Рекомендации по настройке безопасности сервера Видеомост в сети

Cервер, на котором установлен сервис Видеомост, необходимо защищать, поддерживать работоспособность, обновлять, как и любой другой сервер. Этим обычно занимаются эксплуатирующие и администрирующие специалисты. Сервис Видеомост сам по себе не является ни средством защиты, ни антивирусом.

Cервер Видеомост, ÐºÐ°Ðº и любой другой сервер Ð² Интернет Ð¸Ð»Ð¸ локальной сети, может быть ВЗЛОМАН зловредителями Ð¸ использоваться для собственных целей, в том числе, для DDOS атак.

Для предотвращения этого, наряду с другими методами защиты, мы рекомендуем закрыть некоторые порты с использованием белого списка.

1. Порт 9090 (доступ к панели openfire). На сервере можно создать цепочку правил iptables. Пример белого списка:

iptables -A INPUT -p udp --dport 9090 -s 109.167.227.115 -j ACCEPT

iptables -A INPUT -p tcp --dport 9090 -s 91.224.14.66 -j ACCEPT

Для других доступ нужно запретить:

iptables -I INPUT -p tcp --dport 9090 -s ANY -j DROP

iptables -I INPUT -p udp --dport 9090 -s ANY -j DROP

2. Порт 5060 (kamailio). Для защиты от sip spam. По примеру п.1 ÑÐ¾Ð·Ð´Ð°Ð¹Ñ‚е правила iptables.

Установите на сервер следующие программы:

1. Denyhosts Ð¸Ð»Ð¸ fail2ban Ð´Ð»Ñ блокировки подбора паролей (брут-форс атак) по SSH.
2. Apache-модуль mod_evasive Ð´Ð»Ñ блокировки IP, с которых идет атака «медленного чтения» по http.
3. Apache-модуль mod_security Ð´Ð»Ñ проверки правильности http-запросов и защиты от наиболее частых нападений по протоколу http.

Общесистемные рекомендации можно найти в статье здесь.