Возможно ли защитить сервер не будучи профессионалом?

Сервер конечно громко сказано, там будет web-интерфейс торрент клиента, nextcloud, и ещё пара мелочей, пользоваться этим будет человек десять. Может я и буду неуловимым Джо, но всё-таки. Боты ходят всё сканируют, шифровальщики, мало ли что. Возможно ли защититься имея знания немногим выше эникея?

Возможно.

https://www.linux.org.ru/forum/job/

Да

Разрешаю.

Защититься от чего?

Возможно ли защитить

От «программных зловредов» – можно, от «т. майора» – нет :)

Возможно ли защититься имея знания немногим выше эникея?

Да.

Можно. Скорее всего, набьёшь много шишек, но сильно поднимешь свои знания и опыт.

повесь все на нестандартный порт и на домен, а не на ип. ну и на нестандартные пути.

что-то типа https://cl.pupkin.com:444. Сканеры работают по Ипшникам и по http в основном. Ну и некстклауд своевренно обновлять желательно. Думаю все будет ок.

что-то типа https://cl.pupkin.com:444

Это чтобы туда никто не смог зайти, да? :)

если там 10 человек, то думаю им хватит сил друг другу про порт рассказать

даже моя жена умеет так делать :))

от чего

От тараканов.

на нестандартный порт

Колхоз. Лучше VPN поднять.

не делайте мне смешно :)

Моя тоже, но у нас жёны врядли типичные.

1. Никаких открытых портов
2. Если подсоединятся будут например из России, ввести фильтр IP по геолокации
3. Для открытия портов использовать port-knocking

В принципе этого достаточно, чтобы защититься от большинства внешних атак.

Своевременные обновления, приличные пароли и Неуловимый Джо не будет пойман. Не так страшен чёрт, как его малюют.

port knocking это уже ту мач. Лучше уж тогда vpn.

буду неуловимым Джо

Нет, не будешь. Как подключишься к сети, посмотри логи после перекура, обычно боты начинают ломиться на 22 порт со списком простых паролей.

а зачем открывать 22й наружу :)

Наружу незачем, но иногда нужно.

А порт vpn будет открыт, port-knocking помогает защитить от возможных атак на vpn

Бастион хост в качестве роутера и файрвола на OpenBSD? Аппаратный крипто для ключей, залочка по айпи, отключай все лишнее, включая открытые порты и запущенные сервисы.

Вполне возможно - от непрофессионала. Скорее всего если у ТС возникает этот вопрос, то для нужд ТС вполне хватит этой защиты.

ну и на нестандартные пути.

Одобряю. Но у него тоже есть недостаток, утечет от юзера, может в какой-то ботнет попасть.

Сканеры работают по Ипшникам и по http в основном.

Неа. За долгие годы наблюдения за ботнетами, чего только не встретишь. Смена порта это «страусиная политика».

Ты сперва позащищай, а потом аудит безопасности сделай за деньги, тебе расскажут, какие дырки остались

Конечно. Господь дал тебе ремингтон со скользящим затвором именно для этого :)

https://youtu.be/ybwoqZklPfU

у вас случайно нет шапочки из фольги? :)

и самое главное – никакого подключения к интернету

Плюсую впн если только для своих. В интернет вообще ничего открывать нельзя никогда. Вангую, что фаанги скоро прочухают и начнут делать впны по паспорту.

у вас случайно нет шапочки из фольги? :)

+1

ставим фикус на подоконник. Камера распознает фикус и шлет на секретный ящик письмо сервису. Сервис читает письмо и ровно в 0:07 открывает порт впн )

впн выедает батарейку в телефоне, увы

В интернет вообще ничего открывать нельзя никогда

на лор тоже опасно ходить, а вдруг руткит зааплодят. Если знаешь что делаешь, то ничего страшного особо нет в зюзероутерах

А порт vpn будет открыт, port-knocking помогает защитить от возможных атак на vpn

«и самое главное никаких половых контактов» ?

Вангую, что фаанги скоро прочухают и начнут делать впны по паспорту.

Ну пачпорта уже давно требуют у хостеров.

ставим фикус на подоконник. Камера распознает фикус и шлет на секретный ящик письмо сервису.

Идея неплохая, но имхо фикус слабоват в части защиты. Предлагаю расширить вашу мысль, заменяем фикус на семафорную азбуку с рандомным паролем зависимым от текущего времени. И в части безопастности лучше и для организма польза, вышел на балкон, помахал ручками, профит :)

впн выедает батарейку в телефоне, увы

Та вроде не.

а что за впн? опенвпн дико жрет. Что-то еще пробовал, было тоже самое.

Вы лично можете открыть все порты и использовать дефолтные пароли, никому ваш сервак не сдался

В основном ovpn, жора батареи не замечено.

Выедает аккум как трагладит, подтверждаю как пользователь wireshark и openvpn

Эмм а wireshark тут причем?

впн

Какое отношение wireshark имеет к vpn ?

Ошибся, wireguard

Тут не могу могу прокомментировать, я только про ovpn писал.

По моим наблюдениям wireguard на android ест аккумулятор больше чем openvpn. Сегодня на пару часов включил инет через wireguard без активного использования - аккумулятор -20%

и самое главное – никакого подключения к интернету

На i486 можно?

Да, возможно. Вот пара ссылок для старта:

https://wiki.codeemo.com/secure/nftables.html https://blog.samuel.domains/blog/security/nftables-hardening-rules-and-good-practices

Дропай весь входящий трафик кроме нужного, поменяй порт sshd на какой-нибудь другой, настрой fail2ban. Думаю тебе этого будет достаточно.

впн выедает батарейку в телефоне, увы

Есть IPsec и WireGuard, которые работают по UDP (IPsec в 90% случаев инкапсулируется в UDP ради NAT Traversal) и им не нужно 24/7 поддерживать соединение, интервал отправки keepalive пакетов настраивается или их можно вовсе отключить. Ну и начиная с Android 12 есть поддержка IPSec/IKEv2 из коробки, а WireGuard в ядре.

По моим наблюдениям wireguard на android ест аккумулятор больше чем openvpn.

Дай угадаю, у тебя он в юзерленде через tun интерфейс работает?