Bezpieczeństwo serwera VPS

2013-11-22 , Papiewski Łukasz , Security / Bezpieczeństwo

Pytanie jest następujące, czy aby na pewno mój serwer VPS jest bezpieczny? Jeśli posiadasz serwer VPS przeczytaj kilka poniższych rad, które pozwolą ci mieć pewność, że to ty masz całkowitą kontrolę nad serwerem nie ktoś inny...

Pomysł na napisanie tego tekstu wyniknął z ciekawej analizy użytkowników VPS'ów. Jak często się zdarza na serwerach tego typu znajduje się system operacyjny Linux (najczęściej Debian). Czasem trzeba wykonać pewne prace administracyjne, tuning serwera itp., i najczęściej wtedy przekazujemy konto root zaufanemu administratorowi. Po tych czynnościach jakichkolwiek 'administracyjnych' samo zresetowanie hasła może nie zablokuje dostępu do serwera.

Po pierwsze bardzo nieciekawym przypadkiem jest włączone logowanie po kluczach publicznych i należało by to w pierwszej kolejności wyłączyć z konfiguracji SSH.

#w pliku /etc/sshd_config ustawiamy PubkeyAuthentication no #takze warto X11Forwarding no LoginGraceTime 30 #zmiana portu zabazpiecza przed atakami i obciazaniem serwera Port 5678 #dobra praktyka jest wylaczenie logowania root PubkeyAuthentication yes

W powyższej konfiguracji SSH serwera przede wszystkim wyłączono identyfikacja po kluczach publicznych. Czasem gdy już dodamy jakiegoś użytkownika, który miał zarzadzacć np jakas strona internetowa i dalej potrzebujemy konta zmieniamy po prostu hasło. Jednak nadal można się zalogować jeśli użytkownik ma dopisane authorized_keys w katalogu ~/.ssh ze swoim kluczm publicznym.

Nawet z ze zmienionym portem nie zapominajmy o zainstalowaniu demona na wszystkie próby wielokrotnego łączenia z SSH, czy ataków słownikowych. Takim najpopularniejszym rozwiązaniem jest program fail2ban.

Innym przypadkiem jest, że użytkownik posiadający raz dostęp do konta root, może je zostawić w sesji screen i tym samym mieć dostęp nawet po zmianie hasła, czy wyłączeniu kluczy publicznych. Takie sesje znikają po restarcie, ale lepiej było by sprawdzić w liście procesów czy nie ma su widocznego.

Innym oddzielnym przypadkiem są panele administracyjne popularnych programów hostingowych. Weźmy przykładowo ISPConfig gdzie z konta admin'a można zrobić dość dużo nawet nie posiadając uprawnień root'a. Warto sprawdzić czy aby na pewno mamy to konto udostępnione dla nas, czy jakieś inne

Kolejnym programem udostępniającym bardzo dużo uprawnień jest sudo. Jeśli jest zainstalowany sprawdźmy czy w pliku /etc/sudoers nie są dopisane żadne wpisy.

To kilka uwag z pierwszej cześć artykułów o bezpieczeństwie serwera VPS. Dobrze polecić komuś aby taką usługę sprawdzenia ustawień i kont na serwerze przeprowadził (sam takie usługi realizuje). Nie jest do tego dostępne konto administracyjne a daje pewność, że wszystko jest w porządku a nasz serwer nie posiada żadnych backdorów i exploitów...:).

Cytaty

- Simplicity is the ultimate sophistication. - Leonardo da Vinci,
- Popularny człowiek wzbudza zawiść potężnych - Thufir Hawat o Leto Atrydzie (na Kaladanie),
- Szczęście następuje po smutku, a smutek po szczęściu; człowiek jest naprawdę wolny, gdy przestaje rozróżniać między smutkiem a szczęściem, między dobrem a złem - Aforyzmy buddyjskie.