https://www.opennet.ru/openforum/vsluhforumID10/5505.html Здравствуйте, <br>хочу поднять публичный сервер debian, на которой смогут заходить разные пользователи по ssh, <br>запускать предустановленные программы(vim,mc,ls,make,gcc,gdb и т.д). <br>Посоветуйте мануал или как настроить сервер, что бы его не поламали и не ddos-ли с него. <br><br>Достаточно ли будет на голом дебиане добавить правила в фаервол, что бы нельзя было делать исходящие соединения?<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5505.html#6 Wed, 30 Oct 2019 19:07:27 GMT &gt; Хочу поднять публичный сервер, такой же как тут: https://overthewire.org/wargames/ . Что <br>&gt; бы люди могли там запускать что угодно(в том числе gdb,gcc,perl,python), но <br>&gt; что бы не мешали друг другу и не могли ddos-ть/брутфорсить сервера <br>&gt; в нете.<br><br>Ребята в overthewire, очевидно, используют какую-то серьёзную изоляцию шеллов пользователей друг от друга.<br><br>Да, надо закрыть исходящие подключения, чтобы пользовадели не гадили в Интернете. Желательно не столько средствами iptables, сколько чем-то наружным.<br><br>Да, надо квотировать использование CPU и памяти, иначе на вас будут майнить крипту или брутфорсить хэши.<br><br>Да, надо изолировать пользователей друг от друга... По меньшей мере, контейнерами, т.к. если они будут играть в взлом системы, а система одна на всех, то мешать друг другу будут по определению.<br><br>Если вы хотите организовать боевые игры, одного "публичного сервера" будет недостаточно.<br>Если вы хотите организовать мирную песочницу, это будет работоспособно только с доверенными пользователями.<br> https://www.opennet.ru/openforum/vsluhforumID10/5505.html#5 Wed, 30 Oct 2019 18:23:13 GMT &gt; Лучше будет пойти по пути ограничения возможности запуска программ. Если у юзера <br>&gt; будет только bin/sh и перечисленные программы, не будет разрешений на сеть...<br><br>Если среди перечисленных программ make и gcc, ограничение будет либо бесполезно (make сам всё запустит), либо бессмысленно с точки зрения юзабилити (скомпилировал бинарник и не могу запустить попробовать).<br><br>&gt; Вам ещё придется квотировать место, проц и память.<br>&gt; Может оказаться проще выдавать каждому по персональной виртуальной машине.<br><br>Вот именно. И вообще, почему бы им эту персональную виртуалку не запускать у себя дома... Очевидно, надо детализировать требования.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5505.html#4 Wed, 30 Oct 2019 07:37:37 GMT &gt; Достаточно ли будет на голом<br><br>Судя по вопросу, ответ должен быть "нет" или "не сможешь"...<br><br>Хотя, кто ж тебя знает... https://duckduckgo.com/?q=selinux+play+machine<br>...и твою модель угроз.<br> https://www.opennet.ru/openforum/vsluhforumID10/5505.html#3 Wed, 30 Oct 2019 07:28:15 GMT Хочу поднять публичный сервер, такой же как тут: https://overthewire.org/wargames/ . Что бы люди могли там запускать что угодно(в том числе gdb,gcc,perl,python), но что бы не мешали друг другу и не могли ddos-ть/брутфорсить сервера в нете.<br> https://www.opennet.ru/openforum/vsluhforumID10/5505.html#2 Wed, 30 Oct 2019 06:57:59 GMT &gt; Здравствуйте, <br>&gt; хочу поднять публичный сервер debian, на которой смогут заходить разные пользователи по <br>&gt; ssh, <br>&gt; запускать предустановленные программы(vim,mc,ls,make,gcc,gdb и т.д).<br>&gt; Посоветуйте мануал или как настроить сервер, что бы его не поламали и <br>&gt; не ddos-ли с него.<br>&gt; Достаточно ли будет на голом дебиане добавить правила в фаервол, что бы <br>&gt; нельзя было делать исходящие соединения?<br><br>Лучше будет пойти по пути ограничения возможности запуска программ. Если у юзера будет только bin/sh и перечисленные программы, не будет разрешений на сеть, есть шанс, что взломают не так быстро. Особенно если доступ будет не анонимным.<br>Вам ещё придется квотировать место, проц и память. <br>Может оказаться проще выдавать каждому по персональной виртуальной машине.<br> https://www.opennet.ru/openforum/vsluhforumID10/5505.html#1 Tue, 29 Oct 2019 16:52:18 GMT Уважаемый Аноним, вы очень обще ставите вопрос. Боюсь, что в рамках форума на него будет трудно ответить. Поможет, если вы выработаете и покажете список мер, указывая какую конкретную задачу решает каждая, а в форуме их "поругают".<br><br>Посмотрите https://www.cyberciti.biz/tips/linux-security.html, и вообще выдачу на поисковый запрос "debian server hardening".<br><br>Насколько враждебны пользователи?<br>Вы говорите "публичный", это в смысле в Интернете, но для своих, или в смысле что туда будет ходить кто попало без SMS?<br><br>&gt; Достаточно ли будет на голом дебиане добавить правила в фаервол, что бы <br>&gt; нельзя было делать исходящие соединения?<br><br>Нет, не достаточно. Надо следить за входящими соединениями, конфигурацией тех сервисов, которые опубликованны, не ставить ничего лишнего, следить за обновлениями, банить наугодных, награждать праведных и не впадать в уныние.<br><br>Конкретно касаемо исходящих соединений. От чего вы защищаетесь? От пользователей которые будут целенаправленно стараться закачать какую-нибудь малварь эт