Är min server säker? Ubuntu

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

Är min server säker? Ubuntu

Hej,
Nu har jag pillat lite med min Ubuntu server och funderar fall om jag har fått den säker?
Följande har jag gjort:

OS:
Ubuntu 16.04 LTS

Program
Jag har uppdaterat NGINX, MariaDB, Seafile till senaste stabile versionen.

Router:
Ja, med brandvägg.

Vad körs?
Seafile med NGINX som webbserver

UFW
Jag har stängt alla ut och ingående portar förutom dom jag använder.

SSH
Jag har gjort följande:
* Bytt port
* Ändrat till protokoll 2
* PermitRootLogin no
* Limiterat anslutningen till SSH så att den endast får ske från mitt interna IP.

Ändrat så att SU access endast får göras från admin users

sudo groupadd admin sudo usermod -a -G admin <YOUR ADMIN USERNAME> sudo dpkg-statoverride --update --add root admin 4750 /bin/su

sysctl
Jag har ändrat följande i sysctl

# IP Spoofing protection net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 # Ignore ICMP broadcast requests net.ipv4.icmp_echo_ignore_broadcasts = 1 # Disable source packet routing net.ipv4.conf.all.accept_source_route = 0 net.ipv6.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv6.conf.default.accept_source_route = 0 # Ignore send redirects net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 # Block SYN attacks net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 2048 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 5 # Log Martians net.ipv4.conf.all.log_martians = 1 net.ipv4.icmp_ignore_bogus_error_responses = 1 # Ignore ICMP redirects net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv6.conf.default.accept_redirects = 0 # Ignore Directed pings net.ipv4.icmp_echo_ignore_all = 1

/etc/host.conf
Ändrat till följande i denna fil för att förhindra IPspoofing

order bind,hosts nospoof on

Fail2Ban
Jag har också installerat Fail2Ban och aktiverat följande i jail.local

[DEFAULT] ignoreip = 127.0.0.1/8 192.168.1.3 bantime = 3600 findtime = 600 maxretry = 3 action = %(action_mwl)s [sshd] enabled = true port = 2342 filter = sshd logpath = /var/log/auth.log bantime = 86400 [sshd-ddos] enabled = true port = 2342 filter = sshd-ddos logpath = /var/log/auth.log bantime = 86400 [nginx-http-auth] enabled = true filter = nginx-http-auth port = http,https logpath = /var/log/nginx/*error.log bantime = 86400 [nginx-noscript] enabled = true port = http,https filter = nginx-noscript logpath = /var/log/nginx/*access.log bantime = 86400 [nginx-badbots] enabled = true port = http,https filter = nginx-badbots logpath = /var/log/nginx/*access.log bantime = 86400 [nginx-nohome] enabled = true port = http,https filter = nginx-nohome logpath = /var/log/nginx/*access.log bantime = 86400 [nginx-noproxy] enabled = true port = http,https filter = nginx-noproxy logpath = /var/log/nginx/*access.log bantime = 86400 [nginx-botsearch] enabled = true port = http,https filter = nginx-botsearch logpath = /var/log/nginx/*error.log bantime = 86400 [seafile] enabled = true port = http,https filter = seafile-auth logpath = /home/xxx/tinytechnet/logs/seahub.log

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013

Jag skulle säga att den är "säker", men inget är omöjligt att hacka. Dock skulle jag byta ut Seafile mot Nextcloud som är säkrare: https://nextcloud.com/

Sen gällande SSH, kör nycklar istället.

Just my 2 cents.

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av enoch85:

Jag skulle säga att den är "säker", men inget är omöjligt att hacka. Dock skulle jag byta ut Seafile mot Nextcloud som är säkrare: https://nextcloud.com/

Sen gällande SSH, kör nycklar istället.

Just my 2 cents.

En fråga kring Jail2Ban, det man ändrar i Jail.local kör väll över det som finns i Jail.conf?
Och även i Jail.local så skriver jag ju div saker under [DEFAULTS] visst kör dessa inställningar över dom inställningar som står i filter reglerna längre ned?
Dvs står det maxretry under [Default] så behöver jag inte skriva det i filter rules alls utom det ligger där ändå?
Lika så findtime som står under [default] gäller väll över allt? Dvs jag behöver inte skriva ut det?

Ända portarna jag har öppna är 80,443,53,587 dvs dom som behövs.
Men har dom endast i den riktning jag behöver dom.

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013
Skrivet av Calby:

En fråga kring Jail2Ban, det man ändrar i Jail.local kör väll över det som finns i Jail.conf?

Och även i Jail.local så skriver jag ju div saker under [DEFAULTS] visst kör dessa inställningar över dom inställningar som står i filter reglerna längre ned?

Dvs står det maxretry under [Default] så behöver jag inte skriva det i filter rules alls utom det ligger där ändå?
Lika så findtime som står under [default] gäller väll över allt? Dvs jag behöver inte skriva ut det?

Ända portarna jag har öppna är 80,443,53,587 dvs dom som behövs.
Men har dom endast i den riktning jag behöver dom.

Ja på allt. Men kör nycklar på SSH som sagt.

https://www.techandme.se/easier-ssh-with-pre-configured-hosts...

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av enoch85:

Okej, ska köra med det.

En sista fråga om Jail2ban.

Om någon inställning fattas i Jail.local visst hämtar då den inställningen från Jail.conf?
Om jag har förstått det rätt så läser den in Jail.conf först och sedan läser den in Jail.local och korrigerar alla inställningar som finns efter jail.local?

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013

@Calby: Stämmer bra.

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se