opium
@opium
Просто люблю качественно работать

Как вы защищаете свои linux сервера?

Ставите rkhunter?
Конфигурите iptables?
fail2ban?
Используете mod_security для apache?
Naxis для nginx?
Snort у всех стоит?
Что то ещё делаете?
  • Вопрос задан
  • 4737 просмотров
Пригласить эксперта
Ответы на вопрос 8
@cat_crash
Сильно зависит от ролей сервера.
Конкретно боевые:
rkhunter
iptables
никаких открытых портов кроме HTTP(s)/SSH
SSH только с разрешенных IP (whitelist)

У меня роль: Платформа для PHP собственного публичного проекта.
Ответ написан
litos
@litos
Регулярные апдейты, ssh c доверенных IP-адресов, авторизация по ключам и сложные пароли.
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
То что видел в нескольких конторах
отдельный влан и отдельная подсеть с отдельным внутренним маршрутизатором, куда смотрят ssh/telnet серверов, коммутаторов, роутеров, iLO, DRAC, IPMI и куда пускаются только айпишники системных администраторов, там же живет виртуалка мониторинга, статистики.
dot1x — включиться можно в любой порт любого коммутатора, порт сконфигурируется автоматически по логину/паролю — иначе отдельный влан, подсеть, днс, веб сервер со форвардом всего на страничку «Ты кто такой?» и уведомлением администратора.
отдельный влан и подсети для рабочих станций/принтеров, серверов, DMZ.
внутренние сети из рабочих станций и серверов допускаются только на строго определённые адреса контроллеры домена, фтп, днс, прокси и т.п внутренним маршрутизатором.
а чисто по серверам — виртуалки, бекапы, снапшоты, сложные пароли, логин рута в убунтах и так заблокирован, наружу смотрят сервисы только те, которые реально должны смотреть, остальное NAT. регулярное обновление серверов и сервисов, использование только официальных источников п/о — либо репозитории дистрибутива, либо официальный сайт программы.
это только то, что я могу проверить как администратор
Ответ написан
Всё, кроме nginx и sshd, слушает 127.0.0.1. root логиниться не может даже локально. Каждое приложение свой набор пользователей. Удаленный вход только по ключам.
Ответ написан
VBart
@VBart
Грамотно настроенная и периодически обновляемая Hardened Gentoo.
Ответ написан
Alukardd
@Alukardd
rkhunter и в дополнение бегает chkrootkit
ssh только по сертификатам, хотя за root'а вход почти всегда оставляю. Однако ssh ныкаю от внешнего мира через iptables knock.
Кое-где использую tripwire для контроля целостности.
fail2ban бегает. Постоянно стопит bruteforce Asterisk'а)
Ответ написан
charon
@charon
iptables — главная защита. Также в ssh задан список логинов, которым разрешён вход.
Ответ написан
shanker
@shanker
у меня сервер с виртуалками, к которым мне нужен удалённый доступ. там же БД и web-сервер. Пробрасываю все необходимые коннекты до всех сервисов через SSH tunneling. Т.е. в инет «светит» только SSH на нестандартном порту. Сам сервер подключён через роутер к инету. На роутере баню необходимым виртуалкам инет (полностью или по определённым портам) по MAC-адресу
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы