Защита сервера от взлома

[Kucher2 122]

Посмотрел здесь недавно как народ реализует серверы под Windows с реальным IP и с ужасом осознал, что такая схема никак незащищена даже от простого перебора пароля. Ну а дальше всё понятно. Люди, я так не хочу!

Подумываю сделать некий сервер на FreeBSD. Скорее всего это будет VPN-сервер, который объединит несколько машин из разных точек страны в одну локальную сеть. Думаю понятно.

 

Реальный IP будет иметь только сервер, остальные машины будут коннектиться к нему с "серых" адресов. Так что простейший способ фильрации по IP - отпадает.

Поразмыслив немного - придумал парочку простых, но действенных способов защиты хотя бы от подбора пароля, но наверняка существуют готовые решения.

 

Просьба к профессионалам - посоветуйте пожалуйста ссылки (желательно на русском) или подскажите методы защиты такого сервера от взлома. Может быть какое-нибудь дополнительное ПО?

[tyoma 79]

ставь ссш на нестандартный порт

[Kucher2 122]

ставь ссш на нестандартный порт

Думаете, что это поможет? Ведь теоретически можно просканить это дело.

SSH подразумевает только шифрование, на сколько я помню? Или есть ещё какие-то функции?

Мне б чего-нить по принципу ключей заморочить, чтобы сервер в дополнение ещё и проверял подключившегося.

Не хочется грузить VPN-сервер чересчур сложными алгоритмами.

Была простая идея класть куда-то ключевой файл и если сервер его видит - пускает.

Организовать систему простого обновления ключей в случае необходимости смены паролей.

Удалённое управление сервером я отбрасываю сразу, мне проще приехать на место.

Но я подумал что должно быть уже что-то готовое.

[Neelix 33]

не юзай ssh, не юзай httpd, named, итд. просто не запускай ниче из демонов и сервант будет как за каменной стеной.

оставляешь pptpd, юзер авторизовался login/pass, дальше получил доступ в интрасеть, по-моему все просто

[Zlobar 30]

Удалённое управление сервером я отбрасываю сразу, мне проще приехать на место.

Это уже нездоровая паранойя.

[Sergek 123]

Не пользуйте парольный ССШ, пользуйтесь ключами на флешке

Фаервольте все и вся, но как по мне паранойа полная

Ставь на сервер только то ПО которое необходимо, очень аккуратно с халявными и нуленными движками, бывает руткиты заливают

[troyan 0]

Не пользуйте парольный ССШ, пользуйтесь ключами на флешке

Но помните таже, что это не панацея. Если ктото правдами или неправдами скачает ключик с флешки (а это далеко не из области фантастики, особенно если будут заинтересованные), то плакала ваша безопасность.

[Neelix 33]

эффективней ключик + пароль

и защита от ментального DoS

[Kucher2 122]

У меня чувство, что вы меня не поняли.

Давайте по другому.

Мне нужен только VPN-сервер, на который авторизируются пользователи. На него стекаются данные со всех машин.

На самом сервере, поскольку он будет стоять в центральном офисе, я хочу поставить самбу, чтобы из внутренней сети можно было легко и просто оперировать файлами.

Проблема в том, что я сомневаюсь в надёжности каких-либо паролей, потому теоретически что все их можно подобрать.

 

Меня интересует механизм защиты от простого перебора паролей, поскольку я не могу указать серверу блокировать консоль авторизации - подключающиеся имеют серые или плавающие IP - они не смогут зайти, если кто-то пытается подобрать пароль. Может быть есть простой способ менять пароли или какие-то ключи без ведома пользователей (там объяснять где находится кнопка ПУСК надо по пол-часа иногда)?

 

А может достаточно просто сложного длинного пароля, какой только может принять Windows XP...

 

По поводу удалённого управления - никогда не занимался этим всерьёз, считаю что это лишняя дыра, да и на работу съездить не влом - если всё отлажено, удалённое управление не нужно.