שלום לכולם ,
אני צריך טיפים בשביל לאבטח את ה-CentOS שלי..
יש עליו SSH , שמעתי שצריך לאבטח אותו.. אפשר המלצות ?
ועל איזה FTP אתם ממלצים ?

d0ra :

שלום לכולם , אני צריך טיפים בשביל לאבטח את ה-CentOS שלי.. יש עליו SSH , שמעתי שצריך לאבטח אותו.. אפשר המלצות ? ועל איזה FTP אתם ממלצים ?

תבטל אפשרות כניסה כ root
תדרוש ממשתמש רגיל לעשות su בשביל להפוך לכזה.

ואל תתקין ftp, אלא השתמש ב sftp (מבוסס ssh).

אם אתה רוצה להימנע מסורקים אוטומטיים "טיפשים", אז גם שנה את הפורט מ22 למשהו אחר.

fail2ban או משהו דומה.
תוכנות ניתור בהתאם לשרותים שרצים, ossec.

Anonymous :

fail2ban או משהו דומה. תוכנות ניתור בהתאם לשרותים שרצים, ossec.

אין צורך ב fail2ban או פיירוול אם הסיסמאות שלו טובות והוא משתמש בנוסף במפתח.

הייתי דווקא אומר כי כל מה שלא חייב להיות גלוי לעולם, אבל הוא שרת, שיאזין מקומית ל 127.0.0.1, אבל השאלה כללית מידי, אז הוא קיבל תשובה רק למה שהוא הציג.

ik_5 :

Anonymous : fail2ban או משהו דומה. תוכנות ניתור בהתאם לשרותים שרצים, ossec. אין צורך ב fail2ban או פיירוול אם הסיסמאות שלו טובות והוא משתמש בנוסף במפתח. הייתי דווקא אומר כי כל מה שלא חייב להיות גלוי לעולם, אבל הוא שרת, שיאזין מקומית ל 127.0.0.1, אבל השאלה כללית מידי, אז הוא קיבל תשובה רק למה שהוא הציג.

1. מומלץ מאד לא לעבוד עם סיסמאות, אלה עם מפתחות בלבד ולבטל את אופצית הסיסמה.
2. מה הקשר ל fail2ban? זה נועד הרי לחסום סלקטיבית ובכך לחסוך את זמן האימות.

fail2ban קורא לוגים ומנסה לראות משהו שנכשל מספר פעמים לבצע פעולות וכניס אותו לiptables כ drop/reject.

אין בו צורך, הוא לא מאיץ לך שום דבר, הוא לא אקטיבי.
עכשיו שאלה, מה קורה אם יש לך בעיה במקלדת, טעית איקס פעמים בהזנת הסיסמה של ssh וכו' ?

fail2ban יחסום אותך, אלא אם מראש שמת חוק ל ip שלך שיוכל להיכנס שיהיה מעל כל חוק ש fail2ban מבצע.

ik_5 :

fail2ban קורא לוגים ומנסה לראות משהו שנכשל מספר פעמים לבצע פעולות וכניס אותו לiptables כ drop/reject. אין בו צורך, הוא לא מאיץ לך שום דבר, הוא לא אקטיבי. עכשיו שאלה, מה קורה אם יש לך בעיה במקלדת, טעית איקס פעמים בהזנת הסיסמה של ssh וכו' ? fail2ban יחסום אותך, אלא אם מראש שמת חוק ל ip שלך שיוכל להיכנס שיהיה מעל כל חוק ש fail2ban מבצע.

תלויי איך מגדירים אקטיבי

יש בו צורך, הוא מאיץ או מקל על השרת במובן זה שעדיף לחסום -או יותר טוב לא להתיחס בכלל- לנסיונות התחברות של נבלים ברשת. לקלוט, לבדוק הרשאותם, לסרב, ולרשום בלוג, עולה יותר: בביצועי המחשב, בזיהום הלוגים ברישום כפול וכו'.

לגבי שאלתך:
1. מומלץ מאד לא להכנס לשרת עם סיסמה, אלה רק עם מפתח.
2. זו בעיה טריוויאלית בשימוש בתוכנות/סקריפטים כאלו ולה 1001 פתרונות.
אפשר, כפי שרשמתה, 'להלבין' / לא לפעול על קב' IP מסוימות.
אפשר להגדיר את ביטול החסימה לאחר זמן מסויים -שאפשר שיעלה אקספונצאלית אם התגברות הנסיונות, טוב לחסימת כתובות דינמיות שיותר מאוחר עשויות להינתן למשתמש לגיטימי.
אפשר להגדיר משתמש 'למקרה חרום' אם מפתחות או סיסמה אחרים.
ועוד, ועוד, ועוד...

לא חסר מאמרים ברשת למי שירצה להתמקצע ב- fail2ban ודומייו -יש כמה סקריפטים כאלו בפיתון, בפרל ויש גם בשפת C לחתימה עוד יותר נמוכה מבחינת 'מעמסה' על המחשב.

יום טוב!