LINUX.ORG.RU
ФорумTalks

Возможно ли защитить сервер не будучи профессионалом?

 ,


2

2

Сервер конечно громко сказано, там будет web-интерфейс торрент клиента, nextcloud, и ещё пара мелочей, пользоваться этим будет человек десять. Может я и буду неуловимым Джо, но всё-таки. Боты ходят всё сканируют, шифровальщики, мало ли что. Возможно ли защититься имея знания немногим выше эникея?



Последнее исправление: Dimez (всего исправлений: 2)

1 2
Ответ на: комментарий от peter_t

Проверь, доступна ли опция «Включить бекэнд модуля ядра» в настройках. В этом случае пропускная способность становится больше и зарядка так сильно не расходуется.

Meyer ★★★★★
()
Ответ на: комментарий от peter_t

Эт неправильный телефон или неправильный вайргард (мой с F-Droid). У меня вайргард уже годами постоянно включен и вообще не заметен в статистике по сравнению со всем остальным. При 10% за час час им бы никто не пользовался.

hzk
()
Последнее исправление: hzk (всего исправлений: 1)

От ботов достаточно убрать за nginx c basic auth. Крайне желательно let’s encrypt ещё прикрутить.

slovazap ★★★★★
()
Ответ на: комментарий от hzk

Может быть (неправильный телефон), я его пробывал на 1м телефоне.

peter_t
()
Ответ на: комментарий от slovazap

От ботов достаточно убрать за nginx c basic auth.

И как это спасёт от миллиарда китайцев?

Крайне желательно let’s encrypt ещё прикрутить.

Это с какого боку? Или вы про серты воообще?

anc ★★★★★
()
Ответ на: комментарий от anc

И как это спасёт от миллиарда китайцев?

А какая модель угрозы от миллиарда китайцев? Как минимум, до самих сервисов они не доберутся.

Это с какого боку? Или вы про серты воообще?

Научитесь задавать вопросы, пожалуйста.

slovazap ★★★★★
()
Ответ на: комментарий от slovazap

А какая модель угрозы от миллиарда китайцев?

Забрутят

Научитесь задавать вопросы, пожалуйста.

Вы про ssl вообще? Или про какую-то неизвестную фичу LE хотели написать?

anc ★★★★★
()
Ответ на: комментарий от anc

Забрутят

Не выдумывай ерунды. Чтобы забрутить нужна, во-первых, целенаправленная атака, а боты и черви которые могут тыкаться, например, в уязвимости nextcloud, этим не занимаются. Во-вторых, адекватный пароль сбрутить не хватит времени и трафика. В-третьих, в nginx rate limit настраивается 3 строчками.

Вы про ssl вообще? Или про какую-то неизвестную фичу LE хотели написать?

Я про известную и основную фичу LE - выдавать сертификаты.

slovazap ★★★★★
()
31 октября 2022 г.
Ответ на: комментарий от linuxoidspb

А как же порт скажем для web-сервера? Существует какой-то более безопасный способ чем держать его открытым?

spellman
() автор топика
Ответ на: комментарий от Meyer

Дропай весь входящий трафик кроме нужного

А как? Вот у меня есть SSH и два сайта на VPS-ке. Как отшить всё остальное, краулеры, которые ищут админку WP и прочую фигню?

CryNet ★★★★★
()
Последнее исправление: CryNet (всего исправлений: 1)
Ответ на: комментарий от CryNet

Для начала было бы неплохо защититься от самых банальных вещей:

IP fragmentation attack

Christmas tree packet / Port scanner

Для этого в хук ingress netdev таблицы нужно добавить: 

ip frag-off & 0x1fff != 0 drop # биты 0,DF,MF

tcp flags & (fin|syn|rst|psh|ack|urg) == 0x0 drop # сканирование т.н Null пакетами

tcp flags & (fin|syn|rst|psh|ack|urg) == fin|syn|rst|psh|ack|urg drop # сканирование Xmass пакетами

В хук prerouting для inet (IPv4 и IPv6) пропиши: 

ct state invalid drop # очевидно, дроп невалидных сессий

ct state new tcp flags & (fin|syn|rst|ack) != syn drop # дроп новых сессий, начинающихся не с SYN

От всяких школьников с nmap'ом это поможет, но лучше позаботиться о более нормальной защите.

Meyer ★★★★★
()
Последнее исправление: Meyer (всего исправлений: 2)
Ответ на: комментарий от Dimez

но у нас жёны врядли типичные

Всмысле… Тапнуть по присланной ссылке - это уже нетипично?

her_s_gory
()
Последнее исправление: her_s_gory (всего исправлений: 1)
Ответ на: комментарий от Meyer

Ага. Спасибо. С другой стороны, кому нужен помойный сервачок с блогом…

CryNet ★★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)
1 2
Talks