• ДОБРО ПОЖАЛОВАТЬ В КЛУБ ПО WORDPRESS

    Мы активно растущий клуб по WordPress и нам нужна помощь каждого человека, в том числе и Ваша! Не стесняйтесь и станьте частью большого сообщества.
    Мы делимся новостями, отытом и полезными советами! Пройдите простую регистрацию, чтобы пользоваться всеми возможностями нашего клуба.

    Присоединяйтесь к нам, вам обязательно понравится - Присоединится

Совет Безопасность ... как много в этом слове.

Wildcdu

ЭКСПЕРТ
Wildcdu

Wildcdu

ЭКСПЕРТ
Сообщения
1,123
Симпатии
261
#1
Решил написать небольшую заметку о безопасности на уровне хоста, те кто не пользуется VDS серверами это скорее всего не пригодится.
Пользуясь исключительно VDS и Dedicated, всегда обеспокоен безопасностью работы, тк на сервере находится очень и очень много информации это как правило не один сайт, базы данных и прочее, если взломают сайт это не критично, в худшем варианте придется восстановить один сайт (из архива например) ну ладно два... В случае взлома сервера все гораздо печальнее от полной потери данных до проблем в последующем в виде попадания вашего IP в блек листы поисковых систем и блокировки от провайдеров и прочие ужасы.
И так расскажу секретную информацию по защите своих серверов.
Первое что я делаю после установки системы (исключительно речь о *nix системах) это передаю авторизацию по паролю SSH в режим авторизации по сертификату и полностью отключаю возможность авторизации по паролю. (на всякий случай напишу что конечно создаю сертификат и прочее)
Второй шаг меняю порт SSH
Третье настраиваю LAMP в формате Apache MPM-Prefork(FastCGI)+Nginx(PHP-FPM)+MySQL+ZendOpcach+memcached+proftpd+Fail2ban

Настраиваю Fail2ban, в принципе по умолчанию Fail2ban хорошо настроен, но я правлю несколько моментов, 3 неверных пароля бан 6000 сек, дописываю такую строчку в jail.conf: action = iptables[name=sshd, port=ssh, protocol=tcp] это исключает такой момент во первых помогает от ошибок в логах и блокирует даже если введен логин пользователя (по умолчанию если логин присутствует в системе и брутят с логином то пароль можно вводить очень долго)
Потом добавляю такую строчку в MySQL иначе ошибки резольва вам забьют лог читать устанете этот мусор, в my.cnf эту строку skip_name_resolve = 1 Желательно настраивать MySQL на локальную работу если только не требуется выпускать его в мир.

Итогом настроек Fail2ban:
Соответственно все кто ломится к Вам с брутом будут банится после 3 попыток на 6000 сек. Используя Iptables.

Немного об iptables, почему немного, с переходом в моем случае на Centos, по умолчанию в нем iptables закрыт насмерть и каждые изменения в системе требует открытия портов в iptables (а не закрытия) так что немного только по этому. Но не все *nix имеют такие настройки по умолчанию в целом проверяйте закрыты ли порты и открывайте только необходимые.
И добавьте в iptables эти строки
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
Это дропнет лишнее типа нулевых пакетов для проверки вашей системы на уязвимость и прочее.

Добавляю такой код в sysctl.conf
Код:
У вас нет прав на просмотр содержимого кода, Войдите или Зарегистрируйтесь.
Это для определенного вида атак защищает, кратко от атак с нулевыми пакетами итд. настройки для высоко нагруженных проектов. Если захотите посмотреть гугл в помощь иначе статья на уровень Войны и Мир Л.Н.Толстого выйдет )))

Ну вот почти все. Просматривайте логи на ошибки и ремонтируйте ошибки.
Заключения. Данные действия на сервере могут дать снижение нагрузки на 30-40% во первых за счет не работаем с мусором в логах и удаляем всяческие атаки которые тратят не только процессорное время но и оперативную память кушают. Плюс готовим систему для развития.
Добавлю что такая связка LAMP меня очень устраивает как производительность и гибкость. Нюансы настроек конечно отдельная тема и тема достаточно спорная как говорят каждый кулик свое болото хвалит. Но данная связка работает на разных системах у меня с 2007 года и нареканий не имею, до 2007 года было почти тоже самое но как бы в других нюансах тк многие моменты совершенствовались создателями ПО и прочее прочее и сформированный образ возник примерно в 2007г. у меня лично и с тех пор точатся нюансы, в целом все стандартно, плюс это стабильно работаете в связке с ISPmanager что так же радует.
Всех благ и быстрых Вам каналов связи.
 

Fishka

ЭКСПЕРТ
Fishka

Fishka

ЭКСПЕРТ
Сообщения
581
Симпатии
119
#2
ни в коем случае не хочу спорить, но защита и поддержание своего сервера - это намного более сложный процесс, чем описано выше :(

лично моя глубокая убежденность - если вас не гонят пока с шареда, если не готовы вникать в тонкости настройки - не переходите, да простит меня Wildcdu,

лучше поищите надежного хостера с нормальным шаред хостингом.
а свой сервер - это уже уровень совсем не для новичка.
 

Wildcdu

ЭКСПЕРТ
Wildcdu

Wildcdu

ЭКСПЕРТ
Сообщения
1,123
Симпатии
261
#3
ни в коем случае не хочу спорить, но защита и поддержание своего сервера - это намного более сложный процесс, чем описано выше :(

лично моя глубокая убежденность - если вас не гонят пока с шареда, если не готовы вникать в тонкости настройки - не переходите, да простит меня Wildcdu,

лучше поищите надежного хостера с нормальным шаред хостингом.
а свой сервер - это уже уровень совсем не для новичка.
Ну конечно сложнее чем написано ))) это краткое изложение базовых моментов, то что обязательно нужно сделать, а учитывая нюансы то холивар будет на страниц 20 мелкого почерка )))
Хотя следуя даже столь краткому изложению можно защитить свой сервер на 80-95% выше если только работает он с персональными данными.
 

Burt

ПРОВЕРЕННЫЙ
Burt

Burt

ПРОВЕРЕННЫЙ
Сообщения
7
Симпатии
9
#4
Для новичков для защиты от вечно долбящего софта "начинающих хакеров" подходит плагин Ithemes Security. В настройках указываем защиту от записи в каталоги uploads, запрет на включение php кода, защиту от брутфорса админки и т.д.
С помощью перевода в хроме прекрасно можно разобраться с остальными настройками плагина.
 

Wildcdu

ЭКСПЕРТ
Wildcdu

Wildcdu

ЭКСПЕРТ
Сообщения
1,123
Симпатии
261
#5
Для новичков для защиты от вечно долбящего софта "начинающих хакеров" подходит плагин Ithemes Security. В настройках указываем защиту от записи в каталоги uploads, запрет на включение php кода, защиту от брутфорса админки и т.д.
С помощью перевода в хроме прекрасно можно разобраться с остальными настройками плагина.
Да конечно Вы правы есть плагины (Вами представленный один из них и популярный надежный) для защиты WP от взломов и прочего. В теме я несколько другого коснулся, хотя Ваше дополнение так же имеет место быть.
 

Топ поддержки

  • Altin
    Altin
    1,400.00 RUB
Сверху