Zabezpieczenie maszyny

[Mr.Cannabis]

Cześć. Mam lekko nietypowe pytanie, które ciężko przystosować do, któregoś z działów - Metin2.

Zajmuje się ktoś na co dzień zabezpieczaniami serwerów dedykowanych?

Co należy zabezpieczyć i w jaki sposób.

Jeżeli ktoś by chciał coś podpowiedzieć ewentualnie w jaki kol wiek sposób mi pomóc prosiłbym o kontat.

[RysieQ™]

Arsob, Vortax ?

[f0kus]

Raczej poszukaj pomocy na forach sysadminów systemów linuxowych/bsd.

 

Generalnie pamiętaj o tym aby:

 - wyłączyć logowanie roota

 - włączyć logowanie przez publiczny klucz ssh, wyłączyć logowanie przez hasło

 - firewall (przez iptables):

   * zablokować niepotrzebny ruch z zewnątrz

   * odblokować porty na których nasłuchuje auth, game

     (jeśli strona stoi na tej samej maszynie to można nawet zablokować porty do db i puścić ją na localhoscie)

 - z głową zarządzać kontami innych administratorów (nad takim dedykiem to spokojnie jedna osoba może zapanować)

 - archiwować logi (sudo / http)

 - backupować na oddzielną maszyne / vps

 - trzymać hasła w hashu posolone

 

Im więcej bajerów, tym łatwiej jest się wedrzeć.

Na czymś takim pierwsze gdzie szukałbym jakichś luk to strona serwera (jakieś sql injecty itd.)

A jak napisać strone bezpiecznie to już inna brioszka. Kożystanie ze sprawdzonych bilbiotek do walidacji POST'ów itd.

Najgorzej, że taka strona musi wykonać połączenie do głównej bazy metka gdzie trzymane są dane kont do logowania i moim zdaniem to jest najsłabsze ogniwo.

[Mr.Cannabis]

Chodzi mi głównie o tego firewall'a.

ssh mam zmienione porty itp, root wyłączony inne konto

wejście z mojego ip

[f0kus]

No to zrób tak jak mówie.

Wszystko co nie jest potrzebne, zablokuj do tego dostęp z zewnątrz.

Przepuszczaj tylko te pakiety, które musisz. A jak nie wiesz które musisz, to zablokuj wszystko i patrz co trzeba odblokować.

 

 

A tak na marginesie to nie wiem czy zmiana portów coś daje. Tylko trzeba zmieniać niepotrzebnie.

Jak ktoś zechce to i tak się dowie na jakim porcie masz zbindowane demony.

No chyba, że ktoś wie jak złamać ssh, ale to wtedy to już raczej święcona woda ci nie pomoże

 

 

Edit: A jeszcze możesz zrobić oddzielne konto z ograniczonymi uprawnieniami np. metin2 do odpalania samego serwera i tam trzymać  pliki (/home/metin2/)