Конкретно по дебиану много различных копи-пейст ресурсов, на том же www.howtoforge.com/ много примеров на базе дебиан. И большинство из них без компиляции.
Вообще не очень люблю собирать из исходников, прибегаю к этому в самом крайнем случае.
Как минимум потом придется подписываться на security рассылку скомпилированного софта и мониторить наличие в нём уязвимостей (что в стандартном случае делает debian security team).
Плюс теряется связность скомпилированного ПО с остальным системным софтом и можно случайно нарушить его работу, удалив казалось бы ненужный пакет (такого у меня пока не было, но думаю опасность вполне реальная).
Ещё минус — для сборки придется ставить много -dev пакетов, которые в обычной системе совсем не нужны.
Файрволом, к сожалению, не всегда возможно, хотя это конечно лучшее решение. Часто у пользователей динамические ip адреса, а прописывать в файрволе /10 диапазоны их провайдеров нет никакого смысла.
А так, да для этого и нужны комментарии — для исправления и уточнения статьи.
Ага, знаю. Да и Snort я думаю умеет реагировать на брутфорсы.
Я намеренно не стал описывать применение конкретных решений — не хотел сильно увеличивать статью.
Ключи очень удобная вещь, согласен, сам ими пользуюсь чтобы не вводить каждый раз пароли, но с тем, что они повышают защищённость я бы не согласился.
Просто меняется точка уязвимости, до этого это был пароль, теперь стал файл с ключом.
Также остаётся открытым вопрос — что делать в случае утери ключа? Как зайти на сервер, чтобы заменить ключ на новый?
Я не предлагаю переносить например nginx с 80-го порта на порт 12345.
В плане изменения порта речь шла о довольно узком круге сервисов, поэтому я и написал "Если это возможно, то изменить стандартные порты ...".
Возможно это или нет — решать системному администратору.
Насчёт sshd:
1) Я меняю порт на нестандартный по той причине, что огромное количество скриптов сканируют онлайн хосты каждую секунду.
Получать на почту горы сообщений о том, что была неудачная попытка входа под логином root и паролем toor мне не очень улыбается. Смена порта это не защита от серьёзного злоумышленника, это отсечение простых ботов.
2) Касательно неудобства использования нестандартного порта для логина по ssh. Я один раз прописываю сервер в /etc/ssh/ssh_config и забываю о нём.
Запись делается такого рода: Host 1.2.3.4
Port 22122
И спасибо всем тем, кто дополняет статью.
Вообще не очень люблю собирать из исходников, прибегаю к этому в самом крайнем случае.
Как минимум потом придется подписываться на security рассылку скомпилированного софта и мониторить наличие в нём уязвимостей (что в стандартном случае делает debian security team).
Плюс теряется связность скомпилированного ПО с остальным системным софтом и можно случайно нарушить его работу, удалив казалось бы ненужный пакет (такого у меня пока не было, но думаю опасность вполне реальная).
Ещё минус — для сборки придется ставить много -dev пакетов, которые в обычной системе совсем не нужны.
А так, да для этого и нужны комментарии — для исправления и уточнения статьи.
Я намеренно не стал описывать применение конкретных решений — не хотел сильно увеличивать статью.
Про забытый пароль 1:1 =)
Ключи очень удобная вещь, согласен, сам ими пользуюсь чтобы не вводить каждый раз пароли, но с тем, что они повышают защищённость я бы не согласился.
Просто меняется точка уязвимости, до этого это был пароль, теперь стал файл с ключом.
Также остаётся открытым вопрос — что делать в случае утери ключа? Как зайти на сервер, чтобы заменить ключ на новый?
В плане изменения порта речь шла о довольно узком круге сервисов, поэтому я и написал
"Если это возможно, то изменить стандартные порты ...".Возможно это или нет — решать системному администратору.
Насчёт sshd:
1) Я меняю порт на нестандартный по той причине, что огромное количество скриптов сканируют онлайн хосты каждую секунду.
Получать на почту горы сообщений о том, что была неудачная попытка входа под логином root и паролем toor мне не очень улыбается. Смена порта это не защита от серьёзного злоумышленника, это отсечение простых ботов.
2) Касательно неудобства использования нестандартного порта для логина по ssh. Я один раз прописываю сервер в /etc/ssh/ssh_config и забываю о нём.
Запись делается такого рода:
Host 1.2.3.4
Port 22122