Наверное этот микро-пост нужно было написать ещё лет 5 тому назад, когда я первый дедик брал …
Итак – после анализа логов на серваке зашевелились волосы от ужаса – постоянные попытки взлома по ssh, по ftp дрюкают – даже пару раз DDOS из за FTP ложил сервер … в общем мало приятного.
И всё это на фоне предыдущих моих статей по защите сайта от взлома
- Защита сайта от взлома. Продолжение. Июнь 20th, 2010 (17)
- Защита сайта от взлома Июнь 7th, 2010 (18)
Сначала пробовал настройками ProFTPD ограничить ftp доступ … но всё же пришел к выводу обязательно врубать фаервол и ограничивать доступ по конкретным айпишникам, либо подсеткам именно на уровне фаервола (так и быстрее и более функционально – защищаем и ssh и др.) И это первое с чего нужно начать строить оборону сервера!
Дома приплатил за белый статический IP, на работе они уже были – собственно других мест выхода в сеть у меня больше и нету. У коллег под серверу такая же история – соответственно кому давать доступ а кого отрубать – понятно, осталось дело за малым 🙂 – врубить и настроить фаервол …
Не являясь гуру в FreeBSD (именно она рулит на моём дедике) начал разборки с местными фаерволами и тут свершилось одно из давних моих опасений – для статического включения фаервола необходимо было пересобрать ядро.
Перекомпиляция ядра системы – для меня уже давненько звучит ну очень страшно и даже понимая, что сделать это придётся рано или поздно – всё сдвигал сроки, заменяя какими то другими делами, пока не припёрло.
В итоге всё оказалось не так сложно и не так страшно – и … что удивительно получилось с первого раза – как перекомпиляция ядра, так и настройка фаервола (единственный косяк – ещё на стадии “знакомства” с ipfd – это я динамически подгрузил модуль ipfw kldload ipfw в режиме политики по умолчанию запрещено всё всем 🙂
Кстати пересборка ядра не только дала мне необходимую опцию – фаервол, которая уже сразу не хило разгрузила сервак избавлением от обработки левых поползновений ! Но так же плюс ко всему данная операция значительно разгрузило всю систему от ненужных драйверов и опций. Так изначально моё ядро GENERIC amd64 тянуло аж на 208 мб – после оптимизации осталось всего 33 ! Так что пересборку ядра смело можно включать в цикл заметок по вычислению и снижению нагрузки на сервер
Ну и как ведётся в правильных статьях – используемая литература, а именно материал, помогший мне в сием действе:
В постовой сегодня у меня одна кандидатура – Раскручиваем блог вместе от seokursi.info
5 комментариев на «“О защите выделенного сервера”»
А где настройки ipfw? 🙂 открыл для себя недавно pf – портированный с OpenBSD файрволл, на фре работает отлично, порадовало, что по-умолчанию, он не запрещает трафик 🙂 да и правила попроще имхо.
Хорошо иметь сайты не на стандартных CMS.
А в целом, скоро беру себе выделенку – опробую ваши рекомендации.
А как быть со стандартными цмс?
За статью спасибо!
да зашита хорошо но не всегда она срабатывает
Защита VDS/VPS как впрочем, и целого сервера дело тонкое… Когда работал в этом направлении, то так и не нашел для себя универсального средства для защиты… В любой ситуации нужно включать мозги и думать, как защититься от той или иной напасти из вне…