7 мер безопасности для защиты ваших серверов

С SSH любой вид аутентификации, включая аутентификацию по паролю, полностью зашифрован. Однако, когда разрешены входы на основе пароля, злоумышленники могут неоднократно пытаться получить доступ к серверу. Благодаря современным вычислительным возможностям можно получить доступ к серверу, автоматизируя эти попытки и пробуя комбинацию за комбинацией, пока не будет найден правильный пароль.

Настройка аутентификации по ключу SSH позволяет отключить аутентификацию на основе пароля. Ключи SSH, как правило, содержат намного больше битов данных, чем пароль, а это означает, что существует значительно больше возможных комбинаций, через которые злоумышленнику придется пройти. Многие алгоритмы SSH-ключей считаются невосприимчивыми современным компьютерным оборудованием просто потому, что им потребуется слишком много времени для прохождения возможных совпадений.

Ключи SSH очень просты в настройке и являются рекомендуемым способом удаленного входа в любую серверную среду Linux или Unix. На вашем компьютере может быть сгенерирована пара ключей SSH, и вы можете передать открытый ключ на ваши серверы в течение нескольких минут.

Чтобы узнать, как настроить ключи, следуйтеthis guide. Если вы все еще чувствуете, что вам нужна аутентификация по паролю, рассмотрите возможность внедрения на своих серверах такого решения, какfail2ban, чтобы ограничить возможность подбора пароля.

Межсетевые экраны являются неотъемлемой частью любой конфигурации сервера. Даже если ваши службы сами реализуют функции безопасности или ограничены интерфейсами, на которых вы хотите их запускать, брандмауэр служит дополнительным уровнем защиты.

Правильно настроенный брандмауэр ограничит доступ ко всему, кроме определенных сервисов, которые вам необходимо оставить открытыми. Разоблачение всего лишь нескольких частей программного обеспечения уменьшает поверхность атаки вашего сервера, ограничивая компоненты, уязвимые для эксплуатации.

Есть много брандмауэров, доступных для систем Linux, некоторые из которых имеют более крутой кривой обучения, чем другие. В целом, однако, настройка брандмауэра должна занять всего несколько минут и должна произойти только во время первоначальной настройки вашего сервера или при внесении изменений в то, какие услуги предлагаются на вашем компьютере.

Простой выбор -UFW firewall. Другие варианты - использоватьiptables илиCSF firewall.

Использование частных сетей вместо общедоступных для внутренней коммуникации почти всегда предпочтительнее, учитывая выбор между ними. Однако, поскольку другие пользователи в центре обработки данных имеют доступ к той же сети, вы все равно должны принять дополнительные меры для защиты связи между вашими серверами.

По сути, использование VPN - это способ наметить частную сеть, которую могут видеть только ваши серверы. Общение будет полностью приватным и безопасным. Другие приложения могут быть настроены на передачу своего трафика через виртуальный интерфейс, который предоставляет программное обеспечение VPN. Таким образом, в общедоступной сети должны быть доступны только те услуги, которые предназначены для использования клиентами в общедоступном Интернете.

Использовать частные сети в центре обработки данных, который имеет такую ​​возможность, так же просто, как включить интерфейс во время создания вашего сервера и настроить ваши приложения и брандмауэр на использование частной сети. Имейте в виду, что частные сети всего центра обработки данных совместно используют пространство с другими серверами, которые используют ту же сеть.

Что касается VPN, начальная настройка немного сложнее, но повышенная безопасность того стоит для большинства случаев использования. Каждый сервер в VPN должен иметь общие данные безопасности и конфигурации, необходимые для установки и настройки безопасного соединения. После запуска VPN приложения должны быть настроены на использование VPN-туннеля. Чтобы узнать о настройке VPN для безопасного подключения вашей инфраструктуры, ознакомьтесь с нашимиOpenVPN tutorial.

Создание центра сертификации и управление сертификатами для ваших серверов позволяет каждому объекту в вашей инфраструктуре проверять личность других участников и шифровать их трафик. Это может предотвратить атаки «человек посередине», когда злоумышленник имитирует сервер в вашей инфраструктуре для перехвата трафика.

Каждый сервер может быть настроен на доверие централизованному центру сертификации. После этого любому сертификату, который подписывает орган, можно неявно доверять. Если приложения и протоколы, которые вы используете для связи, поддерживают шифрование TLS / SSL, это способ шифрования вашей системы без использования VPN-туннеля (который также часто использует SSL для внутреннего использования).

Конфигурирование центра сертификации и настройка остальной инфраструктуры открытого ключа может потребовать довольно много первоначальных усилий. Кроме того, управление сертификатами может создать дополнительную нагрузку на администрацию, когда новые сертификаты должны быть созданы, подписаны или отозваны.

Для многих пользователей внедрение полноценной инфраструктуры открытых ключей будет иметь больше смысла по мере роста их потребностей в инфраструктуре. Защита обмена данными между компонентами с использованием VPN может быть хорошей мерой ограничения пробела, пока вы не достигнете точки, когда PKI стоит дополнительных административных расходов.

Серверы запускают множество процессов для внутренних целей и для обработки внешних клиентов. Каждый из них представляет собой расширенную поверхность атаки для злоумышленников. Чем больше сервисов у вас работает, тем больше вероятность наличия уязвимости в вашем доступном программном обеспечении.

Как только вы получите представление о том, какие сетевые службы работают на вашем компьютере, вы можете приступить к анализу этих служб. Некоторые вопросы, которые вы захотите задать себе для каждого из них:

Этот тип аудита службы должен быть стандартной практикой при настройке любого нового сервера в вашей инфраструктуре.

Провести базовый аудит службы невероятно просто. Вы можете узнать, какие службы прослушивают порты на каждом интерфейсе, используя командуnetstat. Простой пример, который показывает имя программы, PID и адреса, используемые для прослушивания трафика TCP и UDP:

Вы увидите вывод, который выглядит следующим образом:

Основными столбцами, на которые следует обратить внимание, являютсяProto,Local Address иPID/Program name. Если адрес0.0.0.0, то служба принимает соединения на всех интерфейсах.

Подобно вышеприведенному аудиту на уровне обслуживания, если вы серьезно относитесь к обеспечению безопасности системы, очень полезно иметь возможность выполнять аудит на уровне файлов вашей системы. Это может быть сделано периодически администратором или как часть автоматизированных процессов в IDS.

Эти стратегии являются одними из единственных способов быть абсолютно уверенными в том, что ваша файловая система не была изменена каким-либо пользователем или процессом. По многим причинам злоумышленники часто хотят оставаться скрытыми, чтобы они могли продолжать использовать сервер в течение длительного периода времени. Они могут заменить двоичные файлы скомпрометированными версиями. Проведение аудита файловой системы покажет вам, были ли какие-либо файлы изменены, что позволит вам быть уверенным в целостности вашей серверной среды.

Внедрение IDS или проверка файлов могут быть довольно интенсивным процессом. Первоначальная конфигурация включает в себя информирование системы аудита о любых нестандартных изменениях, внесенных вами на сервер, и определение путей, которые следует исключить для создания базового значения.

Это также делает повседневную деятельность более сложной. Это усложняет процедуры обновления, так как вам потребуется перепроверить систему перед запуском обновлений, а затем воссоздать базовый уровень после запуска обновления, чтобы зафиксировать изменения в версиях программного обеспечения. Вам также необходимо выгрузить отчеты в другое место, чтобы злоумышленник не мог изменить аудит, чтобы скрыть свои следы.

Хотя это может увеличить нагрузку на администрацию, возможность проверить вашу систему на наличие заведомо исправной копии - это единственный способ убедиться, что файлы не были изменены без вашего ведома. Некоторые популярные системы аудита / обнаружения вторжений:Tripwire иAide.

Изоляция ваших процессов в отдельных средах выполнения повышает вашу способность изолировать любые проблемы с безопасностью, которые могут возникнуть. Подобно тому, какbulkheads и отсеки могут помочь сдерживать пробоины в корпусе судов, разделение ваших отдельных компонентов может ограничить доступ злоумышленника к другим частям вашей инфраструктуры.

В зависимости от типа локализации, которую вы выбираете, изоляция ваших приложений может быть относительно простой. Упаковав ваши отдельные компоненты в контейнеры, вы можете быстро достичь определенной степени изоляции, но учтите, что Docker не считает, что его контейнеризация является функцией безопасности.

Настройка средыchroot для каждой части также может обеспечить некоторый уровень изоляции, но это также не надежный метод изоляции, поскольку часто существуют способы выхода из средыchroot. Перемещение компонентов на выделенные машины - это лучший уровень изоляции, а во многих случаях это может быть самым простым, но для дополнительных машин это может стоить дороже.