CentOS 6.3
обновляю часто

не вяжется

Отключить от сети. Лучше от электрической. А системник запри в титановый сейф.

phpmyadmin - совершенно лишний интерфейс. 23 и 3306 открыты зачем?

22 на 2222 поменять

Логин от рута отрублен - ходим по SSH ключам

А много вас? Люди - это ведь самое слабое звено.

И ты лучше стратегию мониторинга и бекапов продумай. Потому что всплеск нагрузки или полетевший диск более вероятны чем целевой взлом.

22 на 2222 поменять

serious_business.svg

serious_business.svg

Зря ты это. Перенос порта ssh позволяет отсечь ботов и понять, что сервер кто то целенаправленно сканит/брутит.
Правда лучше выбрать что то более нестандартное, нежели 2222.

Это не защита от взлома, конечно. Но факт того что твой ssh-сервер будут меньше дергать левыми запросами легко доказывается грепом по логам.

какие конкретные меры посоветуете для улучшения безопасности или просто годные советы, заранее спасибо=) ?

Нельзя порекомендовать конкретные меры если не знать, что именно там у тебя там крутится и какие у есть ограничения при настройке.

А общие это: размещать тулзы/админки так, чтобы путь к ним нельзя было подобрать, правильно настроить права, где это возможно поставить noexec и потенциально опасным пользователям убрать права на заливку файлов туда, где можно исполнить эксплоит.

Если же на сервере будет какая то ценная информация, то следует реализовать мониторинг сервера на предмет подозрительной активности. Т.к предотвратить взлом порой невозможно (особенно если у злоумышленника может быть доступ к проприетарному гогну), но вот слив данных часто можно предотвратить.


В остальном тебе поможет только оплачиваемый специалист которому ты дашь деньги и рута, он посмотрит и сделает что надо.

google://centos+cr

А лучший ответ дал winddos

В CentOS есть стандартный анализатор логов Logwatch.

Перенос порта ssh позволяет отсечь ботов

Отсечь ботов позволяет iptables recent.

Отсечь ботов позволяет iptables recent.

Парочка «фекалий» все равно в логах останется, а с нестандартным портом туда попадут только те кто сервер целенаправленно ломает.

делать бекапы

TrueCrypt

22 на 2222 поменять

Cargo Cult во всей красе.

Ещё один решил блеснуть? )

давай так: берешь сервер с выходом в инет, замеряешь количество запросов по ssh за сутки, потом меняешь порт, и снова замеряешь. Результаты сюда.

Все web-морды прикрыть фильтрацией ip адресов. Если нельзя, то хотя бы BasicAuth апача. Хотя судя по TCAdmin у вас там что то играбельное, и обеспечение безопасности упрётся в дыры игрового сервера.

Можно использовать бесплатную утилиту rkhunter. Скачиваем архив с последней версией, распаковываем его и запускаем инсталлер. Далее делаем его обновление и запускаем проверку:

[root@myhost ~]# ./installer.sh --install --layout /usr/local
[root@myhost ~]# /usr/local/bin/rkhunter –-update
[root@myhost ~]# /usr/local/bin/rkhunter –-check

Результаты своей работы rkhunter выдает в консоль, а также формирует консолидированный лог /var/log/rkhunter.log. Можно запускать данный антируткит каждый день по крону и получать отчет о сканировании по электронной почте.

годные советы, заранее спасибо

(L)AMP + PHPmyAdmin + TCAdmin + JRE(явамашина) установлен system-config-firewall,

вот это всё надо удалить.

Selinux

давай так: берешь сервер с выходом в инет, замеряешь количество запросов по ssh за сутки, потом меняешь порт, и снова замеряешь. Результаты сюда.

Имею XX серверов с выходом в инет. На кол-во зыпросов к ssh — пофиг! Вопросы безопастности решаются не там.

Разумеется, если злоумышленники всё сделают грамотно, то хозяин сервера долго ни о чём не будет подозревать. Однако, шаги, описанные в данной теме, помогут уберечь ваш сервер от компрометации.

И как кол-во запросов на 22 порт коррелирует с безопасностью? :-)

Смена порта - это тактика страуса - зарыть голову в песок и типа всё ок. Переименование рута(а лучше - вход только по ключу из под юзера с последующим su/sudo) и то больше пользы дает.

Не, если надо экономить трафик, тогда да, отличный совет :-D

Я в свое время поднимал на сервере openvpn-сервер с шарингом 443 порта. Доступ ко всему управлению (ssh, phpadmin, ftp и пр) был только для клиентов этой vpn-сети. Без доступа к vpn можно было только http(s) порты посмотреть.

Скачиваем архив с последней версией, распаковываем его и

превращаем систему в свалку?

Добавлю фразу про порт для ssh в копилку TOP-10 вбросов в беседе о линуксах )

Могу сказать: man tripwire.

Я просто оставлю это здесь

Guide to the Secure Configuration of Red Hat Enterprise Linux 5
Большая часть прокатит и для 6 версии

Хахаха

Какая вы неординарная личность! Одаренный от природы и от бога гений администрирования не лишенный чувства юмора. Все нубы мира преклоняются перед Вами и осознают свою ущербность.