@brightit: Zawsze aktualny soft i zainstalowane tylko to co niezbędne, do tego oddzielne VLANy z firewallami. Na przykłąd Load balancer ma ustawione na świat wejście po 443 i 80, serwery aplikacyjne przyjmują ruch tylko z load balancerów, bazy danych i storage mają połączenie tylko z serwerami aplikacyjnymi. Do tego mam skany security, SIEM i minimalny wymagany dostęp, do tego loguje podejrzane aktywności. Dockery też mam zabezpieczone, nie działają pod rootem, read only filesystem w dockerze.
- czy przy założeniu, że logowanie ssh odbywa się wyłącznie po kluczu prywatnym / publicznym, korzystacie z dodatkowych narzędzi jak sshguard
Zależy od tego, co na nim jest ( ͡°͜ʖ͡°), ale jest kilka wspólnych rzeczy: brak defaultów (np. inny niż domyślny port ssh, czasem nawet inne porty do http/https - mam kilka webmaili w domenach prywantych, każdy ma adres i port totalnie z d--y, że ja sam muszę ratować się bookmarkami), minimalne uprawnienia apek i userów, co się da siecią wewnętrzną (ten sam cloud to czasem jak inna usługa jest na innej instancji to jest wystawiana tylko po wewnętrznym IP niewidocznym ze świata - mam nadzieję przynajmniej, bo
@brightit: nigdy nie wystawiam ssh na świat. Zawsze wymagane jest wcześniej połączenie VPN/ipsec, w wyjątkowych sytuacjach whitelista na znane adresy skąd bedą połączenia.
@brightit: Wycinam dużo poprzez wpisanie na 2 tygodniowe wakacje na cały ruch z ip np: skanowaczy portów po bodaj 5 kolejnych w czasie 5 minut, bad passy do wielu usług tnę na poziomie FW głównego (3 błędne hasła), probowaczy po konkretnych portach (ssh za vpn) i tu mam spora liste portów np 22, 3389, 445, 389, 3128, 5000,2323, oraz udp 1434 6061 wyłapuje spoofy i floody i też wakacje, generalnie
spotkałam się z dziadem z #tinder lat 35 a ja mam 21 w #poznan i on wie gdzie mieszkam czy powinnam zmienić mieszkanie a jeśli tak to czy ktoś chce to odstąpię swoje i szukam nowego może tez ktoś ma
- Jak zabezpieczacie swoje serwery w sieci?
- czy przy założeniu, że logowanie ssh odbywa się wyłącznie po kluczu prywatnym / publicznym, korzystacie z dodatkowych narzędzi jak sshguard itp
- czy blokujecie IP z krajów, z którymi na 100% nie oczekujecie nadchodzącego ruchu jak Rosja, Białoruś czy Chiny?
- czy znane są Wam jakieś playbooki Ansible, do automatyzacji tego typu zabezpieczeń?
-
@brightit: Tak jak tylko się da, bardzo złożony temat ( ͡° ʖ̯ ͡°)
@brightit: Zawsze aktualny soft i zainstalowane tylko to co niezbędne, do tego oddzielne VLANy z firewallami. Na przykłąd Load balancer ma ustawione na świat wejście po 443 i 80, serwery aplikacyjne przyjmują ruch tylko z load balancerów, bazy danych i storage mają połączenie tylko z serwerami aplikacyjnymi. Do tego mam skany security, SIEM i minimalny wymagany dostęp, do tego loguje podejrzane aktywności. Dockery też mam zabezpieczone, nie działają pod rootem, read only filesystem w dockerze.
czy zamknięcie wszystkich portów na firewall z wyjątkiem interfejsów tailscale / wireguard vpn uznalibyście za wystarczające zabezpieczenie?
sshguard czy fail2ban chyba są zbędne wówczas?
Jak
Zależy od tego, co na nim jest ( ͡° ͜ʖ ͡°), ale jest kilka wspólnych rzeczy: brak defaultów (np. inny niż domyślny port ssh, czasem nawet inne porty do http/https - mam kilka webmaili w domenach prywantych, każdy ma adres i port totalnie z d--y, że ja sam muszę ratować się bookmarkami), minimalne uprawnienia apek i userów, co się da siecią wewnętrzną (ten sam cloud to czasem jak inna usługa jest na innej instancji to jest wystawiana tylko po wewnętrznym IP niewidocznym ze świata - mam nadzieję przynajmniej, bo
skanowaczy portów po bodaj 5 kolejnych w czasie 5 minut,
bad passy do wielu usług tnę na poziomie FW głównego (3 błędne hasła),
probowaczy po konkretnych portach (ssh za vpn) i tu mam spora liste portów np 22, 3389, 445, 389, 3128, 5000,2323, oraz udp 1434 6061
wyłapuje spoofy i floody i też wakacje, generalnie