Как максимально защитить сервер для развертывания onion ресурса? Все ненужное закрыто и во внешку не торчит, rsyslog отключен. На что еще обратить внимание?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Настройка сервера
- Автор темы UnderAttack
- Дата начала
1. Сменить порт ssh на не дефолтный
2. Установить "ufw" и заблокировать все кроме порта ssh
3. Настройка nginx https://blog.0day.rocks/securing-a-web-hidden-service-89d935ba1c1d
2. Установить "ufw" и заблокировать все кроме порта ssh
3. Настройка nginx https://blog.0day.rocks/securing-a-web-hidden-service-89d935ba1c1d
Запретить вход через root.
Поставить fail2ban, в первую очередь. И увидеть, как на сервер ломится целая армия ботов
Поставить fail2ban, в первую очередь. И увидеть, как на сервер ломится целая армия ботов
- Автор темы
- Добавить закладку
- #4
1. Это в первую очередь сделал
2. Использую iptables
3. Читал эту статью. Спасибо.
Да это я уже сделал. Ломится там особо некуда, во внешку ничего не торчит практически. Спасибо.Запретить вход через root.
Поставить fail2ban, в первую очередь. И увидеть, как на сервер ломится целая армия ботов
какой толк менять порт от ssh? Его можно найти одним сканом nmap .-.
- Автор темы
- Добавить закладку
- #6
Отсекает большую часть скан ботов которые по дефолтным портам сканят. А так да, захотят найти - найдут.
Кто и зачем будет искать ssh порт на неизвестном сервере,перебирая все порты?
Если заморочится на тему безопасности, можно на сторонний сервер (скажем aws) поставить zabbix, и мониторить изменения в критических файлах/папках. Допустим, если произошло изменение в файле /etc/passwd или /etc/shadow тебе сразу прийдет оповещение в телеграм или на почту или sms.
ТС, что ты имеешь в виду под словом "защитить"? От взлома? Или от ддос-атаки?
Имей в виду, что все соединения твой серевр видит приходящими с локального хоста. Это важно, например, при показе /server-status в apache.
К HS подключай только нужные сервисы. Если они крутятся на том же сервере, что и тор, то используй unix domain sockets.
Если важна защита от ддоса на сам тор, то используй v3 домены. Это самое простое, что можешь сделать. Другие моменты раскрывать слишком долго.
Остальное все так же как для другого сервиса. SSH переведи на ключи, пароли отключи. Все, что хочешь вынести в тор, должно биндиться к локалхосту.
Имей в виду, что все соединения твой серевр видит приходящими с локального хоста. Это важно, например, при показе /server-status в apache.
К HS подключай только нужные сервисы. Если они крутятся на том же сервере, что и тор, то используй unix domain sockets.
Если важна защита от ддоса на сам тор, то используй v3 домены. Это самое простое, что можешь сделать. Другие моменты раскрывать слишком долго.
Остальное все так же как для другого сервиса. SSH переведи на ключи, пароли отключи. Все, что хочешь вынести в тор, должно биндиться к локалхосту.
Нахер тогда онион если смс? Пожет еще EMS письмом оформить извищение с пометкой о вручении?
p.s. Простите не удержался, у меня жена только что ноут ломанула, её действия:
Нажала кнопку включения, после загрузки винды, нажала интер, и вуаля, система у неё. Только жаль что там даже драйверов никаких не стоит. ?
SSH нестандартный порт можешь скрыть через port knocking:
Но это заморочки, хватит настройки iptables, изменения стандартного порта(22), запрет root login, запрет входа по паролю(через ключи only).
Port knocking - ArchWiki
wiki.archlinux.org
Но это заморочки, хватит настройки iptables, изменения стандартного порта(22), запрет root login, запрет входа по паролю(через ключи only).
Пентестер, которого наняли твои конкуренты \ недоброжелатели \ заинтересованные лица.
Зачем вообще делать доступным SSH через onion?
Если конкуренты заказли пентест твоего onion ресурса и они нашли реальный IP сервера то все уже очень плохо. Утечка IP onion сервиса = фатальная ошибка.
Добавлю в тему - можно смотреть в сторону whonix. Он также дает возможность размещения сайта.