Un extraño se ha infiltrado en mi servidor utilizando mis calificaciones de usuario root.
Con la contraseña de root cambiada, estoy tratando de encontrar estrategias adicionales para proteger el servidor.
Utilizando el/etc/hosts.allowy/etc/hosts.denegarParece una solución viable para gestionar el acceso por dirección IP, pero tengo un problema potencial.
Quiero especificar la IP de mi trabajo en el archivo hosts.allow. Sin embargo, el problema es que el proveedor de servicios puede cambiar la dirección IP. Si eso sucede, se me bloqueará el acceso a mi servidor.Nuestro servidor es autogestionado.
¿Alguien puede iluminarme sobre cómo prevenir o superar este escenario, por favor?
Respuesta1
Tomé varias medidas para proteger mis servidores:
El primero es el obvio:
No ejecutar ssh en un puerto estándar le permitirá deshacerse de los ataques habituales de skript kiddies.
El segundo también es de última generación:
Utilice un demonio de golpe. Un demonio knock primero espera una secuencia de accesos a puertos y protocolos específicos antes de abrir el puerto para la conexión ssh en el servidor. Por lo tanto, el servidor ssh es invisible para cualquier atacante hasta que alcanza la secuencia de puerto correcta con un cliente knock. La mayoría de las implementaciones de knock (daemon) proporcionan un mecanismo para integrar secuencias transaccionales, por lo que la secuencia de knock se cambia después de cada inicio de sesión exitoso.
Con esta configuración estándar, se le proporciona una capa de seguridad un poco mayor.
También se recomienda utilizar nombres de usuario y contraseñas cifrados y restringir el inicio de sesión ssh a un usuario específico (no root). Luego puede cambiar al usuario raíz en el servidor al ejecutar tareas raíz.
La instalación de un sistema de monitoreo como nagios también brinda más seguridad para usted y su entorno, es fácil de configurar y también se proporciona a través del sistema de empaquetado ubuntu. Puede configurarlo para que le envíe correos electrónicos cuando alguien inicie sesión en su servidor a través de ssh, de modo que al menos obtendrá la información que necesita para realizar más investigaciones.
Pero, para ser honesto: si alguien accedió a su servidor como root, debe realizar una reinstalación completa de todo. Podría haber reemplazos de binarios que no son fáciles de detectar, introduciendo puertas traseras. Imagine que ejecuta un comando simple como useradd y los binarios han sido reemplazados de modo que mientras se ejecuta el comando se abre una conexión tcp y se envían las credenciales de usuario a su intruso. O, peor aún: el binario del servidor ssh ha sido reemplazado por una versión personalizada que permite el acceso a través de una determinada combinación de usuario, contraseña.
Respuesta2
Compre una IP estática del proveedor.
Respuesta3
Además de la respuesta de @ Kazimieras, también puedes usar un sistema comodyndnsy agregue su nuevo nombre de host a etc/hosts.allow
.
Respuesta4
Tal vez puedas configurar una conexión VPN entre tu servidor y la red de tu oficina.