Безопасность linux сервера - мелкие хитрости

Мелкие хитрости, которые могут обезопасить сервер на Linux от таких же мелких хулиганов. :)

Сообщение о входе root-пользователя

(Если сообщения не отправляются - можно ознакомиться с некоторыми решениями проблемы mail на сервере с Debian)
Настраиваем отправку e-mail уведомлений при входе root-пользователя - добавить в /root/.bashrc или в /root/.bash_profile строчку:
echo -e "Root Shell Access on `tty` \n `w`" | \ mail -s "Alert: Root Access" mail@example.com

Вообще сработал вариант без слэша - возможно, лишнее экранирование затесалось выше..

echo -e "Root Shell Access on `tty` \n `w`" | mail -s "Alert: Root Access" mail@example.com

Аналогично можно настроить для SUDO-юзеров:
echo -e "Sudoer Shell Access on `tty` \n `w`" | \ mail -s "Alert: Sudoer Access" mail@example.com

Прячем SSH

Исправляем в /etc/ssh/sshd_config порт на произвольный от 1024 до 65535, не забываем про уже занятые порты (mysql, например), и запрещаем удаленный вход root-пользователя:
Port 65535
PermitRootLogin no

sudo /etc/init.d/sshd restart

Не помешает установить fail2ban
http://blog.sozinov.eu/2007/03/fail2ban.html

Можно поставить rkhunter - он будет периодически интересоваться изменением критически важных файлов (и не только).

И позакрывать все порты :)  Лишние..

http://secure-ubuntu-server.blogspot.com/

upd: http://silverghost.org.ua/2011/01/31/zashhita-servera-i-ezhednevnyj-audit/

http://rus-linux.net/nlib.php?name=/MyLDP/sec/openssh.html

UPD Если забанил сам себя, убрать бан в fail2ban можно, зайдя по ssh с другого компьютера (если есть такой, конечно)

# - посмотреть список ssh-банов
iptables -L fail2ban-ssh

# убрать бан
iptables -D fail2ban-ssh 1

Метки: ,

Автор будет признателен, если Вы поделитесь ссылкой на статью, которая Вам помогла:
BB-код (для вставки на форум)

html-код (для вставки в ЖЖ, WP, blogger и на страницы сайта)

ссылка (для отправки по почте)

Комментарии (2) к записи “Безопасность linux сервера - мелкие хитрости”

  1. sabinich сообщает :

    Немного про безопасность SSH сервера
    http://sabinich.livejournal.com/136378.html

  2. Tony сообщает :

    Вообще, bashrc штука полезная - некоторые интересности можно найти тут:
    www.ljpoisk.ru/archive/5175108.html

Добавить комментарий