
clear
echo "Ustawienie zabezpieczeń zostało wykonane...";
sleep 3
echo "net.inet.tcp.blackhole=2" >> /etc/sysctl.conf
echo "net.inet.udp.blackhole=1" >> /etc/sysctl.conf
echo "net.inet.icmp.icmplim=50" >> /etc/sysctl.conf
clear
echo "Sukces Mysql DB został ";
sleep 3
clear
echo "Kernel i ipfirewall jest aktywny...";
sleep 3
cd /usr/src/sys/i386/conf
cp PAE MYKERNEL
echo "options IPFIREWALL" >> /usr/src/sys/i386/conf/MYKERNEL
echo "options IPFIREWALL_VERBOSE" >> /usr/src/sys/i386/conf/MYKERNEL
echo "options IPFIREWALL_VERBOSE_LIMIT=15" >> /usr/src/sys/i386/conf/MYKERNEL
cd /usr/src
make kernel KERNCONF=MYKERNEL
echo 'firewall_enable="YES"' >> /etc/rc.conf
echo 'firewall_script="/etc/ipfw.rules"' >> /etc/rc.conf
rm -rf /etc/ipfw.rules
echo 'IPF="ipfw -q add"' >> /etc/ipfw.rules
echo "ipfw -q -f flush


#PORTY
ipfw add 5 allow tcp from any to me 50010 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 50020 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 50030 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 50040 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 50050 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 50060 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 50070 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 50080 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 14001 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 11002 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 22000 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 20000 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 19000 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 21000 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 15000 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 18000 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 22000 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 3306 in via em0 setup limit src-addr 10
ipfw add 5 allow tcp from any to me 22 in via em0 setup limit src-addr 10


#SZCZEGOLOWE USTAWIENIA


\$IPF 4 allow all from $serverip to any 12001
\$IPF 5 allow all from 127.0.0.0/8 to any 12001
\$IPF 6 deny all from any to me 12001
\$IPF 7 allow all from $serverip to any 14000
\$IPF 8 allow all from 127.0.0.0/8 to any 14000
\$IPF 9 deny all from any to me 14000
\$IPF 10 allow all from $serverip to any 14001
\$IPF 11 allow all from 127.0.0.0/8 to any 14001
\$IPF 12 deny all from any to me 14001
\$IPF 13 allow all from $serverip to any 14002
\$IPF 14 allow all from 127.0.0.0/8 to any 14002
\$IPF 15 deny all from any to me 14002
\$IPF 16 allow all from $serverip to any 14003
\$IPF 17 allow all from 127.0.0.0/8 to any 14003
\$IPF 18 deny all from any to me 14003
\$IPF 19 allow all from $serverip to any 14004
\$IPF 20 allow all from 127.0.0.0/8 to any 14004
\$IPF 21 deny all from any to me 14004
\$IPF 22 allow all from $serverip to any 14061
\$IPF 23 allow all from 127.0.0.0/8 to any 14061
\$IPF 24 deny all from any to me 14061
\$IPF 25 allow all from $serverip to any 14099
\$IPF 26 allow all from 127.0.0.0/8 to any 14099
\$IPF 27 deny all from any to me 14099
\$IPF 28 allow all from $serverip to any 17000
\$IPF 29 allow all from 127.0.0.0/8 to any 17000
\$IPF 30 deny all from any to me 17000
\$IPF 31 allow all from $serverip to any 17001
\$IPF 32 allow all from 127.0.0.0/8 to any 17001
\$IPF 33 deny all from any to me 17001
\$IPF 34 allow all from $serverip to any 17002
\$IPF 35 allow all from 127.0.0.0/8 to any 17002
\$IPF 36 deny all from any to me 17002
\$IPF 37 allow all from $serverip to any 17003
\$IPF 38 allow all from 127.0.0.0/8 to any 17003
\$IPF 39 deny all from any to me 17003
\$IPF 40 allow all from $serverip to any 17004
\$IPF 41 allow all from 127.0.0.0/8 to any 17004
\$IPF 42 deny all from any to me 17004
\$IPF 43 allow all from $serverip to any 17061
\$IPF 44 allow all from 127.0.0.0/8 to any 17061
\$IPF 45 deny all from any to me 17061
\$IPF 46 allow all from $serverip to any 17099
\$IPF 47 allow all from 127.0.0.0/8 to any 17099
\$IPF 48 deny all from any to me 17099
\$IPF 49 allow all from $serverip to any 19000
\$IPF 50 allow all from 127.0.0.0/8 to any 19000
\$IPF 51 deny all from any to me 19000
\$IPF 52 allow all from $serverip to any 19001
\$IPF 53 allow all from 127.0.0.0/8 to any 19001
\$IPF 54 deny all from any to me 19001
\$IPF 55 allow all from $serverip to any 19002
\$IPF 56 allow all from 127.0.0.0/8 to any 19002
\$IPF 57 deny all from any to me 19002
\$IPF 58 allow all from $serverip to any 19003
\$IPF 59 allow all from 127.0.0.0/8 to any 19003
\$IPF 60 deny all from any to me 19003
\$IPF 61 allow all from $serverip to any 19004
\$IPF 62 allow all from 127.0.0.0/8 to any 19004
\$IPF 63 deny all from any to me 19004
\$IPF 64 allow all from $serverip to any 19061
\$IPF 65 allow all from 127.0.0.0/8 to any 19061
\$IPF 66 deny all from any to me 19061
\$IPF 67 allow all from $serverip to any 19099
\$IPF 68 allow all from 127.0.0.0/8 to any 19099
\$IPF 69 deny all from any to me 19099
\$IPF 70 allow all from $serverip to any 21000
\$IPF 71 allow all from 127.0.0.0/8 to any 21000
\$IPF 72 deny all from any to me 21000
\$IPF 73 allow all from $serverip to any 21001
\$IPF 74 allow all from 127.0.0.0/8 to any 21001
\$IPF 75 deny all from any to me 21001
\$IPF 76 allow all from $serverip to any 21002
\$IPF 77 allow all from 127.0.0.0/8 to any 21002
\$IPF 78 deny all from any to me 21002
\$IPF 79 allow all from $serverip to any 21003
\$IPF 80 allow all from 127.0.0.0/8 to any 21003
\$IPF 81 deny all from any to me 21003
\$IPF 82 allow all from $serverip to any 21004
\$IPF 83 allow all from 127.0.0.0/8 to any 21004
\$IPF 84 deny all from any to me 21004
\$IPF 85 allow all from $serverip to any 21061
\$IPF 86 allow all from 127.0.0.0/8 to any 21061
\$IPF 87 deny all from any to me 21061
\$IPF 88 allow all from $serverip to any 21099
\$IPF 89 allow all from 127.0.0.0/8 to any 21099
\$IPF 90 deny all from any to me 21099


#KONCOWKA STARTOWA


\$IPF 10000 allow all from any to any via lo0
\$IPF 20000 deny all from any to 127.0.0.0/8
\$IPF 30000 deny all from 127.0.0.0/8 to any
\$IPF 40000 allow all from any to any" >> /etc/ipfw.rules
echo "Instalacja przebiegła pomyślnie ."
echo "Zmiany są aktywne. Maszyna zostanie uruchomiona ponownie... "
sleep 3
reboot
;;
*)
clear
echo "..."
echo "..."
sleep 2
sh firewall.sh
esac

[watus]

@R60

@Endymion_

Pierwszy punkt rozumiem. To sprawi że jak będę się logował przez putty to nie będę używał portu 22 tylko np 3271 i będzie to sprawiać trudność w przypadku próby zalogowania się prze osobę trzecią (będzie musiała szukać portu).

 

Drugi punkt kilka pytań:

- gdzie wrzucić ten plik, do katalogu głównego czy gdzie?

- co robi ten plik, po za instalacją, nano, screena, freecolora?

- czy w trakcie działania serwera mogę odpalić freecolora i będą mi podawane wyniki na bieżąco (freecolor -m)? 

- wgrać to przed wrzuceniem "tabelek serwera"(tabelki navicata) od razu po instalacji mysql czy w dowolnym momencie moge?

- czy na końcu pliku muszę dodać jeszcze (załóżmy że moje ip to 111.111.111.111 i chcę tylko z tego ip mieć dostęp do portu 22)

\$IPF 91 allow all from $serverip to any 22
\$IPF 92 allow all from 127.0.0.0/8 to any 22
\$IPF 93 deny all from any to me 22
\$IPF 94 allow all from 111.111.111.111/0 to any 22

(nie wiem czy dobra klasa adresowa)

[R60]

@R60

@Endymion_

Pierwszy punkt rozumiem. To sprawi że jak będę się logował przez putty to nie będę używał portu 22 tylko np 3271 i będzie to sprawiać trudność w przypadku próby zalogowania się prze osobę trzecią (będzie musiała szukać portu).

 

Drugi punkt kilka pytań:

- gdzie wrzucić ten plik, do katalogu głównego czy gdzie? do katalogu /root

- co robi ten plik, po za instalacją, nano, screena, freecolora? konfiguruje ci i dodaje regułki 

- czy w trakcie działania serwera mogę odpalić freecolora i będą mi podawane wyniki na bieżąco (freecolor -m)? 

- wgrać to przed wrzuceniem "tabelek serwera"(tabelki navicata) od razu po instalacji mysql czy w dowolnym momencie moge? Najlepiej po wgraniu mysql i plików serwerowych w tedy masz pewność jakie port edytować w pliku firewall.sh

- czy na końcu pliku muszę dodać jeszcze (załóżmy że moje ip to 111.111.111.111 i chcę tylko z tego ip mieć dostęp do portu 22)

\$IPF 91 allow all from $serverip to any 22
\$IPF 92 allow all from 127.0.0.0/8 to any 22
\$IPF 93 deny all from any to me 22
\$IPF 94 allow all from 111.111.111.111/0 to any 22

(nie wiem czy dobra klasa adresowa)

 

 

Jeżeli byś chciał, a na pewno zabezpieczyć bardziej> to co Ci dałem to mały % jest :

http://www.securitum.pl/baza-wiedzy/publikacje/bezpieczenstwo-bsd-hardening-systemu

Tu masz jeszcze coś ode mnie :

1. cd /root            Gdzie wrzucić 

2. ee ddos.sh              Tworzy plik ddos.sh
3. Wpierdziel ten kod tam i edytuj .
!/bin/sh 
FR_MIN_CONN=200 
TMP_PREFIX='/tmp/frrr' 
TMP_FILE=`mktemp $TMP_PREFIX.XXXXXXXX` 
/usr/bin/netstat -ntu -f inet| awk '{if(NR>2 && NF=6) print $5}' | cut -d. -f1-4 | grep '^[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}$' | sort | uniq -c | sort -nr > $TMP_FILE 
while read line; do 
CURR_LINE_CONN=$(echo $line | cut -d" " -f1) 
CURR_LINE_IP=$(echo $line | cut -d" " -f2) 
if [ $CURR_LINE_CONN -lt $FR_MIN_CONN ]; then 
break 
fi 
/sbin/route -q add $CURR_LINE_IP 127.0.0.1 
/bin/echo $CURR_LINE_IP >> /root/banlist.txt 
/bin/echo "Subject: $CURR_LINE_IP ipden $CURR_LINE_CONN Connect Refused." | /usr/sbin/sendmail -F [email protected] -t [email protected] 
done < $TMP_FILE 
/bin/rm -f $TMP_PREFIX.*



4. dodaj chmod 777 na ddos.sh  

5. Stwórz plik ban list
ee banlist.txt 
6. Wierdziel to do pliku
######BANLIST#######
7. i oczywiście odpal

[-.Aris.-]

Zmiana portu SSH

FireWall

SSH na KLUCZ

tunnel ssh-mysql na ppk

i maszyna nie do ruszenia

 

a co do serwera to dify, cmd ale w sumie ja mam libka podpiętego :P