Задать вопрос
opium
@opium
Просто люблю качественно работать
linux

Как вы защищаете свои linux сервера?

Ставите rkhunter?
Конфигурите iptables?
fail2ban?
Используете mod_security для apache?
Naxis для nginx?
Snort у всех стоит?
Что то ещё делаете?
  • Вопрос задан
  • 4947 просмотров
Комментировать
Подписаться 50 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 8
@cat_crash
Сильно зависит от ролей сервера.
Конкретно боевые:
rkhunter
iptables
никаких открытых портов кроме HTTP(s)/SSH
SSH только с разрешенных IP (whitelist)

У меня роль: Платформа для PHP собственного публичного проекта.
Ответ написан
4 комментария
4 комментария
litos
@litos
Регулярные апдейты, ssh c доверенных IP-адресов, авторизация по ключам и сложные пароли.
Ответ написан
2 комментария
2 комментария
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
То что видел в нескольких конторах
отдельный влан и отдельная подсеть с отдельным внутренним маршрутизатором, куда смотрят ssh/telnet серверов, коммутаторов, роутеров, iLO, DRAC, IPMI и куда пускаются только айпишники системных администраторов, там же живет виртуалка мониторинга, статистики.
dot1x — включиться можно в любой порт любого коммутатора, порт сконфигурируется автоматически по логину/паролю — иначе отдельный влан, подсеть, днс, веб сервер со форвардом всего на страничку «Ты кто такой?» и уведомлением администратора.
отдельный влан и подсети для рабочих станций/принтеров, серверов, DMZ.
внутренние сети из рабочих станций и серверов допускаются только на строго определённые адреса контроллеры домена, фтп, днс, прокси и т.п внутренним маршрутизатором.
а чисто по серверам — виртуалки, бекапы, снапшоты, сложные пароли, логин рута в убунтах и так заблокирован, наружу смотрят сервисы только те, которые реально должны смотреть, остальное NAT. регулярное обновление серверов и сервисов, использование только официальных источников п/о — либо репозитории дистрибутива, либо официальный сайт программы.
это только то, что я могу проверить как администратор
Ответ написан
Комментировать
Комментировать
@VolCh
Всё, кроме nginx и sshd, слушает 127.0.0.1. root логиниться не может даже локально. Каждое приложение свой набор пользователей. Удаленный вход только по ключам.
Ответ написан
8 комментариев
8 комментариев
VBart
@VBart
Грамотно настроенная и периодически обновляемая Hardened Gentoo.
Ответ написан
3 комментария
3 комментария
Alukardd
@Alukardd
rkhunter и в дополнение бегает chkrootkit
ssh только по сертификатам, хотя за root'а вход почти всегда оставляю. Однако ssh ныкаю от внешнего мира через iptables knock.
Кое-где использую tripwire для контроля целостности.
fail2ban бегает. Постоянно стопит bruteforce Asterisk'а)
Ответ написан
1 комментарий
1 комментарий
charon
@charon
iptables — главная защита. Также в ssh задан список логинов, которым разрешён вход.
Ответ написан
2 комментария
2 комментария
shanker
@shanker
у меня сервер с виртуалками, к которым мне нужен удалённый доступ. там же БД и web-сервер. Пробрасываю все необходимые коннекты до всех сервисов через SSH tunneling. Т.е. в инет «светит» только SSH на нестандартном порту. Сам сервер подключён через роутер к инету. На роутере баню необходимым виртуалкам инет (полностью или по определённым портам) по MAC-адресу
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Программист C для Embedded Linux
Radiofid Санкт-Петербург
от 120 000 до 180 000 ₽
Linux Администратор DevOps
ИМАГ Москва
от 150 000 до 170 000 ₽
Программист C/C++ embedded Linux
РТК Автоматика Москва
от 170 000 до 250 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Анимация логотипа
24 апр. 2024, в 00:08
20000 руб./за проект
Разработка дизайна раздела «Статьи» на сайте «Мир отходов»
23 апр. 2024, в 23:01
10000 руб./за проект
Дизайн личного кабинета (клиентская часть)
23 апр. 2024, в 22:37
500 руб./в час
Ещё заказы