Mein Server wurde von einem Außenstehenden unter Verwendung meiner Root-Benutzeranmeldeinformationen infiltriert.
Nachdem das Root-Passwort geändert wurde, versuche ich, zusätzliche Strategien zur Sicherung des Servers zu finden.
Verwendung der/etc/hosts.allowUnd/etc/hosts.denyscheint eine praktikable Lösung zu sein, um den Zugriff per IP-Adresse zu verwalten, aber ich habe ein potenzielles Problem.
Ich möchte meine Arbeits-IP in der Datei hosts.allow angeben. Das Problem ist jedoch, dass die IP-Adresse vom Dienstanbieter geändert werden kann. Wenn das passiert, werde ich von meinem Server ausgesperrt.Unser Server wird selbst verwaltet.
Kann mich bitte jemand darüber aufklären, wie ich dieses Szenario verhindern oder überwinden kann?
Antwort1
Ich habe mehrere Schritte unternommen, um meine Server zu sichern:
Das erste ist offensichtlich:
Wenn Sie SSH nicht auf einem Standardport ausführen, werden Sie die üblichen Angriffe der Skript-Kiddies vermeiden.
Auch die zweite Variante ist auf dem neuesten Stand der Technik:
Verwenden Sie einen Knock-Daemon. Ein Knock-Daemon wartet zunächst auf eine Abfolge von Treffern auf bestimmten Ports und Protokollen, bevor er den Port für die SSH-Verbindung auf dem Server öffnet. So ist der SSH-Server für Angreifer unsichtbar, bis sie mit einem Knock-Client die richtige Port-Abfolge treffen. Die meisten Knock-Daemon-Implementierungen bieten einen Mechanismus zum Integrieren transaktionaler Abfolgen, so dass die Knock-Abfolge nach jedem erfolgreichen Login geändert wird.
Mit dieser Standardkonfiguration verfügen Sie über eine etwas erweiterte Sicherheitsebene.
Es wird außerdem empfohlen, verschlüsselte Benutzernamen und Passwörter zu verwenden und die SSH-Anmeldung auf einen bestimmten (Nicht-Root-)Benutzer zu beschränken. Sie können dann beim Ausführen von Root-Aufgaben auf dem Server zum Root-Benutzer wechseln.
Die Installation eines Überwachungssystems wie Nagios bietet Ihnen und Ihrer Umgebung außerdem mehr Sicherheit. Es ist einfach zu konfigurieren und wird auch über das Ubuntu-Paketsystem bereitgestellt. Sie können es so konfigurieren, dass Ihnen E-Mails gesendet werden, wenn sich jemand über SSH bei Ihrem Server anmeldet. So erhalten Sie zumindest die Informationen, die Sie für weitere Untersuchungen benötigen.
Aber seien wir ehrlich: Wenn jemand als Root auf Ihren Server zugegriffen hat, sollten Sie alles komplett neu installieren. Es könnten Binärdateien ersetzt worden sein, die nicht leicht zu erkennen sind und Hintertüren einführen. Stellen Sie sich vor, Sie führen einen einfachen Befehl wie useradd aus und die Binärdateien wurden ersetzt, sodass während der Ausführung des Befehls eine TCP-Verbindung geöffnet wird und Benutzeranmeldeinformationen an Ihren Eindringling gesendet werden. Oder schlimmer noch: Die SSH-Server-Binärdatei wurde durch eine angepasste Version ersetzt, die den Zugriff über eine bestimmte Benutzer-Passwort-Kombination ermöglicht.
Antwort2
Kaufen Sie eine statische IP vom Anbieter.
Antwort3
Zusätzlich zur Antwort von @Kazimieras können Sie auch ein System wiedyndnsund fügen Sie Ihren neuen Hostnamen hinzu etc/hosts.allow
.
Antwort4
Möglicherweise können Sie eine VPN-Verbindung zwischen Ihrem Server und Ihrem Büronetzwerk einrichten