Email or username:

Password:

Forgot your password?
MUSHROOM LIGHT PREDICTOR's posts Post Back to profile
Top-level
Шуро

@rf @predicterOfShroomsLight Общие принципы там довольно простые: первым делом сменить пароль на рута символов на 20, вторым поставить fail2ban, третьим включить файрвол и закрыть всё, кроме 22-го порта (если ssh на стандартном) и открывать дальше только под конкретные сервисы.

Остальное по вкусу. Рекомендуется вход по ключу, можно отключить вход по паролю (но лично я смысла вижу мало). В принципе, можно и fail2ban не ставить, поставить пароль ещё длиннее и/или сменить порт ssh.

А вот потом уже что-то настраивать, только иметь в виду, что сами сервисы тоже бывают дырявые :)

19 May 2023 at 9:32 | Wall-to-wall | Open on friends.deko.cloud
12 comments
kurator88

@shuro @rf @predicterOfShroomsLight

от кого \ чего поднимают фаерволл если дефолтная система не шумит ? Не выкупаю радости дополнительной возни после каждой установки сервиса

19 May 2023 at 9:35 | Open on social.exo.icu
Шуро

@rf @predicterOfShroomsLight @kurator88 Чтобы не пополнять ряды выставивших эластик в публичную сеть. Всё предусмотреть сложно, а так наглядно видно.

Некоторые сервисы вообще в паблик лучше не выставлять, например, за открытый наружу DNS мне Роскомнадзор прописал теневой бан.

19 May 2023 at 9:42 | Open on friends.deko.cloud
kurator88

@shuro @rf @predicterOfShroomsLight

А как теневой бан работает ?

19 May 2023 at 9:44 | Open on social.exo.icu
Шуро
@rf @predicterOfShroomsLight @kurator88 В реестре ничего нет, а на провайдерах с ТСПУ (все мобильные и крупняк) соединения тихо дропаются. Даже не резет или пересылка на блекхол, а именно тайм-аут, как будто у тебя сервис не отвечает.
19 May 2023 at 9:51 | Open on friends.deko.cloud
kurator88

@shuro @rf @predicterOfShroomsLight

на весь домен или именно на dns ?

19 May 2023 at 9:54 | Open on social.exo.icu
Шуро

@rf @predicterOfShroomsLight @kurator88 > на весь домен или именно на dns ?

Если это про РКН, то бан по IP по всем протоколам. ICMP, TCP, UDP - любые порты.

Но именно по IP, позже я с него съехал и то же доменное имя работает без проблем.

19 May 2023 at 10:46 | Open on friends.deko.cloud
Meko #nowar
@kurator88 @shuro @predicterOfShroomsLight
От всяких сканеров портов и подборщиков паролей.

Стоит только поднять ВПС, а через пару часов уже будут кучи ботов стучаться со стандартными именами пользователей и паролями
19 May 2023 at 9:54 | Open on udongein.xyz
kurator88

@yura @shuro @predicterOfShroomsLight

давай еще раз.
Пустой сервис - все порты закрыты, хоть стучи хоть нет.

Поднял ssh - открыл порт ssh и его все равно будут стучать.

19 May 2023 at 9:55 | Open on social.exo.icu
Шуро

@yura @predicterOfShroomsLight @kurator88 Поднял кэширующий DNS для использования внутри VPN-сети - открылся порт наружу, далее см. выше.

Поднял некую-полезную-приблуду - она подняла админский интерфейс на порту 3020, часто без пароля, ты можешь про него и не знать даже.

И т.п.

Конечно, умолчания у нормального ПО обычно от такого страхуют, но :)

19 May 2023 at 10:05 | Open on friends.deko.cloud
Meko #nowar
@kurator88 @shuro @predicterOfShroomsLight
Да, можно. Только тут немного не так.

Пустой сервис - все порты закрыты, не достучится ни враг, ни друг.

Поднял ssh (если впс, то он так поднят из коробки) - очень быстро начнут стучать все кто угодно.
19 May 2023 at 10:06 | Open on udongein.xyz
kurator88

@yura @shuro @predicterOfShroomsLight про failban я ничего плохого не говорил :)

Короче фаервол как sudo. Мне привычнее все делать в su чем каждый раз печатать sudo. Так и с фаерволом - я знаю кто и в какой момент открывает порт.

19 May 2023 at 10:41 | Open on social.exo.icu
Gabriel
@shuro @predicterOfShroomsLight @rf Если хочется настоящей безопасности то и порт 22 тоже надо закрыть.
Сервер будет в безопасности если никто не сможет к нему подключится
19 May 2023 at 9:55 | Open on yokai.cafe
Go Up