At sikre sin Linux server 2

Skrevet af: Patrick Kerwood

Der er mange måder at sikre sin server på og i dette blog indlæg vil jeg beskrive nogle af de basale måder, jeg selv som minimum bruger, efter jeg har sat en ny server op.

SSH

Først og fremmest er det en rigtig god idé at sikre sin SSH service, da det er her man vil opleve flest angreb.

Nogle af mulighederne er.

  • Disable root login
  • Skifte SSH porten
  • Bruge SSH Keys

 
Disable root login

Start med at disble SSH login for root. Åben /etc/ssh/sshd_config.
sudo nano /etc/ssh/sshd_config

Find PermitRootLogin og ændre den til “no”.
PermitRootLogin no

Skift SSH Porten

De fleste SSH angreb vil blive forsøgt på standard porten for SSH, port 22. Derfor er det en god idé at skifte den.

I samme fil, /etc/ssh/sshd_config, finder du linjen Port 22, ændre den til det ønskede (Over 1024).
Port 5505

SSH Keys

En fordel ved at bruge SSH Keys er den øgede sikkerhed. Du kan simpelthen ikke få lov til at logge ind med mindre du har en key. Ulempen er den samme. Du kan ikke logge ind uden din key. Du kan selvfølgelig altid have en kopi på en USB nøgle og have den på dig, hvis du er på farten uden din laptop. Du kan læse mere her om hvordan du laver en key. http://linuxbloggen.dk/ssh-keys/

Husk at lave din key inden du ændre nedenstående i sshd_config filen.

I filen /etc/ssh/sshd_config finder du linje #PasswordAuthentication yes. Uncomment og ændre den til “no”.
PasswordAuthentication no

Tjek efterfølgende at nedenstående linjer i filen er sat til til “yes”. De skulle gerne være det fra standard.
RSAAuthentication yes
PubkeyAuthentication yes

Genstart SSH

Efter ændringer af overstående skal du genstarte SSH.
sudo service ssh restart

Fail2ban

En anden rigtig god sikkerheds foranstaltning er Fail2ban.
Fail2ban holder øje med dine log filer og banner gentagne forsøg på login, på fx. SSH. Du kan læse meget mere om det i dette indlæg. http://linuxbloggen.dk/beskyt-din-server-med-fail2ban/

Iptables

Iptables er en firewall og er IMO den bedste. Det er altid en rigtig god idé at lukke af for alle porte som man ikke bruger. En anden good practice er kun at tillade SSH connections fra nogle bestemte IP’er.

Jeg har ikke lavet nogle guides til Iptables, men du kan finde en rigtig god begynder guide her. http://www.howtogeek.com/177621/the….

Et lille tip, når man laver Iptables scripts, så lav først et script der nulstiller din firewall og sæt crontab til at kører den hver halv time eller noget. På måde kan du få forbindelse til din server igen, hvis du lukker dig selv ude. Husk at fjerne det fra crontab når du er færdig.


6 jun 2014   | Alle · Sikkerhed

2 thoughts on “At sikre sin Linux server

  1. Reply Jimmy okt 12,2014 21:39

    Jeg tror det er spild af tid at flytte SSH porten, til gengæld plejer jeg at sætte en begrænsning på antal nye connections, noget i stil med :

    iptables -A INPUT -p tcp -i eth0 -m state --state NEW -m recent --set
    iptables -A INPUT -p tcp -i eth0 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP

    Jeg skrev lidt om det her

    • Reply Patrick Kerwood okt 13,2014 08:56

      Det er jeg ikke enig med dig i. Det er nemt og hurtigt at ændre sin port og man slipper for en masse generic SSH attacks. Altså andre servere der ikke laver andet end at prøve at logge ind på port 22, i et helt subnet.

      Jeg har en server stående, i et par måneder, der ikke bliver brugt og har derfor ikke lavet porten om. Jeg har pt. 3238 failed login forsøg, fra disse generic SSH attacks.

      Det tager ikke mange sekunder at skifte porten og det er best practice.

      Men ellers en super fed måde at gøre det med iptables.

Leave a Reply