Spotter-Cluster/Hosting
2
0
Fork 0
Code Issues 8 Pull Requests Actions Packages Projects Releases Wiki Activity

Create Hosting a server/Nastavení sítě a zabezpečení

Disassembler 2019-05-14 10:46:10 +02:00
parent 32e79c7271
commit 1133c6bfd6
1 changed files with 76 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

76
Hosting-a-server/Nastavení-sítě-a-zabezpečení.md Normal file

@ -0,0 +1,76 @@
## Síťová rozhraní
Primární síťové rozhraní je `eth0` s IP adresami **159.69.247.130** a **2a01:4f8:c010:1385::1**, taktéž vypsanými v [základních parametrech serveru](Hosting-a-server/Parametry-hostingu-a-serveru). IPv4 je přidělována dynamicky pomocí DHCP protokolu z DHCP serveru ve správě společnosti Hetzner. IPv6 je nastavena staticky, ale alokace je taktéž spravována společností Hetzner. Přidělené IP jsou vypsány ve webovém rozhraní pro správu serverhostingu.
Dále je na serveru nastaveno rozhraní síťového mostu `lxdbr0` sdílené mezi hostitelem a LXC/LXD kontejnery. Na hostiteli má toto rozhraní staticky přiřazenou IPv4 **10.0.3.1/24**
LXC/LXD kontejnery mají staticky přidělené IPv4 v konfiguraci kontejneru následovně:
- **GitLab:** 10.0.3.2
- **SeedDMS:** 10.0.3.3
- **Pan.do/ra:** 10.0.3.4
- **Odoo:** 10.0.3.5
Na serveru je zapnut IPv4 forwarding (konfigurace v souboru `/etc/sysctl.d/50-ip-forward.conf`) a obě síťová rozhraní jsou spravována pomocí `systemd-networkd`.
## Firewall
Na serveru je nastaven firewall pomocí `iptables` a pomocného skriptu `firewall` s konfigurací v adresáři `/etc/firewall/`. Následující pravidla jsou nastavena staticky:
**IPv4, tabulka *filter*, chain *INPUT***
- Zahoď fragmentované pakety, u kterých nikdy nepřišel první fragment
- Přijmi ICMP pakety (ping, informace o fragmentaci, nedostupnosti sítě atd.)
- Zahoď TCP pakety s neplatnými příznaky (např. [christmas tree packet](https://en.wikipedia.org/wiki/Christmas_tree_packet) - jednoduchá základní ochrana proti DoS, fingerprintingu a tichému scanování portů)
- Přijmi pakety z předchozích korektně navázaných spojení
- Přijmi příchozí nová TCP spojení na portu 21 (FTP)
- Přijmi příchozí nová TCP spojení na portech 40000-49999 (FTP passive)
- Přijmi příchozí nová TCP spojení na portech 80 a 443 (HTTP a HTTPS)
- Přijmi příchozí nová TCP spojení na portech 25, 465 a 587 (SMTP, SMTPS a Submission)
- Přijmi příchozí nová TCP spojení na portech 110 a 995 (POP3 a POP3S)
- Přijmi příchozí nová TCP spojení na portech 143 a 993 (IMAP a IMAPS)
- Přijmi příchozí nová TCP spojení na portu 22 (SSH) z adres dasm.dasm.cz a infra.dasm.cz (@Disassembler)
- Přijmi příchozí nová UDP i TCP spojení na portu 53 (DNS) z adres v subnetu 10.0.3.0/24 (LXC/LXD)
- Přijmi příchozí nová TCP spojení na portu 5432 (PostgreSQL) z adres v subnetu 10.0.3.0/24 (LXC/LXD)
- Přijmi příchozí nová TCP spojení na portu 5672 (RabbitMQ) z adres v subnetu 10.0.3.0/24 (LXC/LXD)
- Přijmi příchozí nová spojení z localhostu
- Zahoď všechna ostatní spojení
**IPv4, tabulka *nat*, chain *PREROUTING***
- Příchozí nová TCP spojení na portu 2222 přesměruj na 10.0.3.2 (GitLab LXD kontejner), port 22 (SSH)
**IPv4, tabulka *nat*, chain *POSTROUTING***
- Aplikuj maškarádu na spojení ze subnetu 10.0.3.0/24, která jsou směrována mimo subnet 10.0.3.0/24
**IPv6, tabulka *filter*, chain *INPUT***
- Přijmi ICMP pakety (ping, informace o nedostupnosti sítě atd.)
- Zahoď TCP pakety s neplatnými příznaky (např. [christmas tree packet](https://en.wikipedia.org/wiki/Christmas_tree_packet) - jednoduchá základní ochrana proti DoS, fingerprintingu a tichému scanování portů)
- Přijmi pakety z předchozích korektně navázaných spojení
- Přijmi příchozí nová TCP spojení na portu 21 (FTP)
- Přijmi příchozí nová TCP spojení na portech 40000-49999 (FTP passive)
- Přijmi příchozí nová TCP spojení na portech 80 a 443 (HTTP a HTTPS)
- Přijmi příchozí nová TCP spojení na portech 25, 465 a 587 (SMTP, SMTPS a Submission)
- Přijmi příchozí nová TCP spojení na portech 110 a 995 (POP3 a POP3S)
- Přijmi příchozí nová TCP spojení na portech 143 a 993 (IMAP a IMAPS)
- Přijmi příchozí nová TCP spojení na portu 22 (SSH) z adres nas.dasm.cz a infra.dasm.cz (@Disassembler)
- Přijmi příchozí nová spojení z localhostu
- Zahoď všechna ostatní spojení
## Systém detekce narušení
Na serveru je nainstalován systém detekce narušení **Fail2ban**. Ten principiálně funguje tak, že monitoruje logy jednotlivých služeb a vyhodnocuje neúspěšné pokusy o přihlášení nebo interakci se službou. Pokud stejná IP adresa dosáhne určitého nakonfigurovaného množství neúspěšných pokusů, dostane krátkodobý ban ke službě, ke které se pokouší přihlásit (řád minut až desítek minut). Pokud nasbírá několik těchto krátkodobých banů, je zabanována plošně na celém serveru dlouhodobě (řád dnů až týdnů).
Monitorovány jsou následující služby:
- **SSH**
- Soubor: `/var/log/auth.log` a tentýž soubor i v LXD kontejneru GitLab
- Počet pokusů: 5
- **HTTP(S)**
- Soubor: `/var/log/apache2/*error.log` a log webového rozhraní pro maily RoundCube `/usr/share/roundcube/logs/errors`
- Počet pokusů: 10
- **FTP**
- Soubor: `/var/log/pure-ftpd/auth.log`
- Počet pokusů: 10
- **SMTP(S)/POP3(S)/IMAP(S)**
- Soubor: `/var/log/mail.log`
- Počet pokusů: 10
- **Fail2ban** (recidiva)
- Soubor: `/var/log/fail2ban.log`
- Počet pokusů: 8, u GitLabu 3