Рекомендации по настройке безопасности сервера Видеомост в сети

Cервер, на котором установлен сервис Видеомост, необходимо защищать, поддерживать работоспособность, обновлять, как и любой другой сервер. Этим обычно занимаются эксплуатирующие и администрирующие специалисты. Сервис Видеомост сам по себе не является ни средством защиты, ни антивирусом.

Cервер Видеомост, как и любой другой сервер в Интернет или локальной сети, может быть ВЗЛОМАН зловредителями и использоваться для собственных целей, в том числе, для DDoS атак.

Для предотвращения этого, наряду с другими методами защиты, мы рекомендуем закрыть некоторые порты с использованием белого списка.

• Порт 9090 (доступ к панели openfire). На сервере можно создать цепочку правил iptables. Пример белого списка:

iptables -A INPUT -p udp --dport 9090 -s 109.167.227.115 -j ACCEPT

iptables -A INPUT -p tcp --dport 9090 -s 91.224.14.66 -j ACCEPT

Для других доступ нужно запретить:

iptables -I INPUT -p tcp --dport 9090 -s ANY -j DROP

iptables -I INPUT -p udp --dport 9090 -s ANY -j DROP

• Порт 5060 (kamailio). Для защиты от sip spam. По примеру п.1 создайте правила iptables.

Установите на сервер следующие программы:

• Denyhosts или fail2ban для блокировки подбора паролей (брут-форс атак) по SSH.
• Apache-модуль mod_evasive для блокировки IP, с которых идет атака «медленного чтения» по http.
• Apache-модуль mod_security для проверки правильности http-запросов и защиты от наиболее частых нападений по протоколу http.

Общесистемные рекомендации можно найти в статье здесь.