Restrição de acesso baseada em Ubuntu Apache IP

Restrição de acesso baseada em Ubuntu Apache IP

Meu servidor foi infiltrado por alguém de fora usando minhas qualificações de usuário root.

Com a senha root alterada, estou tentando encontrar estratégias extras para proteger o servidor.

Usando o/etc/hosts.allowe/etc/hosts.denyparece uma solução viável para gerenciar o acesso por endereço IP, mas tenho um problema potencial.

Quero especificar meu IP de trabalho no arquivo hosts.allow. A questão, porém, é que o endereço IP pode ser alterado pelo provedor de serviços. Se isso acontecer, serei bloqueado no meu servidor.Nosso servidor é autogerenciado.

Alguém pode me esclarecer sobre como prevenir ou superar esse cenário, por favor?

Responder1

Tomei várias medidas para proteger meus servidores:

O primeiro é o óbvio:

Não execute o ssh em uma porta padrão para se livrar dos ataques usuais do skript kiddies.

O segundo também é de última geração:

Use um daemon de batida. Um daemon knock - primeiro aguarda uma sequência de acessos em portas e protocolos específicos antes de abrir a porta para a conexão ssh no servidor. Portanto, o servidor ssh fica invisível para qualquer invasor até que ele atinja a sequência de porta correta com um cliente knock. A maioria das implementações knock - daemon - fornece um mecanismo para integração de sequências transacionais, de modo que a sequência knocking é alterada após cada login bem-sucedido.

Com esta configuração padrão, você recebe um pouco mais de camada de segurança.

Usar nomes de usuário e senhas criptografados e restringir o login ssh a um usuário específico (não root) também é recomendado. Você pode então mudar para o usuário root no servidor ao executar tarefas root.

Instalar um sistema de monitoramento como o nagios também oferece mais segurança para você e seu ambiente, é fácil de configurar e também fornecido através do sistema de empacotamento do Ubuntu. Você pode configurá-lo para enviar e-mails quando alguém estiver fazendo login em seu servidor via ssh, para que pelo menos você obtenha as informações necessárias para realizar mais investigações.


Mas, para ser sincero: se alguém acessou seu servidor como root, você deverá fazer uma reinstalação completa de tudo. Pode haver substituições de binários que não são fáceis de detectar, introduzindo backdoors. Imagine que você executa um comando simples como useradd e os binários foram substituídos para que, durante a execução do comando, uma conexão TCP seja aberta e as credenciais do usuário sejam enviadas ao seu intruso. Ou, pior: o binário ssh - server foi substituído por uma versão personalizada que permite o acesso através de uma determinada combinação de usuário - senha.

Responder2

Compre um IP estático do provedor.

Responder3

Além da resposta de @Kazimieras você também pode usar um sistema comodindnse adicione seu novo nome de host a etc/hosts.allow.

Responder4

Talvez você possa configurar uma conexão VPN entre o seu servidor e a rede do seu escritório

informação relacionada