דילוג לתוכן
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
כיווץ
תחומים

תחומים - פורום חרדי מקצועי

💡 רוצה לזכור קריאת שמע בזמן? לחץ כאן!
  1. דף הבית
  2. רשתות
  3. בירור - כללים בסיסים לאבטחת שרת לינוקס

בירור - כללים בסיסים לאבטחת שרת לינוקס

מתוזמן נעוץ נעול הועבר רשתות
13 פוסטים 4 כותבים 619 צפיות
  • מהישן לחדש
  • מהחדש לישן
  • הכי הרבה הצבעות
התחברו כדי לפרסם תגובה
נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
  • מ מנותק
    מ מנותק
    מאיר הנאו
    כתב ב נערך לאחרונה על ידי
    #1

    צהריים טובים, לפני כשנה רכשתי שרת לינוקס אובונטו, והתקינו לי עליו כמה דברים שהייתי צריך (הותקן ע”י מישהו שמבין בעניין).
    לאחרונה התחלתי להתעניין בעולם הלינוקס והשרתים, ואני אשמח לדעת איך אפשר לאבטח את השרת שלי, תודה רבה.

    ElhananE תגובה 1 תגובה אחרונה
    0
    • ElhananE מנותק
      ElhananE מנותק
      Elhanan
      השיב למאיר הנאו ב נערך לאחרונה על ידי Elhanan
      #2

      @מאיר-הנאו זה שאלה שאוד קשה לענות עליה, הכל תלוי כמה אתה מוכן להפסיד מהנוחות בשביל האבטחה, ואני יסביר, אין מאובטח ממערכת הפעלה כבויה, אבל היא לא שימושית, ואין נוח ממערכת בלי סיסמא, אבל זה פירצת אבטחה.
      כמו שהתחלתי, לענות על השאלה הזו מאוד קשה, זה תלוי ברמת ידע שלך וכו’, הדברים הפשוטים שצריך לדעתי לעשות כדי לאבטח את השרת בצורה בסיסית זה א. למזער את כמות התוכנות שרצות במערכת וכך להימנע מהסיכוי שיתגלו חורי אבטחה, ב. להצפין את המידע שעובר ברשת וכך להימנע מהתקפות MITM (על ידי שימוש בפרוטוקלים מאובטחים לדוג': ftp-sftp, Telnet-ssh, http-https ), ג. להימנע משיתוף חשבונות ולהקצות לכל משתמש user נפרד, ד. לא להשתמש ביוזר root, אלא להשתמש במשתמש עם הרשאות sudo. ה. להשתמש באימות דו שלבי (2fa) במערכות רגישות, ו. לוודא ששירותים לא רצים כרוט, ו. לתת למשתמשים במערכת רק את ההרשאות שנדרשות להם, ז. לגבות את הלוגים בשרת חיצוני, ח. להשתמש בחומת אש (Firewall), זה בגדול הדברים הכי פשוטים, כמובן שאין לדבר סוף וחברות גדולות ישכרו אנשי אבטחת מידע כדי לאבטח להם את השרתים, אבל אני מבין שאתה לא זקוק לזה.
      (נ.ב. אני משער שאתה משתמש בשרת וירטואלי, אם אתה משתמש בשרת פיזי חשוב גם למנוע גישה אליו פיזית, כדי להימנע מניצול הרשאות root באמצעות Single User Mode, או כמובן להגביל את השימוש בSingle User Mode ע"י עריכת הקובץ וכד').

      פורום איש את רעהו|חיתוך שירים|בלוג|מקצר קישורים|ביו

      nigunN מ 2 תגובות תגובה אחרונה
      18
      • nigunN מנותק
        nigunN מנותק
        nigun
        השיב לElhanan ב נערך לאחרונה על ידי
        #3

        @יושב-אוהלים
        הכל נכון
        אבל צריך להדגיש שהעיקר זה ניהול חומת אש ולחסום את SSH ואת שאר הפורטים של שימוש פנימי לרשימה לבנה, כל השאר תלוי באפליקציה.

        מייל: nigun@duck.com

        ElhananE תגובה 1 תגובה אחרונה
        7
        • ElhananE מנותק
          ElhananE מנותק
          Elhanan
          השיב לnigun ב נערך לאחרונה על ידי Elhanan
          #4

          @nigun חומת אש ציינתי כבר בכלל ח, וזה לדעתי אכן אחד הדברים החשובים ביותר.
          בנוגע למה שכתבת לא להשתמש בפרוטוקלי ברירת מחדל, אני לא רואה בזה עניין, ואני משתמש בברירת מחדל, אם תוכל להרחיב למה זה לא מומלץ אני ישמח.
          אפשר להשתמש ב-port knocking כדי להישאר בפורט ברירת מחדל ורק ליצור שכבת הגנה נוספת (כמובן שזה לא תחליף לחומת אש, זה רק שכבה נוספת של הגנה) כדי לגשת לשירות (כלומר להגדיר בport knocking סדר פורטים מסויים שצריך לעבור כדי לתקשר עם הפורט ברירת מחדל).
          לשנות לגמרי את הפורט ברירת מחדל לדעתי סתם מיותר.
          (אגב, אני גם לא משתמש בport knocking, כי לדעתי זה שיטת אבטחה שפגומה מהיסוד, כי ברגע שהסדר פורטים נחשף, בין אם בניחוש, הדלפה, וכד' מאותו רקגע האבטחה לא שווה כלום, אני משתמש בSSH keys ולדעתי זה מספיק מאובטח בשבילי, אני טועה?)

          פורום איש את רעהו|חיתוך שירים|בלוג|מקצר קישורים|ביו

          nigunN תגובה 1 תגובה אחרונה
          8
          • nigunN מנותק
            nigunN מנותק
            nigun
            השיב לElhanan ב נערך לאחרונה על ידי nigun
            #5

            @יושב-אוהלים אמר בבירור - כללים בסיסים לאבטחת שרת לינוקס:

            אפשר להשתמש ב-port knocking

            לא הכרתי את השיטה
            אבל זה נראה שזה סתם מגביל
            כי אתה צריך להתקין knock על הקליינט ולהריץ את הסט בקשות הרצוי לפני ההתחברות.
            מה רע ברשימה לבנה?
            אם רוצים לממש פתיחה וסגירה של כתובת מבחוץ אפשר דרך כתובת פנימית בHTTP + סיסמה כל שהיא.

            מייל: nigun@duck.com

            ElhananE 2 תגובות תגובה אחרונה
            1
            • ElhananE מנותק
              ElhananE מנותק
              Elhanan
              השיב לnigun ב נערך לאחרונה על ידי Elhanan
              #6

              @nigun אמר בבירור - כללים בסיסים לאבטחת שרת לינוקס:

              מה רע ברשימה לבנה?

              האמת שאתה צודק, זה מאוד פשוט, צריך רק לערוך את הקובץ hosts.allow, ואת הקובץ hosts.deny.
              הבעיה מתחילה כשיש כמה משתמשים בשרת, שמשתמשים במחשב עם סינון כלשהוא, שהכתובת ip היא סטטית, ולא קבועה, ובכל חיבור מקבלים ip חדש..

              פורום איש את רעהו|חיתוך שירים|בלוג|מקצר קישורים|ביו

              תגובה 1 תגובה אחרונה
              12
              • ElhananE מנותק
                ElhananE מנותק
                Elhanan
                השיב לnigun ב נערך לאחרונה על ידי Elhanan
                #7

                @nigun בהנחה ואני משנה את פורט ברירת המחדל, א"א לסרוק פורטים פתוחים באמצעות nmap כדי לאתר את הפורט שכן פתחתי במקום הברירת מחדל? (nmap --top-ports 30 my ip)
                לא שיניתי מעולם בשרת את פורט ברירת המחדל, בעקבות דבריך שכדאי לשנות אני בודק את הנושא, ויש לי כמה שאלות.

                פורום איש את רעהו|חיתוך שירים|בלוג|מקצר קישורים|ביו

                nigunN WWWW 3 תגובות תגובה אחרונה
                10
                • nigunN מנותק
                  nigunN מנותק
                  nigun
                  השיב לElhanan ב נערך לאחרונה על ידי nigun
                  #8

                  @יושב-אוהלים
                  איפה אמרתי שכדאי לשנות את הפורט?
                  לעצם השאלה אם יסרקו את הפורט יראו שזה TCP
                  אבל לכאורה יצטרכו לשלוח נסיון התחברות בשביל לבדוק שזה SSH ולא HTTP
                  וסתם ככה מעניין לבדוק האם יש כלי שחוסם את כל מי שסורק את הפורטים.

                  מייל: nigun@duck.com

                  תגובה 1 תגובה אחרונה
                  0
                  • nigunN מנותק
                    nigunN מנותק
                    nigun
                    השיב לElhanan ב נערך לאחרונה על ידי
                    #9

                    @יושב-אוהלים
                    מסתבר שSSH מחזיר SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.4
                    לכל חיבור TCP וכך אפשר לדעת שמדובר בSSH עם חיבור ע"י nc או telnet
                    ואין דרך רשמית לבטל את זה (אפשר למחוק את הסטרינג מהקובץ הבינארי אבל לא נשמע רעיון טוב).

                    אבל בדקתי עם השרת פרוקסי הזה
                    שיש לו פיצר שמנתב את התעבורה על פי הפרוטוקול
                    אז אם אני מגדיר

                    {
                        "apps": {
                            "layer4": {
                                "servers": {
                                    "logstash_proxy": {
                                        "listen": [
                                            "0.0.0.0:2222"
                                        ],
                                        "routes": [
                                            {
                                                "match": [
                                                    {
                                                        "ssh": {}
                                                    }
                                                ],
                                                "handle": [
                                                    {
                                                        "handler": "proxy",
                                                        "upstreams": [
                                                            {
                                                                "dial": [
                                                                    "0.0.0.0:22"
                                                                ]
                                                            }
                                                        ]
                                                    }
                                                ]
                                            }
                                        ]
                                    }
                                }
                            }
                        }
                    }
                    

                    אז חיבור עם nc לא מחזיר כלום
                    אבל חיבור עם SSH עובד מצויין
                    השרת פרוקסי הזה עדיין לא בגרסה 1.0 אז זה כנראה לא רעיון טוב לסמוך עליו בשביל פרודקשן.

                    מייל: nigun@duck.com

                    תגובה 1 תגובה אחרונה
                    4
                    • WWWW מנותק
                      WWWW מנותק
                      WWW
                      השיב לElhanan ב נערך לאחרונה על ידי
                      #10

                      @יושב-אוהלים אמר בבירור - כללים בסיסים לאבטחת שרת לינוקס:

                      @nigun בהנחה ואני משנה את פורט ברירת המחדל, א"א לסרוק פורטים פתוחים באמצעות nmap כדי לאתר את הפורט שכן פתחתי במקום הברירת מחדל? (nmap --top-ports 30 my ip)

                      אם יש מתקפה שמכוונות נגדך, אתה צודק.
                      אבל יש הרבה מתקפות שרצות רק על הפורט ברירת מחדל, על רשימה של מיליוני IP'S כי זה 99% מהשרתים.

                      WWW.netfree@gmail.com || קשבק! החזר כספי לבנק על רכישות באינטרנט || עונים על סקרים ומרוויחים כסף!

                      תגובה 1 תגובה אחרונה
                      3
                      • מ מנותק
                        מ מנותק
                        מאיר הנאו
                        השיב לElhanan ב נערך לאחרונה על ידי
                        #11

                        @יושב-אוהלים תודה על התשובה, אני רוצה לעשות שינויים בשרת שלי, איך אני יכול לגבות מסד נתונים של MariaDB?

                        nigunN ElhananE 2 תגובות תגובה אחרונה
                        0
                        • nigunN מנותק
                          nigunN מנותק
                          nigun
                          השיב למאיר הנאו ב נערך לאחרונה על ידי
                          #12

                          @מאיר-הנאו
                          זה כבר נושא חדש
                          למען הסדר הטוב כדאי לפתוח שרשור נפרד

                          מייל: nigun@duck.com

                          תגובה 1 תגובה אחרונה
                          1
                          • ElhananE מנותק
                            ElhananE מנותק
                            Elhanan
                            השיב למאיר הנאו ב נערך לאחרונה על ידי Elhanan
                            #13

                            @מאיר-הנאו יש לMariaDB כלי מובנה לגיבוי, mysqldump.
                            כדי לגבות מסד ספציפי תריץ את זה (את db_name כמובן תשנה בשם של המסד שלך):

                            mysqldump -u root -p db_name > db_backup.sql
                            

                            כדי לגבות את כל המסדי נתונים שיש בשרת תריץ:

                            mysqldump -u root -p --all-databases > all_db_backup.sql
                            

                            (אם המסד כבד, אפשר לדחוס אותו עם gzip ע"י העברת הפלט של mysqldump לgzip, לדוגמא: gzip > db_backup.sql.gz)

                            אח"כ כדי לשחזר מסד ספציפי תריץ:

                            mysql -u root -p database_name < database_name.sql
                            

                            וכדי לשחזר את כל המסדים תריץ:

                            mysql -u root -p < all-databases.sql
                            

                            אם אתה מסתבך הכי פשוט זה לגבות עם phpMyAdmin, שיש לו ממשק אינטרנט ויזואלי, אבל כמו שאמרו זה נושא אחר, אני חושב שכדאי לפתוח לכך נושא חדש.

                            פורום איש את רעהו|חיתוך שירים|בלוג|מקצר קישורים|ביו

                            תגובה 1 תגובה אחרונה
                            3

                            בא תתחבר לדף היומי!
                            • התחברות

                            • אין לך חשבון עדיין? הרשמה

                            • התחברו או הירשמו כדי לחפש.
                            • פוסט ראשון
                              פוסט אחרון
                            0
                            • דף הבית
                            • קטגוריות
                            • פוסטים אחרונים
                            • משתמשים
                            • חיפוש
                            • חוקי הפורום