Здравствуйте Господа Линуксоиды а также братья "младшие" виндовс-юзеры!

Тема Убунту Сервер очень большая..... с каждым днем убеждаюсь что ничччччего не знаю. Есть из админов кто знает как настроить Убунту Сервер на оптимальный уровень защиты?
При выборе ВПС хостинга, пров обычно оставляет настройки по умолчанию. А все остальное на плечах админа. Хотелось бы услышать кто как проходил этот путь, с чем сталкивался.
Думаю тема будет очень полезна всем Линуксоидам
без исключения.

Спасибо.

сервер на базе убунты это как обменный пункт валюты на базе киоска роспечати - довести до ума мона но неоправданно сложно ))))

сервер на базе убунты это как обменный пункт валюты на базе киоска роспечати - довести до ума мона но неоправданно сложно ))))


Можете указать хоть какую нибудь ссылку? Юзать гугл я умею........ но опыт у вас есть уже и это может съэкономить время. а то работы оооочень много. Пожалуйста....хоть что нибудь

_hxxp://system-administrators.info/?p=1426 например

Первым делом отрубить доступ root по SSH! (на хостерах по умолчанию включен)

скажи хоть какие сервисы работают на сервере, ибо если у тебя только ssh, то что там защищать ?

скажи хоть какие сервисы работают на сервере, ибо если у тебя только ssh, то что там защищать ?

Я не знаю какие сервисы.........но думаю что самые новейшие которые есть (ой :) )

А подключаюсь я к серверу через патти с учетной "root"

понятно... хорошо, вопрос поставлю по-другому, что будет работать на сервере ? Это будет веб-сервер или что ?

понятно... хорошо, вопрос поставлю по-другому, что будет работать на сервере ? Это будет веб-сервер или что ?

Я купил хост и сделал на нем сайт. Хост VPS. работать будет сайт со всякими прибамбасами...вы это имелу ввиду? как обычно - апач, мускул, и т.д. там УбунтуСервер установлен.
Были варианты........ с панелью управления - платная. подумал что если с линуксом на компе справился справлюсь и с серверным вариантом. но я там ноль что понимаю. управляю им через Putty с Рут-доступом. хочу его настроить на оптмальную защиту.

Я купил хост и сделал на нем сайт. Хост VPS. работать будет сайт со всякими прибамбасами...вы это имелу ввиду? как обычно - апач, мускул, и т.д. там УбунтуСервер установлен.
Были варианты........ с панелью управления - платная. подумал что если с линуксом на компе справился справлюсь и с серверным вариантом. но я там ноль что понимаю. управляю им через Putty с Рут-доступом. хочу его настроить на оптмальную защиту.

вот тебе ключевики, для начала думаю неплохо будет :

app armor, chroot-инг приложений, iptables или фаер который в убунту по дефолту, безопасная настройка sshd

недавно на milw0rm.com вышла неплохая подборочка, по настройки секурности для linux семейства.
http://milw0rm.com/papers/346
Рекоменду. к прочтению.

А подключаюсь я к серверу через патти с учетной "root"

вот слушай дядьку
безопасная настройка sshd

Отрубай доступ "root" по SSH ("патти").

вот слушай дядьку


Отрубай доступ "root" по SSH ("патти").

я бы еще ввел ограничение по ip адресам прямо в sshd, а сверху еще и фаерволом, чтобы уже наверняка!

mod_security Также поставь, по ссылочке, которая ведет на milworm это рассказно. Дальше : safemode в php на 1, ограничения на open_base_dir - проверь версию, под 5.2.0 ( точно не помню) есть сплойт, который позволяет данное ограничение обойти. В мускуле запрети удаленные конекты. Права на базы раздай минимальный, под каждую базу своего юзера, если нужен удаленный то делай через username@host. ВСЕ пароли не меньше 12 знаков, случаной сгенерированые - хранить в голове. Сейчас еще вспомню, что я делал в php.ini

я бы еще ввел ограничение по ip адресам прямо в sshd

редко канает, я вот например никогда не использую данную возможность (локальные сети не в счет) ибо вечно у меня динамические IP =)

редко канает, я вот например никогда не использую данную возможность (локальные сети не в счет) ибо вечно у меня динамические IP =)

взять пару стабильных проксей на месяц, если действительно нужна безопасность ну и внести только их в список разрешенных

взять пару стабильных проксей на месяц

тогда уж лучше VPN

ааатьь ) впн также может менять ip адрес

спасибо друзья. любой ваш отзыв помогает. я тут заметил одну вещь....новички типа меня не понимают жаргон господ Линуксоидов. просьба отказаться от жаргона на время :)

app armor, chroot-инг приложений, iptables или фаер который в убунту по дефолту, безопасная настройка sshd

пытаюсь расшифровать :)))

ээ ваще-то это не жаргон, это ключевые слова для поиска в гугле!

это ключевые слова для поиска в гугле!

Уже в Аське провожу воспитательную работу =)

Уже в Аське провожу воспитательную работу =)

Провидите воспитательною работу и со мнгой, если можна, потому что у меня уровень знаний приблизителен Linux007, и я буду очень признателен за помощь.
На даный момент не могу настроить что-бы ubuntu server 9.04 был виден в одноранговой сети без dhcp. IP и Маска прописаны. И еще одно - комп с ubuntu пингуется с других машын в сети.