Osiguravanje Debian servera za produkciju

Osiguravanje Debian servera za produkciju (tzv. Hardening) zahteva slojevit pristup. Budući da Debian po instalaciji dolazi kao “prazna tabla”, na vama je da primenite striktne mere bezbednosti.

Evo liste ključnih koraka za osiguravanje sistema:

1. Bezbednost SSH pristupa (Prioritet br. 1)

SSH je najčešća meta napada. Izmenite datoteku /etc/ssh/sshd_config:

Zabranite Root login: PermitRootLogin no (Koristite običnog korisnika + sudo).

Onemogućite lozinke: PasswordAuthentication no (Koristite isključivo SSH ključeve).

Promenite port: Promena sa standardnog porta 22 na npr. 2244 može eliminisati 99% automatizovanih bot napada.

Ograničite korisnike: AllowUsers ime_korisnika.

2. Podešavanje Firewall-a (UFW ili NFTables)

Zatvorite sve što nije neophodno.

Instalirajte UFW (jednostavniji alat): sudo apt install ufw

Dozvolite samo SSH i specifične servise (npr. HTTP/HTTPS):

bash

ufw default deny incoming

ufw default allow outgoing

ufw allow 2244/tcp  # Vaš novi SSH port

ufw allow 80/tcp

ufw allow 443/tcp

ufw enable

Use code with caution.

3. Automatska bezbednosna ažuriranja

U produkciji ne smete zaboraviti na zakrpe. Paket unattended-upgrades automatski instalira sigurnosne ispravke.

Instalacija: sudo apt install unattended-upgrades

Aktivacija: sudo dpkg-reconfigure -plow unattended-upgrades

4. Fail2Ban: Zaštita od “Brute Force” napada

Fail2Ban prati logove i privremeno (ili trajno) blokira IP adrese koje pokazuju sumnjivo ponašanje.

Instalirajte ga da štiti SSH, Nginx ili bazu podataka.

Konfigurišite jail.local tako da agresivno banuje nakon 3 neuspešna pokušaja.

5. Deljena memorija i privremeni fajlovi

Sprečite izvršavanje zlonamernih skripti u /tmp i /dev/shm tako što ćete ih montirati sa noexec i nosuid opcijama u /etc/fstab.

6. Uklanjanje nepotrebnih servisa

Što manje softvera imate, manja je površina za napad.

Proverite aktivne portove: ss -tulpn

Uklonite sve što ne prepoznajete ili ne koristite (avahi-daemon, telnet, itd.).

7. Jačanje korisničkih privilegija

Sudo ograničenja: Proverite /etc/sudoers i uverite se da samo neophodni korisnici imaju administrativna prava.

Password Policy: Instalirajte libpam-cracklib da biste forsirali kompleksne lozinke (dužina, velika slova, simboli).

8. Monitoring i Logovi

Instalirajte Logwatch ili koristite centralizovani sistem (poput Graylog ili ELK stack) za praćenje sumnjivih aktivnosti u /var/log/auth.log.

Koristite AIDE (Advanced Intrusion Detection Environment) koji pravi “otisak prsta” sistemskih fajlova i javlja ako je neko neovlašćeno izmenio binarne datoteke.

9. Onemogućavanje IPv6 (ako se ne koristi)

Ako vaša mreža ne zahteva IPv6, isključite ga u /etc/sysctl.conf kako biste smanjili broj vektora napada.

text

net.ipv6.conf.all.disable_ipv6 = 1

net.ipv6.conf.default.disable_ipv6 = 1

Use code with caution.

10. Kernel Hardening

Dodajte sledeće parametre u sysctl.conf za zaštitu od IP spoofing-a i ICMP redirect napada:

text

net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.icmp_echo_ignore_broadcasts = 1

Use code with caution.