Как обезопасить продакшн на сервере с Ubuntu?
Привет. В свете последних событий с моим продакшн-сервером, на который обрушилась брутфорс-атака на SSH, я настроил Fail2Ban и всерьёз задумался над безопасностью сервера в целом и у меня возник ряд вопросов, на который я бы хотел услышать ответы. Итак:
- Почему небезопасно работать под рутом?
- Как защитить SSH с помощью SSH-ключа и насколько это безопаснее простого логин-пароля?
- Что делать, если я потеряю свой SSH-ключ?
















Ответы - Как обезопасить продакшн на сервере с Ubuntu? / Как обезопасить продакшн на сервере с Ubuntu?

26.07.2017 10:29:28
2й год работаю под рутом на 3000 серверах в 15 стран мира пока ничего не сломано. По соображениям безопасности ключи использовать запрещено.
Главное читать внимательно документацию. Ключи могут стать большой проблемой если у вас постоянная текучка кадров, постоянная смена не рабочих станций на новые. Бронировать публичный хостинг от брут атак задача динамическая.
- Анализируйте логи;
- Обновляйте пакеты безопасности, в дистрибутивах поддерживаются автоматические обновления;
- Придерживайтесь минимализма устаноаленных програм,
- Составте отчет, что установленно какие права доступа имеет и т.д.;
- Ограничте зоны, исключив не целевые страны из белого списка;
- Поставте двойную авторизацию (стандарт в наши дни) и ограничте хосты для доступа по ssh;
- Добавте в белую зону ваш публичный айпи офиса и дома от куда будет проводится подлючение;
По факту:
Почему небезопасно работать под рутом?
Работа под любым пользователем в *nix ОС чревата проблемамы, если не знаеш, что творишь. Нет "защиты от дурака" как в Win. Удалял кучу своих файлов когда начинал работу, пример убийцы:
~$ rm -rf ~/Downlods/ *
Пробел поле последнего слеш сотрет весь ваш домашний каталог вместо очистки Downloads...
Как защитить SSH с помощью SSH-ключа и насколько это безопаснее простого логин-пароля?
Удобнее это факт. Безопаснее, не совсем. Пример: станция была украдена с RSA ключем ко всей вашей сети, что делать? Админ в командировке :)
Что делать, если я потеряю свой SSH-ключ?
На своем тестовом сервере я прошу тех поддержку сменить пароль, отключить авторизацию только по ключу.
дополнение 26/07/17
О настройке и хранении ключей.
Хашируйте known_hosts
~$ ssh-scankey -H hostname >> ~/.ssh/known_hosts
Ссылки
- https://wiki.mozilla.org/Security/Guidelines/OpenSSH
- https://www.linux.com/learn/how-set-2-factor-authentication-login-and-sudo
- https://askubuntu.com/q/262937
- https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/chap-system_auditing.html#sec-audit_system_architecture






