VPS-sikkerhed?

Kære aminoer!

Forleden købte jeg en ny VPS. I løbet af 3 timer var der foretaget 1.800 portscanninger og loginforsøg. Al den stund, at man deler en fysisk server med et sted mellem 2 og 200 andre, så er det jo et lidt skræmmende scenarie.

Er der andre, der kan nikke genkende til det exploitforsøgsbillede?

Oplevelsen fik mig til at skrive et 101-indlæg om VPS-sikkerhed.

Siden du tilsyneladende ikke gider godkende mit indlæg på din blog kommer indlægget her:

Brug istedet:

tail -f /var/log/secure

Den viser kun de sidste linier, og opdaterer efterfølgende løbende efterhånden som der kommer flere og flere linier i filen.

Derudover er der ikke noget særligt over det du har oplevet her, det er ganske normalt at der kastet random login forsøg efter cirka _alt_ på nettet. Både VPS’er og almindelige servere, det hjælper ikke noget at blokere for root login, det hjælper at have sikre passwords

Hvis du vil sikre dig imod den belastning som ovenstående tilfældige angreb rent faktisk forårsager er den rette fremgangsmåde og sætte en firewall op der blokerer for andre end dine egne ip adresser. Hvis ikke du har en fast IP Adresse kan du evt. tillade hele din udbyders IP-Range (idet at den slags angreb typisk ikke kommer fra Danske xDSL udbydere men som regel fra andre ownede servere rundt omkring).

Hvis ikke du gider sætte en firewall op så skift ssh port, vælg en anden port du ikke bruger og bed ssh lytte på den port. Det giver dig selvfølgelig ikke yderligere sikkerhed, da det er supernemt at se der kører en openssh på en given port:

reliant:~ mikjaer$ telnet localhost 22
Trying ::1…
Connected to localhost.
Escape character is ‘^]’.
SSH-2.0-OpenSSH_5.2

Mén det betyder at alle de _automatiserede_ scanninger rammer ved siden af

Ja, det går stærkt når man pludselig er direkte forbundet. Prøv evt. at lave en log over din egen private internetforbindelse, og se hvor mange portscans, bruteforce-attempts osv. der bliver lavet imod din IP adresse... Det er MANGE!!!

Sæt iptables op til at blokere andre IP adresser end din egen på ssh porten - det er sådan set den bedste løsning.

Derudover, så lav en ssh key til login i stedet for keyboard auth... Det vil også højne sikkerheden gevaldigt.

Frederik Nielsen:

Det var godt nok en sparsom guide du har fået lavet dig der

Hvad med alle de mange andre ting man bør kigge på?

- Ændre SSH port

- Firewall opsætning

- Brug af SSH keys only

 

Og jeg kunne blive ved

Mikkel Mikjær Christensen:

Siden du tilsyneladende ikke gider godkende mit indlæg på din blog kommer indlægget her:

Steady, steady. Var ikke online i går aftes. Tak for de gode indspark, som nu er online på bloggen også.

Mikkel Mikjær Christensen:

Kasper:

Steady, steady. Var ikke online i går aftes. Tak for de gode indspark, som nu er online på bloggen også.

tsk.tsk. vil det dermed siger at du holder fri i weekenden? Hvad er det for arbejdsmoral? :p

Hehe, på ingen måde. Jeg drikker gammel bordeaux -- se her: Château Coufran. :)

Ja, er enig med de andre. Der bør laves er en god blanding af security through obscurity (andet port nummer, anti port sniffer, anti DDoS, fjerne alt versionsvisning), fornuftige koder, og direkte låse serveren med antal login forsøg, hvilken IP (eller range) man kan tilgå fra, osv.

Det vigtigste er dog at have god plan for worst case scenariet. Hvad kan du gøre hvis det værst tænkelige bliver virkelighed?

Dog er det reelt bare bots der køre rundt og prøver injection eller komme ind på systemer. Så godt opdaterede systemer samt fornuftige passwords burde klare det meste (samt lidt basic med at kun bruge ssh2, keys, og des lige).