בירור - כללים בסיסים לאבטחת שרת לינוקס
-
-
@nigun חומת אש ציינתי כבר בכלל ח, וזה לדעתי אכן אחד הדברים החשובים ביותר.
בנוגע למה שכתבת לא להשתמש בפרוטוקלי ברירת מחדל, אני לא רואה בזה עניין, ואני משתמש בברירת מחדל, אם תוכל להרחיב למה זה לא מומלץ אני ישמח.
אפשר להשתמש ב-port knocking כדי להישאר בפורט ברירת מחדל ורק ליצור שכבת הגנה נוספת (כמובן שזה לא תחליף לחומת אש, זה רק שכבה נוספת של הגנה) כדי לגשת לשירות (כלומר להגדיר בport knocking סדר פורטים מסויים שצריך לעבור כדי לתקשר עם הפורט ברירת מחדל).
לשנות לגמרי את הפורט ברירת מחדל לדעתי סתם מיותר.
(אגב, אני גם לא משתמש בport knocking, כי לדעתי זה שיטת אבטחה שפגומה מהיסוד, כי ברגע שהסדר פורטים נחשף, בין אם בניחוש, הדלפה, וכד' מאותו רקגע האבטחה לא שווה כלום, אני משתמש בSSH keys ולדעתי זה מספיק מאובטח בשבילי, אני טועה?) -
@יושב-אוהלים אמר בבירור - כללים בסיסים לאבטחת שרת לינוקס:
אפשר להשתמש ב-port knocking
לא הכרתי את השיטה
אבל זה נראה שזה סתם מגביל
כי אתה צריך להתקין knock על הקליינט ולהריץ את הסט בקשות הרצוי לפני ההתחברות.
מה רע ברשימה לבנה?
אם רוצים לממש פתיחה וסגירה של כתובת מבחוץ אפשר דרך כתובת פנימית בHTTP + סיסמה כל שהיא. -
@nigun אמר בבירור - כללים בסיסים לאבטחת שרת לינוקס:
מה רע ברשימה לבנה?
האמת שאתה צודק, זה מאוד פשוט, צריך רק לערוך את הקובץ hosts.allow, ואת הקובץ hosts.deny.
הבעיה מתחילה כשיש כמה משתמשים בשרת, שמשתמשים במחשב עם סינון כלשהוא, שהכתובת ip היא סטטית, ולא קבועה, ובכל חיבור מקבלים ip חדש.. -
-
@יושב-אוהלים
מסתבר שSSH מחזירSSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.4
לכל חיבור TCP וכך אפשר לדעת שמדובר בSSH עם חיבור ע"י nc או telnet
ואין דרך רשמית לבטל את זה (אפשר למחוק את הסטרינג מהקובץ הבינארי אבל לא נשמע רעיון טוב).אבל בדקתי עם השרת פרוקסי הזה
שיש לו פיצר שמנתב את התעבורה על פי הפרוטוקול
אז אם אני מגדיר{ "apps": { "layer4": { "servers": { "logstash_proxy": { "listen": [ "0.0.0.0:2222" ], "routes": [ { "match": [ { "ssh": {} } ], "handle": [ { "handler": "proxy", "upstreams": [ { "dial": [ "0.0.0.0:22" ] } ] } ] } ] } } } } }אז חיבור עם nc לא מחזיר כלום
אבל חיבור עם SSH עובד מצויין
השרת פרוקסי הזה עדיין לא בגרסה 1.0 אז זה כנראה לא רעיון טוב לסמוך עליו בשביל פרודקשן. -
@יושב-אוהלים אמר בבירור - כללים בסיסים לאבטחת שרת לינוקס:
@nigun בהנחה ואני משנה את פורט ברירת המחדל, א"א לסרוק פורטים פתוחים באמצעות nmap כדי לאתר את הפורט שכן פתחתי במקום הברירת מחדל? (nmap --top-ports 30 my ip)
אם יש מתקפה שמכוונות נגדך, אתה צודק.
אבל יש הרבה מתקפות שרצות רק על הפורט ברירת מחדל, על רשימה של מיליוני IP'S כי זה 99% מהשרתים. -
-
@מאיר-הנאו יש לMariaDB כלי מובנה לגיבוי, mysqldump.
כדי לגבות מסד ספציפי תריץ את זה (את db_name כמובן תשנה בשם של המסד שלך):mysqldump -u root -p db_name > db_backup.sqlכדי לגבות את כל המסדי נתונים שיש בשרת תריץ:
mysqldump -u root -p --all-databases > all_db_backup.sql(אם המסד כבד, אפשר לדחוס אותו עם gzip ע"י העברת הפלט של mysqldump לgzip, לדוגמא: gzip > db_backup.sql.gz)
אח"כ כדי לשחזר מסד ספציפי תריץ:
mysql -u root -p database_name < database_name.sqlוכדי לשחזר את כל המסדים תריץ:
mysql -u root -p < all-databases.sqlאם אתה מסתבך הכי פשוט זה לגבות עם phpMyAdmin, שיש לו ממשק אינטרנט ויזואלי, אבל כמו שאמרו זה נושא אחר, אני חושב שכדאי לפתוח לכך נושא חדש.
