Är min server säker? Ubuntu
Hej,
Nu har jag pillat lite med min Ubuntu server och funderar fall om jag har fått den säker?
Följande har jag gjort:
OS:
Ubuntu 16.04 LTS
Program
Jag har uppdaterat NGINX, MariaDB, Seafile till senaste stabile versionen.
Router:
Ja, med brandvägg.
Vad körs?
Seafile med NGINX som webbserver
UFW
Jag har stängt alla ut och ingående portar förutom dom jag använder.
SSH
Jag har gjort följande:
* Bytt port
* Ändrat till protokoll 2
* PermitRootLogin no
* Limiterat anslutningen till SSH så att den endast får ske från mitt interna IP.
Ändrat så att SU access endast får göras från admin users
sudo groupadd admin
sudo usermod -a -G admin <YOUR ADMIN USERNAME>
sudo dpkg-statoverride --update --add root admin 4750 /bin/su
sysctl
Jag har ändrat följande i sysctl
# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1
/etc/host.conf
Ändrat till följande i denna fil för att förhindra IPspoofing
order bind,hosts
nospoof on
Fail2Ban
Jag har också installerat Fail2Ban och aktiverat följande i jail.local
[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.3
bantime = 3600
findtime = 600
maxretry = 3
action = %(action_mwl)s
[sshd]
enabled = true
port = 2342
filter = sshd
logpath = /var/log/auth.log
bantime = 86400
[sshd-ddos]
enabled = true
port = 2342
filter = sshd-ddos
logpath = /var/log/auth.log
bantime = 86400
[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/*error.log
bantime = 86400
[nginx-noscript]
enabled = true
port = http,https
filter = nginx-noscript
logpath = /var/log/nginx/*access.log
bantime = 86400
[nginx-badbots]
enabled = true
port = http,https
filter = nginx-badbots
logpath = /var/log/nginx/*access.log
bantime = 86400
[nginx-nohome]
enabled = true
port = http,https
filter = nginx-nohome
logpath = /var/log/nginx/*access.log
bantime = 86400
[nginx-noproxy]
enabled = true
port = http,https
filter = nginx-noproxy
logpath = /var/log/nginx/*access.log
bantime = 86400
[nginx-botsearch]
enabled = true
port = http,https
filter = nginx-botsearch
logpath = /var/log/nginx/*error.log
bantime = 86400
[seafile]
enabled = true
port = http,https
filter = seafile-auth
logpath = /home/xxx/tinytechnet/logs/seahub.log
Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V