[Решено] Как обезопасить VPS?

UnixNoob · Сообщение **UnixNoob** » 27.06.2024 13:46

Здравствуйте, первый раз занимаюсь VPS-сервером и не покидает ощущение, что есть тонкости, касательно его безопасности.
Что я сделал:
1. Сменил пароль root-пользователя
2. Создал обычного пользователя и добавил его в группу sudo (нужно docker запускать, про rootless-доступ к docker почитал, но не понял хорошо это или плохо)
3. Сменил порт SSH
4. Запретил вход от root по ssh
5. Обновил пакеты
Так же не хотелось бы, чтобы сервер "светился" на весь интернет, но при этом мне нужно обеспечить подключение к нему, со стороны устройств без статического IP.
Каким образом это лучше сделать? Оставить ssh и открыть порты, с помощью ufw, необходимые для работы служб на нем или установить fail2ban и забить?
Может есть еще какие-то вещи, которые полезны на арендуемых серверах делать по-умолчанию.

Сообщение **Bizdelnick** » 27.06.2024 19:24

Отключить вход по паролю и оставить только по ключу.
Смена порта SSH — это security through obscurity, не работает.
Я обычно ставлю fail2ban или sshguard, хотя особо защиты они не добавляют. Просто меньше мусора в логах от ботов будет.

Aliech · Сообщение **Aliech** » 27.06.2024 19:35

Мойте руки перед едой, закрывайте входную дверь.

А если серьёзно, то сменённые пароли и вход только по ключу - разумная программа минимум. Остальное зависит от того, что вы на нём будете в интернет выставлять. Но и в этом деле вам поможет разумность и здравый минимализм.

yoricI · Сообщение **yoricI** » 27.06.2024 20:17

По ключу-то по ключу, а что, пароли уже ломаются или подслушиваются запросто? Какие ещё есть способы взлома против паролей?

Добавлено (20:24):

Bizdelnick писал: ↑
27.06.2024 19:24
2fail2ban или sshguard

Весь инет трубит в основном про fail2ban, почему я его и выбрал. А так вроде sshguard получше будет? Не тянет то ли Perl or Python, допвозможности имеет. Так?

Добавлено (20:28):

Вижу, у sshguard посложнее настройка.

Сообщение **Bizdelnick** » 27.06.2024 21:53

yoricI писал: ↑
27.06.2024 20:17
По ключу-то по ключу, а что, пароли уже ломаются или подслушиваются запросто?

Подбираются. Берутся из утечек, если один пароль используется для разных мест. Воруются из хранилищ паролей разными методами. Да мало ли.

yoricI писал: ↑
27.06.2024 20:17
А так вроде sshguard получше будет? Не тянет то ли Perl or Python, допвозможности имеет. Так?

fail2ban очень много чего умеет из коробки помимо SSH, и самому настроить защиту любого сервиса можно. sshguard не такой гибкий, но если только для SSH, то, может быть, и лучше будет.

UnixNoob · Сообщение **UnixNoob** » 27.06.2024 21:57

Aliech писал: ↑
27.06.2024 19:35
Остальное зависит от того, что вы на нём будете в интернет выставлять. Но и в этом деле вам поможет разумность и здравый минимализм.

Ну allow_all для всех соединений то наверное нельзя назвать здравым смыслом.

Bizdelnick писал: ↑
27.06.2024 19:24
Смена порта SSH — это security through obscurity, не работает.
Я обычно ставлю fail2ban или sshguard, хотя особо защиты они не добавляют.

Окей, вернем обратно порт. Хотя в каких-то руководствах люди рекомендуют менять, но может они это почерпнули у кого-то или когда-то, а реалии изменились.

Aliech · Сообщение **Aliech** » 28.06.2024 00:27

UnixNoob писал: ↑
27.06.2024 21:57
allow_all

Это вы про что, не могли бы уточнить?

UnixNoob · Сообщение **UnixNoob** » 28.06.2024 11:57

Aliech, про начальную настройку фаервола, при создании VPS.

Aliech · Сообщение **Aliech** » 28.06.2024 21:42

UnixNoob писал: ↑
28.06.2024 11:57
Aliech, про начальную настройку фаервола, при создании VPS.

Но если на VPS ничего из установленного софта не слушает порты, то зачем это всё прикрывать файрволом?

UnixNoob · Сообщение **UnixNoob** » 28.06.2024 22:08

Aliech писал: ↑
28.06.2024 21:42
Но если на VPS ничего из установленного софта не слушает порты, то зачем это всё прикрывать файрволом?

А с внешней стороны видны только порты, которые прослушивает софт?

Aliech · Сообщение **Aliech** » 28.06.2024 22:51

UnixNoob писал: ↑
28.06.2024 22:08

Aliech писал: ↑
28.06.2024 21:42
Но если на VPS ничего из установленного софта не слушает порты, то зачем это всё прикрывать файрволом?
А с внешней стороны видны только порты, которые прослушивает софт?

Ну да. Чтобы получить доступ к порту, на том порту что-то должно ожидать подключение. В обратном случае reject в ответ придёт и усё.

UnixNoob · Сообщение **UnixNoob** » 29.06.2024 00:04

Aliech писал: ↑
28.06.2024 22:51
В обратном случае reject в ответ придёт и усё.

А, ну значит все не так страшно, как я думал. По-крайней мере при моем сценарии использования.
Всем отписавшихся благодарю за помощь и мнения.

chitatel · Сообщение **chitatel** » 01.07.2024 13:07

rkhunter
chkrootkit

На свежую систему сразу установить

Сообщение **Bizdelnick** » 01.07.2024 15:15

chitatel писал: ↑
01.07.2024 13:07
rkhunter
chkrootkit

На свежую систему сразу установить

Есть пример реальной пользы от них?

chitatel · Сообщение **chitatel** » 01.07.2024 16:52

Bizdelnick писал: ↑
01.07.2024 15:15
Есть пример реальной пользы от них?

У меня нет, но лучше иметь и время от времени использовать для чекапа. ИМХО, разумеется.

unixforum.org