Základní bezpečnost serveru, či PC v provozu na internetu
1.⇒ ujistěte se, že vaše bezpečnostní aktualizace OS jsou aktuální.
Vypněte si podporu protokolu IP verze 6 ( IPv6).
V terminálu # sudo nano ⁄etc⁄sysctl.conf
nano = textový editor,může být i xed
na konec dat v souboru sysctl.conf připište tyto 3 řádky :
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
Další zrušit microsoft-ds tunel na TCP6
# sudo xed ⁄etc⁄avahi⁄avahi-daemon.conf
řádek use-ipv6=no
řádek publish-a-on-ipv6=no
Další zrušit NETBIOS na IPV6, který využívá SAMBA
# sudo xed ⁄etc⁄samba⁄smb.conf
disable netbios = yes
smb ports = 445
2.⇒ root uživatelská práva, není vhodné ponechat uživateli se stejným jménem “root”.
Je vhodné nejdříve si ověřit zda li mám uživatele s otevřenými právy root vytvořeného a teprve poté mohu zakázat práva uživateli jménem “root”.
Např. Při používání VPN virtual private network – tunel v internetu, se tato maličkost může stát právě terčem útoků hackerů.
Vzdálené správě počítače, přístupu k databázím dat serverů.
3.⇒ Změna portu pro SSH tunelování : zabezpečená komunikace v internetovém prostředí
Je těžší poté vaši zabezpečenou komunikaci zaseknout. Nemohou SSH zaseknout, když ho nemohou najít.
Změna čísla portu SSH může rovněž zabránit škodlivým skriptům v přímém připojení na výchozí port (22).
Chcete-li to, budete muset otevřít /etc/ssh/sshd_config a změnit příslušné nastavení portu z 22 na číslo portu, které si nejprve musíte ověřit a ujistit se, zda kontrolovaný nový port není již obsazený, jinou službou.Nechceme přeci vytvářet střety! Nýbrž zlepšit bezpečnost.
4.⇒ Otevřené porty na protokolech UDP, TCP, TCP6 a dalších.
Udržujte si neustálí přehled o otevřených portech ve vaší internetové komunikaci mezi vaším OS a stranou internetu, i třetích stran, i robotů. Tím lépe zajistíte bezpečnost a získáte přehled nad outdoor komunikaci s vámi.
Výborným pomocníkem příkaz # netstat , který sám dokáže vytvořit několik variant sestav z aktuálního stavu otevřených portů.
# netstat -a | grep tcp vypíše pouze komunikaci na protokolu TCP ( Transmission control protokol ).
Také příkaz # nmap není jen obyčejným příkazem rovněž, dokáže ověřit jaké porty jsou u vás otevřené pro komunikaci v internetu. # nmap -v scanme.nmap.org
Je dobré také vědět, jak jsou porty rozděleny rozsahem příchozí a odchozí komunikace:
porty od 1 do 32767 jsou příchozí. Porty 32768, až 61000 jsou odchozí.
5.⇒ Rozšířená zpráva firewall, který využívá např. aktualizované data ip-tables specifických rozsahů sítě internetu, které je schopna blokovat okamžitě při vzniku, takové komunikace.
příkaz # ipblock existuje i v GUI ( grafickém prostředí # sudo ipblock gui ), umí importovat i-block listy.
ipblock je v poslední verzi 0.29 plně funkční již od roku 2012.
Doporučuji využít i CIDR databázi rozsahů podle jednotlivých států, která lze využít k pravidlům “deny” zakázané.
6.⇒Monitorování a řízení SSH tunelování = vytvoří přímé spojení zabezpečené na úrovni příkazového řádku OS
K tomu je třeba si uvědomit jaké obrovské možností poskytuje takové spojení k serveru, či vašemu počítači.
SSH tunel využívá i OS pro přístup do databází služeb systému.
SSH tunel pracuje v internetu skrze protokol HTTPS ( proto je dobré si default port nastavit na jiný než 443 )
Co je HTTPS protokol ?
HTTPS (Hypertext Transfer Protocol Secure) je v informatice protokol umožňující zabezpečenou komunikaci v počítačové síti.
HTTPS využívá protokol HTTP spolu s protokolem SSL nebo TLS.
příklad ověření otevřeného zabezpečeného spojení port 443 v Linux terminálu # netstat -n –protocol inet | grep ‘:443’
Ověřit se takto dá i port 22 určený pro Secure Shell tunelování. # netstat -n –protocol inet | grep ‘:22’
Nebo necháme vypsat všechna spojení na síti : # netstat -n –protocol inet | grep ‘’
Instalace DenyHost je velmi jednoduchá, je k nalezení ve správci softwaru.
Ve složce /etc/ naleznete 2 soubory začínající host.* ( # ls /etc/host.* )
host.deny – zde se zapisují IP adresy blokované
host.allow – zde se zapisují IP adresy povolené
Root přístup /var/lib/denyhosts, umožní přístup k aktivním datům a lze zde i rovněž zadávat IP adresy.
Nepracuje na IPV6 protokolu. Doporučuji IPV6 vypnout. Vypnout na vnitřní síti routeru a počítačích.