Arquivo da tag: digital

Firewall: Tutorial de Segurança no Servidor de Email do VPS

Ataques ao servidor de emails em um VPS são mais frequentes do que as pessoas imaginam, num único dia um servidor pode ser alvo de dezenas dessas tentativas de invasão. Técnicas de Spoofing e BackScatter podem “sujar” um endereço IP limpo pois conseguem  “forjar” um remetente (Quem nunca recebeu um email marcado como SPAM que foi enviado pelo seu próprio endereço?). Aprenda como se defender de ameaças e mantenha o IP do VPS limpo para que o mesmo não seja marcado em blacklists.

Este tutorial foi elaborado durante semanas de testes e busca por informações. Documentos atualizados falando sobre o assunto são difíceis de encontrar, e os mais antigos têm regras que não se aplicam atualmente. Nos próximos parágrafos tentarei explicar como analisar os arquivos de log e identificar ameaças, e ainda mostrarei como configurar alguns serviços para repelir quase 100% das tentativas de invasão. *Fizemos os testes em nosso servidor Debian 7 com ISPConfig 3, clique aqui para seguir o tutorial de como instalar um sistema completo com painel de controle.

Para que possamos defender o servidor de forma apropriada é importante certificar-se de que o sistema esteja configurado corretamente. Verifique se o nome do seu VPS seja FQDN e esteja ativo, não invente nomes fictícios de domínio, ele precisa existir para o DNS poder localizá-lo (caso tenha criado com o nome errado clique aqui e veja como alterar); Nosso MTA será o Postfix e usaremos o Fail2Ban com o Firewall do ISPConfig 3 para distribuir bans. Como camada extra de segurança eu indico a CloudFlare que tem um firewall próprio além de servir como proxy-cache do site (veja como configurar o DNS com CloudFlare).

*Se você está lendo este artigo e pensa que o seu VPS está seguro então é melhor dar uma olhada nos arquivos de log. Clique aqui para ler minha postagem falando sobre esses arquivos.

Antes de começar: Postfix:

O MTA do nosso servidor será o Postfix que é responsável pelo controle dos emails enviados diretamente do VPS ou via SMTP por um cliente de email (Outlook, Thunderbird). *Erroneamente algumas pessoas pensam que o responsável pelo envio é o sistema operacional ou o painel de controle, veremos isso abaixo.

Quando instalamos o Postfix seguindo o tutorial ele ficou pronto para uso, criamos caixas de entrada e domínios de email. Agora veremos como “tunar” algumas opções para melhorar a segurança.

Arquivo /etc/postfix/main.cf:

*Talvez você possa ter alterado o arquivo original main.cf então vamos verificar algumas configurações. Procure no arquivo pelas seguintes linhas e veja se estão com estes parâmetros, adicione as que não houver (faça um backup do arquivo, um erro aqui e o Servidor de Email para de funcionar):

#Importante: Não altere a ordem em que as linhas aparecem no arquivo

smtpd_use_tls = yes

#Substitua o próximo parâmetro pelo nome FQDN que você deu ao VPS (Se voce seguiu o tutorial com ISPConfig os proximos dois parametros ja devem estar certos)
myhostname = vps1.fatorbinario.com

#Certifique-se de incluir o nome do VPS na próxima linha
mydestination = vps1.fatorbinario.com, localhost, localhost.localdomain

#Para melhor aceitacao no Gmail
inet_protocols = ipv4

#Comente a linha:
#smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf

#E substitua por este bloco (note as virgulas):
smtpd_recipient_restrictions = 
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unauth_destination,
   reject_unknown_recipient_domain,
   check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
   permit

#Verifique ainda se as 2 linhas abaixo estão presentes no seu arquivo 
header_checks = regexp:/etc/postfix/header_checks
smtpd_tls_security_level = may

#Comente as linhas:
#smtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf
#smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf

#E substitua por este bloco de codigo abaixo adicionando parametros novos:
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions =
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_non_fqdn_helo_hostname,
   reject_invalid_helo_hostname,
   permit
smtpd_sender_restrictions = 
   permit_mynetworks,
   reject_non_fqdn_sender,
   reject_unknown_sender_domain,
   check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf,
   permit
smtpd_client_restrictions = 
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unknown_client_hostname,
   check_client_access mysql:/etc/postfix/mysql-virtual_client.cf,
   permit

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

*Regarding english support please contact me by email or post a comment using the Disqus system. I do offer monthly support and custom server deploy. Now accepting Paypal and Bitcoin!

Video Tutoriais Fator Binário: ISPConfig 3 + WordPress

Em nosso canal do Youtube você já pode assistir o video tutorial de como instalar o ISPConfig 3 com WordPress e Servidor de Emails em um VPS Linux Debian.

Atendendo ao pedido de vários seguidores aqui do Fator Binário decidi publicar uma video aula, explicando o trabalho que venho desenvolvendo, bem como um tutorial completo de instalação.

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

*Regarding english support please contact me by email or post a comment using the Disqus system. I do offer monthly support and custom server deploy. Now accepting Paypal and Bitcoin!

Armory: Carteira Bitcoin mais segura do mundo disponível no repositório Debian

Uma das poucas carteiras Bitcoin que oferecem opções avançadas de segurança está oficialmente disponível no repositório “unstable” Debian.

Armory é um software cliente Bitcoin, sendo avaliado como um dos mais avançados e mais seguros que existem para guardar as moedas digitais. Desenvolvido por Alan Reiner, expert em segurança Bitcoin, Armory oferece várias características de segurança que vão além até mesmo das oferecidas pelo Blockchain.info e Satoshi Bitcoin.

continuar lendo..