Conselhos sobre conta root e portas do servidor ubuntu

1

Eu lancei recentemente um site que está online há apenas 2 dias, apenas verifiquei o auth.log e já existem várias tentativas de login feitas a partir de um IP baseado na Ásia.

Alterei a senha de minhas próprias contas de usuário para algo mais seguro e agora estou preocupado com a conta raiz e com as portas abertas?

Em relação à conta root: Seria uma boa ideia mudar o nome da conta root para algo completamente aleatório que só eu saberia? Como a maioria das tentativas estão sendo feitas no usuário root, ter o nome de usuário é metade da batalha já ganha? Esta é uma boa ou má ideia?

Sobre as portas: Devo estar fechando portas para FTP e SSH e apenas abri-las quando quero me conectar ao servidor sozinho, isso é algo que normalmente é feito? Existe também alguma maneira de restringir conexões SSH a um único IP e permitir apenas uma conexão por vez?

Não sei ao certo qual é a coisa certa a fazer, agradecerá qualquer conselho que você possa dar!

    
por Nicks 05.08.2013 / 21:46

3 respostas

2

Would it be a good idea to change the name of the root account to something completely random that only I would know? As most attempts are being made on the root user, having the username is half the battle won already? Is this a good or bad idea?

Para o sistema operacional, uma solução muito mais segura seria não permitir a raiz de nenhum acesso SSH. Você deve entrar como um usuário sem privilégios que tem a capacidade de su ou sudo. Além disso, todo o acesso ssh deve ser por chave privada, não por senhas.

Se você estiver interessado em reduzir a quantidade de tráfego resultante dessas tentativas de "cracking", poderá executar o ssh em uma porta não padrão (essa não é uma medida de segurança, mas é um método eficaz de permanecer fora do radar e impedir que algum tráfego indesejado chegue a sua máquina).

Além disso, você pode usar um serviço como o link que monitorará tentativas de login com falha e proibirá IPs.

Para acesso em nível de aplicativo (coisas como CMSs etc) é bom se você pode ficar longe de URLs padrão (como / admin ou / administrator) e fugir de portas não-padrão o mantém um pouco fora do radar. Aqueles não aumentam a segurança, mas mais uma vez podem desviar muito tráfego dessas áreas.

A orientação segura de segurança do nome de usuário padrão (admin / root etc) e senhas padrão é uma boa ideia. Também com logins do CMS / Aplicativos, restringir o I.P e usar métodos semelhantes ao fail2ban são uma boa idéia.

Regarding ports: Should I be closing ports for FTP and SSH and only opening them when I want to connect to the server myself, is this something that is normally done? Is there also any way of restricting SSH connections to a single IP and only allowing one connection at a time?

  • Restringir o acesso a IPs específicos é uma boa ideia
  • Se você fosse paranóico, só poderia abrir portas quando precisasse usá-las, no entanto, isso poderia ser inconveniente para implementar
  • Você pode restringir o acesso à porta. O SSH é executado por meio do seu firewall
  • Você pode restringir o acesso ao serviço SSH via sshd_config, algo como AllowUsers user @ ip
por 07.08.2013 / 08:04
4

Regarding the root account: Would it be a good idea to change the name of the root account to something completely random that only I would know? As most attempts are being made on the root user, having the username is half the battle won already? Is this a good or bad idea?

Acho que esta é uma má ideia, apenas proibir o acesso à conta root e usar o sudo / su em vez

Should I be closing ports for FTP and SSH

Antes de mais nada você deve mudar a porta padrão 21/22, foe por exemplo 2121/2222

and only opening them when I want to connect to the server myself, is this something that is normally done

sim, é uma prática normal. Você poderia tentar usar o bater daemon

# yum info knock
Name        : knock
Arch        : x86_64
Version     : 0.5
Release     : 3.el6.rf
Size        : 33 k
Repo        : rpmforge
Summary     : Port-knocking server
URL         : http://www.zeroflux.org/knock/
License     : GPL
Description : knockd is a port-knock server. It listens to all traffic on an ethernet
            : interface, looking for special "knock" sequences of port-hits. A client
            : makes these port-hits by sending a TCP (or UDP) packet to a port on the
            : server. This port need not be open -- since knockd listens at the link-
            : layer level, it sees all traffic even if it's destined for a closed port.
            :
            : When the server detects a specific sequence of port-hits, it runs a
            : command defined in its configuration file. This can be used to open up
            : holes in a firewall for quick access.
    
por 05.08.2013 / 21:52
2

Eu recomendo o ponto de Alex_hha: proíbe logins como root. Isso significa que os invasores precisam adivinhar / roubar seu nome de usuário E sua senha, o que é melhor do que apenas adivinhar a senha de root. A outra parte que gostaria de acrescentar é usar as chaves ssh, porque elas precisam roubar um arquivo no seu computador, o que é mais difícil do que roubar uma senha de algum serviço web mal protegido. Veja o artigo do Github sobre como configurar chaves SSH:

link

    
por 06.08.2013 / 23:51