Производство фотообоев в Новосибирске. Интернет магазин фотообоев. Изготовление - один день! Каталог 10 000 изображений!
7 Декабрь 2010

О защите выделенного сервера

posted in NIX, Железо |

firewall

Наверное этот микро-пост нужно было написать ещё лет 5 тому назад, когда я первый дедик брал …

Итак — после анализа логов на серваке зашевелились волосы от ужаса — постоянные попытки взлома по ssh,  по ftp дрюкают — даже пару раз DDOS из за FTP ложил сервер … в общем мало приятного.

И всё это на фоне предыдущих моих статей по защите сайта от взлома

Сначала пробовал настройками ProFTPD ограничить ftp доступ … но всё же пришел к выводу обязательно врубать фаервол и ограничивать доступ по конкретным айпишникам, либо подсеткам именно на уровне фаервола (так и быстрее и более функционально — защищаем и ssh и др.)  И это первое с чего нужно начать строить оборону сервера!

Дома приплатил за белый статический IP, на работе они уже были — собственно других мест выхода в сеть у меня больше и нету. У коллег под серверу такая же история — соответственно кому давать доступ а кого отрубать — понятно, осталось дело за малым 🙂 — врубить и настроить фаервол …

Не являясь гуру в FreeBSD (именно она рулит на моём дедике) начал разборки с местными фаерволами и тут свершилось одно из давних моих опасений — для статического включения фаервола необходимо было пересобрать ядро.

Перекомпиляция ядра системы — для меня уже давненько звучит ну очень страшно и даже понимая, что сделать это придётся рано или поздно — всё сдвигал сроки, заменяя какими то другими делами, пока не припёрло.

В итоге всё оказалось не так сложно и не так страшно — и … что удивительно получилось с первого раза — как перекомпиляция ядра, так и настройка фаервола (единственный косяк — ещё на стадии «знакомства» с ipfd — это я динамически подгрузил модуль ipfw  kldload ipfw в режиме политики по умолчанию запрещено всё всем 🙂

Кстати пересборка ядра не только дала мне необходимую опцию — фаервол, которая уже сразу не хило разгрузила сервак избавлением от обработки левых поползновений ! Но так же плюс ко всему данная операция значительно разгрузило всю систему от ненужных драйверов и опций. Так изначально моё ядро GENERIC amd64  тянуло аж на 208 мб — после оптимизации осталось всего 33 ! Так что пересборку ядра смело можно включать в цикл заметок по вычислению и снижению нагрузки на сервер

Ну и как ведётся в правильных статьях — используемая литература, а именно материал, помогший мне в сием действе:

  1. FreeBSD в качестве сервера доступа. 3 части.
  2. Пересборка ядра FreeBSD
  3. IPFW HOWTO

В постовой сегодня у меня одна кандидатура — Раскручиваем блог вместе от seokursi.info

У нас 5 комментариев на запись “О защите выделенного сервера”

Почему бы Вам не высказать своем мнение! Позвольте нам узнать, что Вы думаете...

  1. 1 On 08.12.2010, salvator said:

    А где настройки ipfw? 🙂 открыл для себя недавно pf — портированный с OpenBSD файрволл, на фре работает отлично, порадовало, что по-умолчанию, он не запрещает трафик 🙂 да и правила попроще имхо.

  2. 2 On 08.12.2010, Mayor said:

    Хорошо иметь сайты не на стандартных CMS.
    А в целом, скоро беру себе выделенку — опробую ваши рекомендации.

  3. 3 On 10.12.2010, Alexandr said:

    А как быть со стандартными цмс?
    За статью спасибо!

  4. 4 On 10.12.2010, Саша said:

    да зашита хорошо но не всегда она срабатывает

  5. 5 On 30.12.2010, Боксик said:

    Защита VDS/VPS как впрочем, и целого сервера дело тонкое… Когда работал в этом направлении, то так и не нашел для себя универсального средства для защиты… В любой ситуации нужно включать мозги и думать, как защититься от той или иной напасти из вне…

Оставить комментарий