SSH дозволяє обмежувати доступ до сервера тільки для користувачів, які перебувають в певній групі. Не будучи її членами, інші користувачі не зможуть зайти на сервер по ssh. Це зручна можливість видавати права доступу тільки тим користувачам, кому це дійсно необхідно.
Резервне копіювання на Яндекс.Діск через davfs
Резервне копіювання - важливе завдання, яке необхідно виконувати на будь-якому сервері, де розташовуються важливі дані. Вирішити її можна різними методами. Для великих систем - це відповідне програмне забезпечення, здатне створювати бекапи без помітної затримки в роботі сервера.
Базова настройка iptables
Однією з першочергових завдань після установки системи є коректна настройка iptables для фільтрації трафіку. Політика по-замовчуванню дозволяє все, що не заборонено. Це не найвдаліший метод в плані безпеки, тому що в такому режимі сервер схильний до дії зловмисників.
Можна, наприклад, зайнятися скануванням відкритих на сервері портів. На основі цього можливо визначення використовуваних сервісів, їх версії, назви і версії операційної системи. Далі - підбір вразливостей до них. Або деякі icmp - повідомлення можуть видати зайву інформацію.
Як приховати факт використання nginx на сервері
Одного разу я прочитав статтю де йшлося про те, що можна приховати факт використання nginx на сервері. Для цього потрібно відредагувати вихідний код модуля ngx_http_header_filter_module і змінити рядки
static char ngx_http_server_string [] = "Server: nginx" CRLF; static char ngx_http_server_full_string [] = "Server:" NGINX_VER CRLF;
Але щоб пересобрать nginx з початкових кодів, потрібно володіти деякими знаннями.
Однак, існує і більш простий метод, який не потребує взагалі ніяких особливих дій, типу редагування початкових кодів і перекомпіляції.
Виправлення помилки Directory / tmp to mount over is not empty, mounting anyway
На давно працюючій системі з'явилася необхідність виділити / tmp в окремий розділ, щоб заборонити виконання файлів і обмежити розмір на випадок переповнення.
Використання nginx http_referer_module для захисту адмінки сайту від брутфорса
Читаючи документацію веб-сервера nginx, натрапив на цікавий модуль під назвою http referer module . Він дозволяє блокувати доступ до сайту, або його розділів, якщо в запиті відсутня коректний заголовок referer.
Цей модуль можна застосувати для захисту адмінки будь-якого сайту від брутфорса. Наприклад, сайт працює на вордпресс, але блокування доступу по ip буде недоречною, якщо на сайті є зареєстровані користувачі. Їм же теж треба аутентифицироваться, а збирати їх ip - заняття безглузде. :)
Просте відстеження змін файлів
У разі злому сервера, хакер може модифікувати файли з метою залишити який-небудь бекдор, шелл і т.п. Змінені файли можна було б відстежити по даті модифікації, але цю дату легко підробити за допомогою утиліти touch.
(далі ...)
Як створити запит на сертифікат csr і ключ
Запит на сертифікат і ключ необхідні для отримання ssl сертифікату і подальшої установки на www, поштовий або jabber сервер. (далі ...)
Установка apache і php на Debian
Певні системи управління контентом не працюють зі зв'язкою nginx і php-fpm , і вимагають саме веб-сервера apache з модулем php. Найчастіше причина цього - необхідність використання модуля rewrite для роботи сайту.
Обмеження доступу до wp-login по ip в nginx
Останнім часом fail2ban перестав нормально захищати від брутфорса на wordpress тому, що ip в усякому запиті унікальний і блокувати кожен адреса безглуздо.
Раз така дурниця, вирішив обмежити доступ до файлу wp-login.php по ip. Тут є один нюанс: для прописаного в конфігураційному файлі nginx локейшена (location) потрібно додати обробник скриптів, при використанні php-fpm .
У підсумку, конструкція виглядає так: (далі ...)