Quão seguro é o meu servidor… Devo me preocupar?

Navegue suas respostas
3

Atualizei meu servidor ontem para uma nova versão do CentoOS, incluindo uma nova versão do painel DirectAdmin. Esta nova instalação vem com o serviço Brute Force Monitor.

Tanto quanto eu vejo, este BFM protege as tentativas de força bruta. Em apenas 24 horas deste novo servidor, vejo que meus 5 sites tiveram 10.000 tentativas de força bruta. Basicamente eu vejo criaturas da lama, escumalha, tentando usar meu servidor de e-mail (dovecot) para enviar e-mails e também ataques para obter acesso através do ssh. Aparentemente, esses ataques estão falhando.

Minhas perguntas são:

  1. Esses ataques estão realmente falhando?
  2. Que tipo de proteção é dada por este serviço BFM? Eu pergunto isso porque eu vejo algumas entradas no relatório de registro BFM 4265 tentativas do mesmo IP? Como isso é permitido, não é razoável para o BFM proibir esse IP após 3 ou 5 tentativas erradas?
  3. Eu deveria estar preocupado?
por SpaceDog 13.01.2013 / 19:18

3 respostas

4

O BFM apenas bloqueia endereços que tentam forçar diretamente o DirectAdmin; para outros serviços, só notifica você.

Se você quiser algo que realmente bloqueie endereços que tentam forçar outros serviços, tente fail2ban .

    
por 14.01.2013 / 00:16
1

De acordo com a documentação , este BFM não faz nada. Ele apenas olha para alguns arquivos de log e diz o que pensa sobre isso ...

Sim, estamos vivendo em um mundo maligno. Existem muitas botnets tentando entrar em qualquer servidor que encontrarem. - Isso é apenas "normal" na internet aberta.

Mas você não deveria ter medo disso. Eles só podem ser bem-sucedidos se você fornecer algum tipo de serviço e usar uma senha muito fraca ou uma versão antiga e vulnerável do software.

Você pode verificar com netstat -tupln quais serviços são acessíveis de fora. Se você não precisa de um serviço, desligue-o ou adicione algumas regras de firewall para limitar a acessibilidade.

Se você precisar que o serviço esteja acessível de qualquer lugar, certifique-se de permitir apenas acesso criptografado e boas senhas. Observar os arquivos de log de tempos em tempos pode ser uma boa ideia também. Se você estiver incomodado com as tentativas de força bruta, também poderá alterar a porta do seu serviço.

Para alguns softwares específicos, como o seu servidor de e-mail. Dê uma olhada na documentação. Muitas vezes você pode definir algumas opções para restringir o acesso ainda mais. Mas isso depende, por exemplo, se você só hospeda e-mails para você ou para muitas pessoas em todo o mundo.

    
por 13.01.2013 / 23:58
1

Eu tentaria ser curto.

  1. sim. Se um suporte de monitoramento para ataques com falha , isso deve ser verdade. (Mas o perigo real vem do que não foi visto!; -)
  2. O suporte a BFM do Brute Force Monitor tenta detectar uma solicitação repetitiva com falha para bloqueá-lo (bloqueando o ip por algum tempo, por exemplo). A vantagem de fazer isso é principalmente para manter seu mail.log legível (impedi-los de crescer muito). Mas: veja depois, ponto 4.
  3. Não, mas sim ... Nenhum sistema é realmente seguro, então você sabe mais sobre como isso funciona mais você se torna robusto ...
  4. Mantenha sua instalação atualizada . As falhas de segurança mais importantes são corrigidas, testadas, verificadas e difundidas em menos de 24 horas, desde a publicação da publicação até a atualização do pacote.
por 14.01.2013 / 01:10

Tags

Detectar se é o carregador de inicialização do lilo ou o grub? Como parar o g ++ ligando / incluindo cabeçalhos / libs do sistema antigo de / usr / *?