Sposoby zabezpieczenia serwera przed potencjalnymi atakami.

Question

Cześć wszystkim! Mam pytanie, otóż zająłem się zabezpieczaniem serwera przed różnego rodzaju atakami. Moja wiedza na temat bezpieczeństwa sprowadza się do podstaw, i mam pytanie. Jakie jeszcze sposoby na zabezpieczenie serwera znacie? Pytam się o stricte serwerowe rzeczy, bo to co się znajduje na stronie to już inna bajka.

To co aktualnie zrobiłem:
1: Zainstalowałem certyfikat SSL
2. Wyłączyłem konto roota
3. Zmieniłem port SSH
4. Private key dla SSH
5. Przekierowanie z http na https
6. Wyłączyłem widok folderów.
7. Firewall on

Najbardziej potrzebuje zabezpieczyć się na czas aktualny na proxy, i nie wiem jak do tego podejść. Aplikacja która jest na stronie to aplikacja do anonimowych ankiet, użyłem tutaj wykrywania po adresie IP czy ktoś już odpowiadał na ankietę. Macie może jakiś bardziej sprawdzony sposób na wykrywanie czy ktoś już udzielił odpowiedzi anieżeli zapisując jego adres ip w bazie? Oraz czy jakieś sposoby przeciw atakom proxy. Z góry dziękuje!

Answer 1

(zakładam, że to Ubuntu lub coś Ubuntu-podobnego)

1: Zainstalowałem certyfikat SSL

5. Przekierowanie z http na https

To mniej zabezpieczenie serwera, a bardziej usera ;) Ale OK

7. Firewall on

Ubuntu domyślnie ma zamknięte porty, na których nie ma żadnych usług, więc to nie robi wielkiej różnicy - ale czemu nie.

2. Wyłączyłem konto roota

4. Private key dla SSH

OK. Dla pewności, wyłączyłeś logowanie hasłem (tylko kluczem) przez SSH?

(fail2ban jest też fajnym prostym zabezpieczeniem przed prostym brute-force'owaniem haseł)

6. Wyłączyłem widok folderów

OK

3. Zmieniłem port SSH

Security through obscurity. Marnujesz więcej czasu własnego niż atakującego (który po prostu zeskanuje porty i znajdzie SSH automatem). Jedyny zysk to trochę mniej zaśmiecone logi SSH. Zrób normalny port.

użyłem tutaj wykrywania po adresie IP czy ktoś już odpowiadał na ankietę

Tym sposobem zablokujesz domowników lub pracowników tej samej firmy. Słaby pomysł.

Macie może jakiś bardziej sprawdzony sposób na wykrywanie czy ktoś już udzielił odpowiedzi anieżeli zapisując jego adres ip w bazie?

Raczej nie ma dobrych sposobów. Ciastka można pokonać przez ich wyczyszczenie lub wejście do trybu incognito. Prośba o podanie maila czyni ankietę nie-anonimową, a i tak można po prostu stworzyć nowe tymczasowe adresy. Nawet na google forms, gdzie musisz być zalogowany do googla żeby odpowiedzieć, możesz po prostu stworzyć nowe konto.