Protect VDS

What: #notes

Заметка про то, как обезопасить выделенный сервер. Допустим, вы решили купить сервер и опубликовать какую-нибудь страничку в Сети. Можете приготовиться к тому, что ваш сервер будут постоянно атаковать все кому ни лень, начиная от поисковых ботов и заканчивая сканерами. Ущерб может быть различным и если не будет пропатчено то, что торчит в Сеть, оно будет проэксплуатировано рано или поздно. В связи с этим, нашел на просторах своих заметок файл с правилами Iptables и решил составить небольшой список того, что бы я сам сделал первым делом для защиты от вышеуказанного типа злоумышленника.

  1. Поменять дефолтный 22 порт ssh. Вариант, когда человек целенаправленно по всем портам сканирует сервер не рассматривается по понятным причинам)
  2. Установить fail2ban. Сервис предоставляет защиту сервера ssh от брутфорса. Неуспешных попыток входа больше установленного порога? В бан на 10 минут (или на целый день, как вам будет угодно).
  3. Настройка правил iptables. Устанавливаем в DROP всё с icmp, запрет на все порты, кроме сервисов ssh, http, https. http в обязательном порядке нужно держать открытым, т.к. для установки https соединения, обращение сначала пойдёт по 80-ому порту (если не указывать специально протокол https:// ) Файл с правилами можно взять отсюда.

P.S.: просто как идея: а можно ли подозрительные User-Agents скормить конфигурационному файлу jail.conf в fail2ban, чтобы отсекать nmap/sqlmap и прочие curlы и тем самым держать access.log сервера в чистоте и порядке? 🧐