我的伺服器已被外部人員利用我的 root 使用者資格滲透。
更改根密碼後,我正在嘗試尋找額外的策略來保護伺服器。
使用/etc/hosts.allow和/etc/hosts.deny似乎是透過 IP 位址管理存取的可行解決方案,但我有一個潛在的問題。
我想在hosts.allow 檔案中指定我的工作IP。但問題是 IP 位址可以由服務提供者更改。如果發生這種情況,我將被鎖定在我的伺服器之外。我們的伺服器是自我管理的。
誰能告訴我如何預防或克服這種情況?
答案1
我採取了幾個步驟來保護我的伺服器:
第一個是顯而易見的:
不要在標準連接埠上執行 ssh 可以讓您擺脫常見的 skript kids 攻擊。
第二個也是最先進的:
使用敲門守護程式。在開啟伺服器上的 ssh 連線連接埠之前,敲門守護程式首先等待對特定連接埠和協定的一系列命中。因此,任何攻擊者都看不到 ssh 伺服器,直到他們使用敲擊客戶端命中正確的連接埠序列。大多數敲門守護程式實作都提供了整合事務序列的機制,因此每次成功登入後敲門序列都會變更。
透過此標準設置,您將獲得更多的安全層。
也建議使用加密的使用者名稱和密碼並將 ssh 登入限制為特定(非 root)使用者。然後,您可以在執行 root 任務時切換到伺服器上的 root 使用者。
安裝像 nagios 這樣的監控系統還可以為您和您的環境提供更多的安全性,它很容易配置,並且還透過 ubuntu 打包系統提供。您可以將其配置為當有人透過 ssh 登入您的伺服器時向您發送電子郵件,這樣至少您會獲得進行進一步調查所需的資訊。
但是,說實話:如果有人以 root 身分存取您的伺服器,您應該完全重新安裝所有內容。可能存在不易檢測的二進位檔案的替代品,從而引入後門。想像一下,您運行一個簡單的命令(如 useradd),並且二進位檔案已被替換,以便在執行該命令時打開 tcp 連接並將用戶憑證發送給您的入侵者。或者,更糟的是:ssh 伺服器二進位已被替換為自訂版本,該版本允許透過特定的使用者密碼組合進行存取。
答案2
從提供者購買靜態 IP。
答案3
除了@Kazimieras 的答案之外,您還可以使用諸如動態並將您的新主機名稱新增至etc/hosts.allow.
答案4
也許您可以在您的伺服器和辦公室網路之間設定 VPN 連接