Forum Mjukvara Linux och övriga operativsystem Tråd Inlägg

Smart privatserver lösning?

1
Skriv svar
Permalänk
Medlem

Smart privatserver lösning?

Funderar på att göra något mer vettigt med min burk som bara står som ircbox.
Hade tänkt ftp och http med, fast privat. Hur gör jag den säkraste lösningen för att få det så bra som möjligt? Spawnade lite på att användaren skulle vara tvungen att gå in via ssh för att tillåta det dåvarande ip:t i httpd och ftpd (kalla mig paranoid), men kom på att man inte har tillgång till ssh överallt.

Vill helst inte att det ska vara publikt på något sätt, då jag sett hur många som försöker hacka sig in på ssh som jag just nu kör helt öppet på port 22.

Har hört lite om ett program som heter fail2ban. Är det något som bannar användaren om den misslyckas att logga in på visst antal försök eller vad är det? Har inte orkat kolla upp det .:P

Vad har ni för tips och lösningar?
Skulle gärna vilja ha tips på någon bra ftpd också, gärna något enkelt och säkert.

Burken ifråga är en PIII på 700mhz med 384mb ram

Glömde att nämna att jag kör Gentoo på burken om det gör någon nytta

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Du skulle ju kunna titta på någon variant av portknackning, dvs. att man ska ansluta till ett antal utvalda portar i följd först för att man ska få tillgång till ssh/ftp/http/whatever sedan.

http://en.wikipedia.org/wiki/Port_knocking

Redigera
Citera flera Citera
Permalänk
Medlem

Denna är rätt bra för SSH, tilllåter bara 3 försök/5min

# protect SSH from bruteforces
iptables -A INPUT -i eth1 -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 300 --hitcount 3 --rttl -j FIREWALL
iptables -A INPUT -i eth1 -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT
Redigera
Citera flera Citera
Permalänk
Medlem

Typiskt att gentoo-wiki.com är nere >.<, är inte så jätte haj på allt
nillon: Verkar bra, men inte riktigt så paranoid är jag inte (än)

Kom på att på http räcker det om jag lägger in .htaccess med login. Antar att det är ganska säkert? men kan jag göra så att användaren endast har ett visst antal försök här med?
Det är framför allt ftp som jag villl ha tips på vad jag ska använda och köra för att det ska vara säkert.

maDa: Har inte iptables och jag vet inte riktigt hur det funkar, får väl vänta med att installera allt tills gentoo-wiki är uppe

Men fler förslag?

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Är ingen expert men rent på rak arm så skulle jag först och främst lägga ftp:n på någon annan port än just 21. Sen så kör min kompis sFTP kryptering vilket verkar fungera bra.

Visa signatur

| Ryzen 5800x | Asus prime x470 pro | Asus rtx 3080 tuf oc | Gskill 32gb 3,6ghz | aw3225qf |

Redigera
Citera flera Citera
Permalänk
Medlem

Att byta port gör det inte mer säkert. Portscan som visar vilken tjänst som kör på respektive port kommer ändå avslöja eventuell ftp tjänst.

Använd vsftpd för ft. Det där fail2ban var rätt enkelt att ställa in men hade också stora valmöjligheter vad gäller att kustomisera vad och hur den ska hantera diverse intrångsförsök. Vad gäller att säkra apache så ska du göra det ordentligt är det inge htaccess filer och sånt du ska göra utan du ska chroot'a apachen och lära dig vad som ska vara in confen och inte. en just guide är http://www.securityfocus.com/infocus/1786

Visa signatur

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Redigera
Citera flera Citera
Permalänk
Medlem

Använd SFTP istället för FTP i största möjliga mån. De flesta moderna FTP-klienter har stöd för SFTP.

Visa signatur

Coola låtar i massor!
http://revolvermen.com

Redigera
Citera flera Citera
Permalänk
Medlem

Men SFTP (SCP/SSH) är tämligen dumt då det oftast ger access till hela systemet, ibland vill man bara dela ut något speciellt, och ha egna konto för det (som t.ex glftpd/chroots/jails)

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av maDa
Men SFTP (SCP/SSH) är tämligen dumt då det oftast ger access till hela systemet, ibland vill man bara dela ut något speciellt, och ha egna konto för det (som t.ex glftpd/chroots/jails)

Det går utmärkt att köra SFTP med chroot och utan shell.

Visa signatur

Coola låtar i massor!
http://revolvermen.com

Redigera
Citera flera Citera
Permalänk
Medlem

Bara en snabb fråga angående klienter med stöd för SFTP: Har ie stöd för det? antar att det inte har det...
För det skulle vara bra om jag kunde komma åt ftp från skolan där det endast finne internet explorer.

Redigera
Citera flera Citera
Permalänk
Medlem

Det är helt klart en värdig lösning det med. vsftpd +tls/ssl eller scp, lite mer jobb att chroota en ssh user än en ftp user men om man ändå ska chroota apache'n kan man lika gärna sätta sig in i det. regardless så vill OP ha kontroll så finns det inga apt-get-ubuntu-lösningar, du får fixa själv.

Visa signatur

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Redigera
Citera flera Citera
Permalänk
Medlem

min kompis som kör Sftp nu gör det av en enkel anledning. Han testade att sätta upp en paket skanner mot sin gamla Ftp server.. lösenorden skickades okrypterade.. Så vill du köra säkert så kör inte vanlig ftp.

Visa signatur

| Ryzen 5800x | Asus prime x470 pro | Asus rtx 3080 tuf oc | Gskill 32gb 3,6ghz | aw3225qf |

Redigera
Citera flera Citera
Permalänk
Medlem

Re: Smart privatserver lösning?

Citat:

Ursprungligen inskrivet av Lonsas
Hade tänkt ftp och http med, fast privat. Hur gör jag den säkraste lösningen för att få det så bra som möjligt? Spawnade lite på att användaren skulle vara tvungen att gå in via ssh för att tillåta det dåvarande ip:t i httpd och ftpd (kalla mig paranoid), men kom på att man inte har tillgång till ssh överallt.

Skulle gärna vilja ha tips på någon bra ftpd också, gärna något enkelt och säkert.

Om jag läser igenom det som avhandlats hittills låter det nästan som om glftpd+TSL samt ett vettigt regelverk i brandväggen är det du söker. :^)

Iofs ryker möjligheten att köra IE native såvida du inte sätter upp ett konto i FTP'n som *inte* måste använda kryptering, men det lämnar ju dig tillbaka på startpunkten; okrypterad trafik! Nej, skall du köra kryptering så var konsekvent - ingen kryptering = ingen anslutning. Börjar du göra undantag faller konceptet på eget grepp. :-/

Visa signatur

WS: ASUS P7P55D/i5-750, Hydro H50, XFX6950/2GB, Intel X25-V/2Tb lagring, Corsair VX-550
Server: ASUS, AMD Athlon64 X2 6000+ Scyte Ninja, NVidia GS8400Silent, 2Gb ram, ~4Tb SATA, 500W, CM Stileo500 (tyst)
"-Sometimes all that is needed is a high five. In the face. With a chair!"

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av deegan
[B]Att byta port gör det inte mer säkert. Portscan som visar vilken tjänst som kör på respektive port kommer ändå avslöja eventuell ftp tjänst.

Sanning med modifikation. Byter du port slipper du undan det mesta av allt random bruteforcande som sker av olika former av bottar. Men om någon skulle få för sig att göra en riktad attack mot just din dator så lär det väll hjälpa föga. Kör min ssh server på en icke standard port nu och jag har inga som hellt problem med random brutforcande.

En bra standard för en ssh server är:

  • Inte tillåta att root loggar in (mycket viktigt)
    Köra servern på en udda port.
    Använda certifikat för att logga in (kanske till och med förbjuda någon utan certifikat att logga in).
    Använda blockhosts/fail2ban för att försvåra bruteforceattacker.

Visa signatur

Citera mig gärna om du vill ha svar!

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara