Как построить бастион-хост и превратить его в неприступную крепость

[David_Osipov]

1. Лучше поиграться с sysctl.conf. Начните с моего и сконфигурируйте под себя.

2. Берите Lynis тулзу и тоже укрепите свой сервер.

3. Вместо Fail2Ban я использую Crowdsec.

4. Самое малоизученное, но сильное решение - systemd sandboxing. Начните с просмотра этой репы, и моей репы. Но будьте аккуратными.

5. Вместо стандартного NTP протокола я использую NTS, чтобы просто снизить поверхность атаки, да и настраивается очень быстро. Софт можно использовать либо chrony либо ntpsec, а серверы брать отсюда.

[Angel_of_Sorrow]

• Включаем вход для root 

PermitRootLogin no

Ошибочка закралась - или выключаем, или yes. Спасибо !

[Jaffarr]

Скорее всего выключаем

[sergey_ist]

Спасибо, что заметили опечатку! Поправил

[redfox0]

Чтобы не копировать бездумно наборы шифров из статьи, советую питоновскую утилиту https://github.com/jtesta/ssh-audit Есть в репозитории pip'a.

[YasonD]

Как можно запретить ssh tunnel?

[redfox0]

AllowTcpForwarding и, возможно, PermitOpen.

[paparazzo]

Я еще для интерактивного входа дополнял сессию через rbash в cgroups с ограничением переопределения переменных окружения и пересоздание домашних директорий при выходе и авторизацией через домен FreeIPA, ограничивал возможность построения туннелей для передачи данных, логировал все действия в консоли. Но умные люди просто запрещают все кроме туннелей))