Я немного новичок в администрировании. Иметь VPS на ovh.com, где я ожидал 28 попыток за 2 дня с разных IP-адресов (обычно из Китая) для входа в мой ssh (поздние версии centos установлены с веб-панелью Centos. В планах монтируется много дисков Google для большего свободного места (ocamlfuse -: evil :) и запускать несколько веб-сайтов с сервером teampeak .Я хочу настроить TS3, сделать разрешения и заблокировать порт запросов (входящий и исходящий), настроить несколько веб-сайтов с помощью NginX и не испугаться этих атак. Теперь кто-то взломал мой пароль из 17 слов и выключил мой сервер ( wtf, не хватило ЦП / ОЗУ).
Итак, чтобы убедиться, что на моем VPS нет вредоносных программ, мне нужно снова установить новую ОС, настроить диски и использовать другой буквенно-цифровой пароль ...
Ключ и моя проблема в том, что pfSense - хорошая идея для отличной защиты на VPS? Какой мониторинг мне следует использовать, чтобы убедиться, что моя система работает нормально без странных действий (я знаю, что есть приложение для системы мониторинга)? Что мне нужно делать, чтобы убедиться, что все получилось хорошо? Есть ли опасность в использовании NginX или с чем мне следует быть особенно осторожным?
Я немного новичок, поэтому если вы можете помочь или просто ответите на любой из моих вопросов, не волнуйтесь, пишите, я проголосую за помощь. Полный ответ будет отмечен как принятый. (извините за немного ломаный английский)
edit: поэтому pfSense не работает из-за того, что VPS не выделенный сервер.
Я не знаю поставщика VPS, который настроит вам экземпляр PFSense как виртуальную машину. PFSense традиционно устанавливается как физический или виртуальный ящик, если у вас есть полный контроль над оборудованием. Есть несколько уловок, с помощью которых вы можете заблокировать IP-блоки стран, которые, по вашему мнению, представляют угрозу, с помощью Iptables или UFW. Google - ваш друг!
Что касается неудачных попыток входа через ssh, поищите в Fail2Ban блокировку IP-адресов неудачных попыток входа. Вы даже можете отключить аутентификацию по паролю и использовать только ключи RSA.
В целях безопасности, когда дело доходит до Nginx по сравнению с apache, большинство уязвимостей, с которыми вы столкнетесь, будут находиться внутри веб-приложения. Такие приложения, как Wordpress и Drupal, должны размещаться людьми, имеющими опыт, чтобы предотвратить превращение вашего сайта в очередной спам-бот ... Регулярно обновляйте и ваш http-сервер, и веб-приложение.
Удачи!
Хорошо, во-первых, после небольшого исследования ...
PfSense следует использовать как устройство, запускать в виртуальной машине или как другое устройство (например, RPI, который настроен в нашей домашней сети, например). Настоятельно не рекомендуется использовать его в одной коробке с сервером (любым сервером) из-за очень и очень сложных обновлений / обновлений. pfSense в целом - лучший межсетевой экран с поддержкой открытого кода! это одна из награжденных программ с открытым исходным кодом!
NginX должен использовать продвинутый / опытный администратор
Один из лучших способов собрать все в одном месте (что рекомендуется, когда вы один в качестве администратора и стараетесь не тратить слишком много времени на настройку чего-либо вручную, это использовать любой веб-интерфейс (cpanel / cwp / webmin / ajenti)
Когда у вас есть доступ через отдельный порт (например, запрос в teampeak3, например, 11011), вы можете уничтожить весь сервер, просто обращаясь к нему как запрос ... Просто настройте то, что вам нужно, и заблокируйте этот порт в брандмауэре. Вы всегда можете открыть порт в любое время, когда вам нужно.
Ajenti - одно из ведущих программ с широким спектром возможностей для некоммерческого использования. Не знаю, почему его установка работает только на сервере убунту.
Также я рекомендую использовать Ubuntu в качестве сервера, потому что у них действительно большая база данных пакетов, где все эти пакеты официально поддерживаются, в отличие от Arch, где все пакеты немного нестабильны.
Возвращаясь к брандмауэру и ssh, я получил ответ от службы поддержки pfSense на irc:
оставлять SSH на вашем брандмауэре открытым для Интернета - не лучшая идея. Если вам нужен доступ к нему через WAN, в идеале вы должны ограничить его фиксированным IP-адресом источника.