Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

p22s
Сообщения: 158

Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение p22s »

Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?
Спасибо сказали:
Аватара пользователя
yars
Сообщения: 1147
Статус: Slacker!
ОС: Slackware64-current

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение yars »

Очевидно, стоит запрещать все, что не разрешено явно. И ssh на нестандартный порт перенастроить.
Slackware64-current/Xfce/Xiaomi Mi Notebook Pro 15.6 | Arch Linux/Xfce/Lenovo G580
-------------
Registered Linux User #557010
Спасибо сказали:
neol
Сообщения: 600
ОС: Debian Stable

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение neol »

По желанию. Хуже не будет, лучше тоже.
ICMP только не блокируйте.

yars писал(а):
10.08.2014 14:42
Очевидно, стоит запрещать все, что не разрешено явно.

Если ничто не слушает порт, то и запрещать доступ к нему смысла особого нет. Я предпочитаю не выставлять наружу ничего лишнего.
Спасибо сказали:
MrClon
Сообщения: 838
ОС: Ubuntu 10.04, Debian 7 и 6

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение MrClon »

p22s писал(а):
10.08.2014 14:02
Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Только если не уверен что ты (или кто-то другой) не выставит по оплошности наружу что-то что выставлять не нужно. В общем в качестве подстраховки.

P.S. запрети руту логиниться по ssh, если ещё не запретил.

yars писал(а):
10.08.2014 14:42
И ssh на нестандартный порт перенастроить.

Абаснуй. Если логин не «admin» или «bob» и пароль не тривиален то боты и так не проломятся, а при целенаправленном взломе нестандартный порт не поможет.
Минусы у нестандартного порта правда тоже не особо фатальные, необходимость помнить какой там порт на каком сервере используется. ~/.ssh/config конечно помнит, но ведь иногда приходится и не со своего компа на сервер заходить.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 21520
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение Bizdelnick »

MrClon писал(а):
10.08.2014 15:50
запрети руту логиниться по ssh, если ещё не запретил.

Главное - вход только по ключу сделать.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
p22s
Сообщения: 158

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение p22s »

Bizdelnick писал(а):
11.08.2014 11:37
Главное - вход только по ключу сделать.
зачем? какой смысл?
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 21520
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение Bizdelnick »

Затем, что ключ боты не подберут, в отличие от пароля.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4824
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение SLEDopit »

Bizdelnick писал(а):
18.08.2014 21:19
Затем, что ключ боты не подберут, в отличие от пароля.
Это не единственная причина. ssh авторизация по паролю уязвима mitm. даже инструкция есть в интернетах, как такое реализовать.
с авторизацией по ключам такую штуку пока никому провернуть не удавалось. хотя, конечно, теоретически и это возможно.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение drBatty »

p22s писал(а):
18.08.2014 21:06
Главное - вход только по ключу сделать.

зачем? какой смысл?

кроме того, что выше перечислили, пароль можно банально подсмотреть, а можно украсть кейлогером. Причём если вы в Xorg, то кейлогер успешно работает из под другого пользователя, т.е. из любой песочницы. А вот файл контролировать проще: его легче защитить, и легче уничтожить.
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:
pelmen
Сообщения: 1268
ОС: debian

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение pelmen »

Понимаю, что поднимаю немного устаревшую, да и уже решённую тему, но добавлю свои 5 копеек: если очень не хочется вешать ssh на нестандартный порт и делать авторизацию по ключу, то можно использовать port-knocking - еще одно интересное решение в разрезе безопасности
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4824
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение SLEDopit »

pelmen писал(а):
22.10.2014 11:01
если очень не хочется вешать ssh на нестандартный порт и делать авторизацию по ключу
то реализовывать port-knocking тем более не хочется. ваш кэп. (:
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение drBatty »

pelmen писал(а):
22.10.2014 11:01
если очень не хочется вешать ssh на нестандартный порт

это канал аниме? Или что значит на техническом форуме "не хочется"?
pelmen писал(а):
22.10.2014 11:01
и делать авторизацию по ключу

не осилил?
pelmen писал(а):
22.10.2014 11:01
то можно использовать port-knocking

костыль ИМХО.
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:
pelmen
Сообщения: 1268
ОС: debian

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение pelmen »

drBatty писал(а):
25.10.2014 13:45
pelmen писал(а):
22.10.2014 11:01
если очень не хочется вешать ssh на нестандартный порт

это канал аниме? Или что значит на техническом форуме "не хочется"?
pelmen писал(а):
22.10.2014 11:01
и делать авторизацию по ключу

не осилил?
pelmen писал(а):
22.10.2014 11:01
то можно использовать port-knocking

костыль ИМХО.
Рассказываю, что значит на техническом форуме "не хочется": это когда у тебя перевешивание службы на другой порт вызывает обилие вытекающей работы (примеры приводить не буду - дам вам возможность потренировать вашу фантазию, ей это, явно не помешает).
Делать авторизацию по ключу не всегда лучший способ, т.к. иногда я не уверен, что ключ будет под рукой когда будет необходимо войти. (тут тоже потренируйтесь, будьте любезны)
И напоследок: видимо, ваше скромное мнение, к сожалению, не опирается на ваш богатый опыт. И мне остаётся лишь догадываться после этого, аниме это канал или не аниме
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 21520
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение Bizdelnick »

pelmen писал(а):
28.10.2014 09:13
когда у тебя перевешивание службы на другой порт вызывает обилие вытекающей работы

А port knocking её при этом не вызовет? Что-то не могу себе представить такую ситуацию.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
pelmen
Сообщения: 1268
ОС: debian

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение pelmen »

У меня к серверу по ssh подключаются много клиентов (да, ssh не только для админа, но и для пользователей бывает нужен). Все они используют (так исторически сложилось) пароль. Переделывать аутентификацию на основании ключа для +10К пользователей пока что лень - и без этого много текущей работы. Вешать на нестандартный порт - тоже работы немало по перенастройке у всех, потом дебажить (ничего не забыл ли). А цена ошибки очень велика. Это и есть то обилие вытекающей работы. Но при этом все пользовательские ip-адреса уже в файерволе (accept).
Вообще, оказавшись где-нибудь на отдыхе вдалеке от своего ноутбука (или допуская гипотетически его пропажу) достаточно удобно иметь все свои серверы - с аутентификацией по ключу, а один - с аутентификацией по паролю, но за порт-кнокингом. А уже из-под него выполняется подключение к остальным серверам по ключам (секретные ключи, конечно, тоже запаролены). Когда данные на сервере крайне важны, невольно становишься параноиком. Время реагирования на сбой максимум 15 минут и в любое время (отпуск, ночь, в том числе и новогодняя). Меня не поймут, если я скажу "у меня ключа с собой не было".
На всякий случай: аутентификация по ключу, нестандартный порт и port-knocking - это всё методы защиты (в нашем случае - от взлома ssh). Но это разные методы и сравнивать их напрямую "что-то лучше, а что-т хуже" можно только для конкретных ситуаций. А в общем случае, они различны так же, как мягкий с зелёным. По этому, в моём сообщении написано, что "если вдруг первые два конкретно в вашей ситуации вас чем-то не устраивают, то обратите внимание на третий".
Вспомнилось: У меня вообще на одном из серверов все три метода используются: и ключ, и нестандартный порт, и кнокинг.
Однажды, даже не смотря на то, что на сервере у меня использовалась аутентификация по ключу, сам сервер отбрасывал мои попытки подключиться, т.к. на него был шквал подключений на ssh-порт (fail2ban не было настроено). Я не стал мучаться - сделал PK.
Читал в интернете, что некоторые товарищи даже делают PK второго, третьего уровня, но до такого я еще не доходил
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 21520
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение Bizdelnick »

pelmen писал(а):
28.10.2014 10:02
аутентификация по ключу, нестандартный порт и port-knocking - это всё методы защиты (в нашем случае - от взлома ssh). Но это разные методы

Я бы сказал - это два разных метода. Один называется security through obscurity (нестандартный порт, port knocking - годятся только для отсева самых тупых ботов), другой - надёжная защита (аутентификация по ключу помогает и в случае направленной атаки).

pelmen писал(а):
28.10.2014 10:02
Вспомнилось: У меня вообще на одном из серверов все три метода используются: и ключ, и нестандартный порт, и кнокинг.
Однажды, даже не смотря на то, что на сервере у меня использовалась аутентификация по ключу, сам сервер отбрасывал мои попытки подключиться, т.к. на него был шквал подключений на ssh-порт (fail2ban не было настроено).

Тут даже fail2ban не обязательно нужен, не говоря уже про port knocking. Помогло бы ограничение на число новых соединений с адреса посредством iptables.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current

Re: Стоит ли закрывать iptables'ом все кроме 80 порта и ssh на vps сервере популярного сайта?

Сообщение drBatty »

pelmen писал(а):
28.10.2014 09:13
Рассказываю, что значит на техническом форуме "не хочется": это когда у тебя перевешивание службы на другой порт вызывает обилие вытекающей работы (примеры приводить не буду - дам вам возможность потренировать вашу фантазию, ей это, явно не помешает).

это называется "сделать через задницу". Если вы всё грамотно делаете, то проблем с портом не будет.
pelmen писал(а):
28.10.2014 09:13
Делать авторизацию по ключу не всегда лучший способ, т.к. иногда я не уверен, что ключ будет под рукой когда будет необходимо войти. (тут тоже потренируйтесь, будьте любезны)
а бумажка с паролем всегда с вами, да? Или у вас везде 123 пароль?

pelmen писал(а):
28.10.2014 10:02
Переделывать аутентификацию на основании ключа для +10К пользователей пока что лень

pelmen писал(а):
28.10.2014 10:02
Переделывать аутентификацию на основании ключа для +10К пользователей пока что лень

вообще-то этим пользователи должны заниматься.
админ туда не должен соваться.
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали: