- Уважаемый Аноним, вы очень обще ставите вопрос Боюсь, что в рамках форума на не, Licha Morada (ok), 19:52 , 29-Окт-19 (1) +3
Уважаемый Аноним, вы очень обще ставите вопрос. Боюсь, что в рамках форума на него будет трудно ответить. Поможет, если вы выработаете и покажете список мер, указывая какую конкретную задачу решает каждая, а в форуме их "поругают".Посмотрите https://www.cyberciti.biz/tips/linux-security.html, и вообще выдачу на поисковый запрос "debian server hardening". Насколько враждебны пользователи? Вы говорите "публичный", это в смысле в Интернете, но для своих, или в смысле что туда будет ходить кто попало без SMS? > Достаточно ли будет на голом дебиане добавить правила в фаервол, что бы > нельзя было делать исходящие соединения? Нет, не достаточно. Надо следить за входящими соединениями, конфигурацией тех сервисов, которые опубликованны, не ставить ничего лишнего, следить за обновлениями, банить наугодных, награждать праведных и не впадать в уныние. Конкретно касаемо исходящих соединений. От чего вы защищаетесь? От пользователей которые будут целенаправленно стараться закачать какую-нибудь малварь это не поможет, при наличии SSH есть несколько способов этого добиться не делая исходящих соединений. Мера больше тетральная, но я могу представить себе кейсы когда она будет реально способствовать. Я бы наоборот, рекомендовал дропать все входящие, кроме тех которые точно нужны, в качестве меры защиты пользователей которые норовят запускать левые сервисы в userspace, и им сразу прилетает подарок из Интернета. Технические рекомендаци найдите в доках, их много, они разные. Некоторые более смысленные, некоторые так себе. Посмотрите несколько, обратите особое внимание на меры в которых разные источники совпадают, скорее всего они наиболее важны. А что касается не технических мер:.. Устанавливайте только минимально необходимый софт. Идентифицируйте ВСЕХ своих пользователей. Следите, чтобы пользователи не делились друг с другом ключами и паролями. Пусть за каждого пользователя кто-нибудь персонально поручится. В рамках организации на роль поручителя хорошо подходит начальник отдела, но это не всегда и не точно. Заранее приготовьте план, что будете делать если/когда заподозрите что вас таки сломали. В смысле, как будете сносить всё и устанавливать заново. Если это как следует спланировать и отрепетировать, то оно не так трудеёмко как кажется. Удачи.
- Лучше будет пойти по пути ограничения возможности запуска программ Если у юзера, Аноним (2), 09:57 , 30-Окт-19 (2)
> Здравствуйте, > хочу поднять публичный сервер debian, на которой смогут заходить разные пользователи по > ssh, > запускать предустановленные программы(vim,mc,ls,make,gcc,gdb и т.д). > Посоветуйте мануал или как настроить сервер, что бы его не поламали и > не ddos-ли с него. > Достаточно ли будет на голом дебиане добавить правила в фаервол, что бы > нельзя было делать исходящие соединения?Лучше будет пойти по пути ограничения возможности запуска программ. Если у юзера будет только bin/sh и перечисленные программы, не будет разрешений на сеть, есть шанс, что взломают не так быстро. Особенно если доступ будет не анонимным. Вам ещё придется квотировать место, проц и память. Может оказаться проще выдавать каждому по персональной виртуальной машине.
- Хочу поднять публичный сервер, такой же как тут https overthewire org wargame, Аноним (3), 10:28 , 30-Окт-19 (3)
Хочу поднять публичный сервер, такой же как тут: https://overthewire.org/wargames/ . Что бы люди могли там запускать что угодно(в том числе gdb,gcc,perl,python), но что бы не мешали друг другу и не могли ddos-ть/брутфорсить сервера в нете.
- Судя по вопросу, ответ должен быть нет или не сможешь Хотя, кто ж тебя зна, Andrey Mitrofanov_N0 (??), 10:37 , 30-Окт-19 (4)
|