На многих администрируемых серверах, всегда сталкиваюсь с ddos атаками на http. Не открою большею секрет, сказав что от доброй ddos атаки на сервере затвориться абсолютно не действительно, забьют подделывал и привет, дальше или ssh не доступен, либо хостер объединяет сервер за превышение трафика ( факты были ). Хотя уменьшать ущерб от маленький атаки на веб-сайт достаточно вероятно и на сервере. В исходном материале осмотрим применение geoip модуля nginx для высокой защиты от ddos атак.

Фактически для чего вобщем воспрещать доступ к веб-сайту по географическому признаку ? Правда элементарно 80% IP адресов участвующих в ddos нападению, обычно относятся государствам, обитатели каких ни в какое время не зайдут на этот веб-сайт, конечно сие чисто персонально для любого ресурса и ежели вы видите что часть ваших гостей доводит из Эфиопии либо Страна, объединять их, вы вряд-ли пожелаете. Около большинства-же моих покупателей, географическое размещение гостей, как правило ограничивается Евр ...
Читать дальше »

Сервера, которые используют для веб-хостинг - этo нe маловажно. Teм больше если нa сервере много клиентов. Часто пользователи , (этого следовало ожидать), ленятся устанавливать «сложные» пароли нa ftp , «запоминают» пароли в браузерах а так же т.п.На сервер , как бы это не звучало глупо, попадает вредоносный код, а так же выполняет свою черную миссию. Объяснить пользователю чтo огромная проблема вызвана eгo нe внимательностью или ленью a тeм побольше исправить ситуацию порой довольно очень сложно. И сим , просто-напросто, приходится заниматься админу. B свою очередь, админ нe может постоянно лазить пo папкам клиента а так же , , выискивать тaм чего-то. Во-первых – этo полная информация клиента, которую , (по последним данным), обшаривать нe стоит, во-вторых администратор нe может знать а так же помнить структуру cms, у какого движка какой файлик должен быть, какого нeт и т.п. A eщe могут , (по последним данным), пробывать самописные двиги, этo вообще темный лес.

Но «предохраняться» ...
Читать дальше »

В этой очень информационной статье я кратко опишу шаги для анализа сетевых портов в Unix-системах, их наличие, соответственно, - уязвимы!Основным инструментом для анализа - утилита NetStat. Вы можете также использовать сторонних разработчиков, например, - Nmap.

Я начну с основных NetStat ключей:

[-hide-]-a Показывать состояние всех сокетов;

-i Выдать статистическую информацию обо всех сетевых адаптеров;

-с Непрерывно выдавать информацию о состоянии сети;

-n Показывает IP-адреса удаленной и локальной системы;

-r Показывает таблицу маршрутизации;

-s Показавает статистическую информацию по протоколам;

-t Выдать информацию только о tcp-сокетах;

-u Выдать информацию только о udp-сокетах;

-p Показать имя протокола;

-l Выделить информацию об указанном интерфейсе в отдельный столбец; по умолчанию используется интерфейс с наибольшим объемом переданной информации с момента последней перезагрузки системы.

Далее рассмотрим примеры использование команды netstat: ...
Читать дальше »

Защита веб-серверы Apache

Как вы знаете, Apache, услужливо показывает все ОС, которая установлена, ее версии и версии установленных модулей. Одним словом - почему мы? И уж тем более не нужно знать посторонним.

Так ,что теперь надо скрыть все данные. Нужно изменить конфигурационный файлик Apache:

[-hide-]CentOS/RHEL/Fedora

# vi /etc/httpd/conf/httpd.conf

Debian/Ubuntu

# vi /etc/apache2/conf.d/security

FreeBSD

# ee /usr/local/etc/apache22/httpd.conf

Находим следующии строчки:

ServerTokens OS (или Full)

ServerSignature On

и изменим их на следующии:

ServerTokens Prod

ServerSignature Off

Проверить результат можно при помощи команды curl и указав имя вашего сайта:

# curl -I www.test.ru

Скрываем заголовки.

Для управления заголовками требуется модуль mod_headers.

Заголовки, исходящие от браузера, управляются директивой RequestHeader. Например, можно изменить заголовок User-Agent, запретить передачу Referer и Cookie:

RequestHeader se ...
Читать дальше »

Скорее для отчетности запишу, ,что бы не забыть ,что сделано.

При установке системы заведен пользователь Alex, добавлен в группу wheel.Человек больше работает с linux, захотел bash.

Захотел, и поставил:

[-hide-] #cd /usr/ports/shels/bash
#make
#make install
#make clean

Далее заходим под желаемым пользователем, в нашем случае Alex и

Alex$ chsh -s /usr/local/bin/bash

В итоге баш только у пользователя Alex.[-hide-] ...
Читать дальше »

FreeBSD8.

Фаервол установлен при установке ISPmanager, о чем сведетельствуют строчки

ee /etc/rc.conf

firewall_enable=»YES»
firewall_type=»/etc/firewall.conf»

Впишем немного правил:

[-hide-] ee /etc/firewall.conf

add deny log tcp from any 135-139,445,543 to any
add deny log ip from any to any not verrevpath in
add reject tcp from any to any not established tcpflags fin
add reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
add reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
add allow tcp from any to me limit src-addr 20[-hide-] ...
Читать дальше »

IPFW – ограничим доступ к SSH

Случилось так, ,что каждый, кто имеет доступ к серверу имеет выделенный IP.

Здесь описаны минимальные меры безопасности в SSH в конфигурации по умолчанию.

Делаем следующее:

[-hide-]Меняем порт для SSH:

ee /etc/ssh/sshd_config

Port 5050

Хочу заметить ,что на сервере установлена ISPmanager pro которая поставила с собой IPFWОграничиваем доступ фаерволом:

ee /etc/firewall.conf

# SSH
0100 add allow tcp from 9x.xx4.1xx.4X to me 5050
0200 add allow tcp from 80.x2.25x.1xx to me 5050
0300 add allow tcp from 1xx.x7.23x.16X to me 5050
0400 add allow tcp from xx5.1xx.2×9.22x to me 5050
0500 add deny tcp from any to me dst-port 5050
0600 add deny tcp from any to me dst-port 22

Первые 4 правила разрешают доступ к порту 5050 (SSH) с нужных мне IP , 5-е правило закрывает доступ к порту 5050 если ip не указан в правилах 0100 – 0400 . Последнее правило закрывает доступ к 22 порту.

Перезапускаем ...
Читать дальше »