Restrição de acesso baseada em Ubuntu Apache IP

Question 1

Tomei várias medidas para proteger meus servidores:

O primeiro é o óbvio:

Não execute o ssh em uma porta padrão para se livrar dos ataques usuais do skript kiddies.

O segundo também é de última geração:

Use um daemon de batida. Um daemon knock - primeiro aguarda uma sequência de acessos em portas e protocolos específicos antes de abrir a porta para a conexão ssh no servidor. Portanto, o servidor ssh fica invisível para qualquer invasor até que ele atinja a sequência de porta correta com um cliente knock. A maioria das implementações knock - daemon - fornece um mecanismo para integração de sequências transacionais, de modo que a sequência knocking é alterada após cada login bem-sucedido.

Com esta configuração padrão, você recebe um pouco mais de camada de segurança.

Usar nomes de usuário e senhas criptografados e restringir o login ssh a um usuário específico (não root) também é recomendado. Você pode então mudar para o usuário root no servidor ao executar tarefas root.

Instalar um sistema de monitoramento como o nagios também oferece mais segurança para você e seu ambiente, é fácil de configurar e também fornecido através do sistema de empacotamento do Ubuntu. Você pode configurá-lo para enviar e-mails quando alguém estiver fazendo login em seu servidor via ssh, para que pelo menos você obtenha as informações necessárias para realizar mais investigações.

Mas, para ser sincero: se alguém acessou seu servidor como root, você deverá fazer uma reinstalação completa de tudo. Pode haver substituições de binários que não são fáceis de detectar, introduzindo backdoors. Imagine que você executa um comando simples como useradd e os binários foram substituídos para que, durante a execução do comando, uma conexão TCP seja aberta e as credenciais do usuário sejam enviadas ao seu intruso. Ou, pior: o binário ssh - server foi substituído por uma versão personalizada que permite o acesso através de uma determinada combinação de usuário - senha.

Answer

Tomei várias medidas para proteger meus servidores:

O primeiro é o óbvio:

Não execute o ssh em uma porta padrão para se livrar dos ataques usuais do skript kiddies.

O segundo também é de última geração:

Use um daemon de batida. Um daemon knock - primeiro aguarda uma sequência de acessos em portas e protocolos específicos antes de abrir a porta para a conexão ssh no servidor. Portanto, o servidor ssh fica invisível para qualquer invasor até que ele atinja a sequência de porta correta com um cliente knock. A maioria das implementações knock - daemon - fornece um mecanismo para integração de sequências transacionais, de modo que a sequência knocking é alterada após cada login bem-sucedido.

Com esta configuração padrão, você recebe um pouco mais de camada de segurança.

Usar nomes de usuário e senhas criptografados e restringir o login ssh a um usuário específico (não root) também é recomendado. Você pode então mudar para o usuário root no servidor ao executar tarefas root.

Instalar um sistema de monitoramento como o nagios também oferece mais segurança para você e seu ambiente, é fácil de configurar e também fornecido através do sistema de empacotamento do Ubuntu. Você pode configurá-lo para enviar e-mails quando alguém estiver fazendo login em seu servidor via ssh, para que pelo menos você obtenha as informações necessárias para realizar mais investigações.

Mas, para ser sincero: se alguém acessou seu servidor como root, você deverá fazer uma reinstalação completa de tudo. Pode haver substituições de binários que não são fáceis de detectar, introduzindo backdoors. Imagine que você executa um comando simples como useradd e os binários foram substituídos para que, durante a execução do comando, uma conexão TCP seja aberta e as credenciais do usuário sejam enviadas ao seu intruso. Ou, pior: o binário ssh - server foi substituído por uma versão personalizada que permite o acesso através de uma determinada combinação de usuário - senha.

Question 2

Compre um IP estático do provedor.

Answer

Compre um IP estático do provedor.

Question 3

Além da resposta de @Kazimieras você também pode usar um sistema comodindnse adicione seu novo nome de host a etc/hosts.allow.

Answer

Além da resposta de @Kazimieras você também pode usar um sistema comodindnse adicione seu novo nome de host a etc/hosts.allow.

Question 4

Talvez você possa configurar uma conexão VPN entre o seu servidor e a rede do seu escritório

Answer

Talvez você possa configurar uma conexão VPN entre o seu servidor e a rede do seu escritório

Restrição de acesso baseada em Ubuntu Apache IP

Responder1

Responder2

Responder3

Responder4

informação relacionada