|
আমি অনুমান করি যারা গাড়ি চালায় লিনাক্স সার্ভার জানুন এবং সম্পর্কে জানুন অস্বীকার করুন y Fail2ban। যারা তাঁকে চেনেন না তাদের জন্য আমি করব ব্যাখ্যা করা এই দুটি সম্পর্কে একটু অ্যাপ্লিকেশন. |
পরবর্তী মাথাব্যথা এড়াতে আমরা এই দুটি অ্যাপ্লিকেশন ইনস্টল এবং কনফিগার করব। প্রথমে আমরা এই দুটি অ্যাপ্লিকেশন কী এবং তাদের কার্যকারিতা কী তা ব্যাখ্যা করব:
Fail2Ban
এটি একটি লগ বিশ্লেষক যা নিবন্ধকরণ ব্যর্থতার ব্যর্থতার জন্য অনুসন্ধান করে এবং যে আইপিগুলি থেকে এই প্রচেষ্টাগুলি আসে তা অবরুদ্ধ করে। এটি জিএনইউ লাইসেন্সের অধীনে বিতরণ করা হয় এবং সাধারণত আক্রমণ সিস্টেমের সিস্টেম বা স্থানীয় ফায়ারওয়ালের সাথে ইন্টারফেস করে এমন সমস্ত সিস্টেমে কাজ করে।
Fail2Ban একটি দুর্দান্ত কনফিগারেশন রয়েছে এবং প্রোগ্রামগুলির জন্য নিয়মও তৈরি করতে পারে
নিজস্ব বা তৃতীয় পক্ষগুলি।
অস্বীকার করুন
এটি অজগরে লেখা একটি সুরক্ষা সরঞ্জাম যা ভার্চুয়াল সার্ভারে ব্রুটে ফোর্স আক্রমণ প্রতিরোধ করতে অ্যাক্সেস সার্ভার লগগুলি পর্যবেক্ষণ করে। প্রোগ্রামটি আইপি অ্যাড্রেসগুলি নিষিদ্ধ করে কাজ করে যা সংযোগের ব্যর্থতার কয়েকটি নির্দিষ্ট প্রচেষ্টা ব্যর্থ করে।
এই লিনাক্স অ্যাপ্লিকেশনগুলি - DenyHosts এবং Fail2ban - আলাদা বা একসাথে ব্যবহার করা যেতে পারে। আমার ক্ষেত্রে, আমি তাদের দুজনকে এক সাথে কাজ করতে চাইছি।
প্রত্যেকের ইনস্টলেশন এবং কনফিগারেশন আপনি যে বিতরণ ব্যবহার করেন তার উপর নির্ভর করে। এই পোস্টটি সেন্টোস 6.3-এর দিকে অভিমুখী, যদিও অন্যান্য ডিস্ট্রসের মধ্যে পার্থক্য খুব বেশি চিহ্নিত নয়।
ঠিক আছে, তাহলে কাজ করা যাক।
Fail2Ban ইনস্টলেশন এবং কনফিগারেশন
এই অ্যাপ্লিকেশনটি লিনাক্স ফায়ারওয়াল নিজেই গতিশীল নিয়ম উত্পন্ন করে, এবং আইপটবেলে লাইভ বিধি তৈরি করার জন্য দায়ী।
ইনস্টলেশন
ইনস্টলেশন জন্য:
yum ব্যর্থ ইনস্টল করুন
প্যাকেজটি উপস্থিত না হলে আমাদের অবশ্যই প্রয়োজনীয় সংগ্রহস্থল যুক্ত করতে হবে:
rpm -Uvh http://mirror.metrocast.net/fedora/epel/6/i386/epel-release-6-7.noarch.rpm
এটির সাথে আপনার নির্ভরতাগুলির সাথে অ্যাপ্লিকেশনটি ইনস্টল করা শুরু করা উচিত।
আমরা চাই এবং যে লগগুলি চাই সেগুলি বিশ্লেষণ করতে আমাদের Fail2Ban কনফিগার করতে হবে
আইপি এর, ইমেল মাধ্যমে বিজ্ঞপ্তি প্রেরণ। এর জন্য আমাদের অবশ্যই জেলকনফ ফাইলটি সংশোধন করতে হবে যা আমরা / ইত্যাদি / ব্যর্থ2ban এ পাই
সিডি / ইত্যাদি / ব্যর্থ 2ban
ন্যানো জেল
নিম্নলিখিত এই ফাইলটি করা উচিত:
- মডিফাই হ'ল ব্যানটাইম মান, এই মানটি সেকেন্ডে সময় নির্ধারণ করে যে আক্রমণকারীর আইপি ব্লক করা হবে, ডিফল্টরূপে মান 600 সেকেন্ডে আসে in
- ম্যাক্স্রিট্রি মানটি সন্ধান করুন যা আইপি ব্লক হওয়ার আগে একটি ব্যর্থ প্রমাণীকরণের পরিমাণ হতে পারে।
- উপেক্ষা পরামিতি আমাদের আইপিস যোগ করুন। এখানে অ্যাপ্লিকেশনটি সেই প্যারামিটারে আমাদের অনুমোদনপ্রাপ্ত আইপিগুলিকে উপেক্ষা করবে।
[ডিফল্ট]
# "উপেক্ষা" আইপি ঠিকানা, একটি সিআইডিআর মাস্ক বা একটি ডিএনএস হোস্ট হতে পারে। ফেললবাবেন না
# এই তালিকার কোনও ঠিকানার সাথে মেলে এমন একটি হোস্টকে নিষিদ্ধ করুন। বেশ কয়েকটি ঠিকানা হতে পারে
# স্পেস বিভাজক ব্যবহার করে সংজ্ঞায়িত।
উপেক্ষা = 127.0.0.1
# "ব্যানটাইম" হল কোনও হোস্ট নিষিদ্ধ হওয়া সেকেন্ডের সংখ্যা।
Bantime = 600
# কোনও হোস্ট যদি নিষিদ্ধ করা হয় যদি এটি শেষ "ফাইন্ডটাইম" এর সময় "ম্যাক্সেট্রি" তৈরি করে
# সেকেন্ড
findtime = 600
হোস্ট নিষিদ্ধ হওয়ার আগে # "ম্যাক্রেট্রি" হ'ল ব্যর্থতার সংখ্যা।
maxretry = 3
এটি কীভাবে দেখতে পারে তার একটি উদাহরণ নিম্নরূপ:
উপেক্ষা = 127.0.0.1 190.25.242.75 192.168.1.0/24
Bantime = 800
maxretry = 2
Fail2Ban এবং এসএসএইচ কনফিগার করুন
ব্যর্থ এসএসএইচ লগইন প্রচেষ্টাগুলির সন্ধানের জন্য, ফাইলটি নিম্নলিখিতগুলির মতো না হওয়া পর্যন্ত আমরা সংশোধন করি:
[এসএসএইচ-ইপটেবলস]
সক্রিয় = সত্য
ফিল্টার = sshd
ক্রিয়া = iptables [নাম = এসএসএইচ, পোর্ট = 22, প্রোটোকল = টিসিপি] সেন্ডমেল-হুইস [নাম = এসএসএইচ, ভাগ্য = ফ্রেডইসনেক @ আউটলুক.কম, প্রেরক = ব্যর্থ2ban @ লোকালহোস্ট] লগপথ = / ভার / লগ / সুরক্ষিত # এটি হ'ল লগ যা ব্যর্থ 2ban পার্স করবে
ম্যাক্রেস্ট্রি = 3 # তিন বা ততোধিক ব্যর্থ প্রচেষ্টা থাকা কোনও আইপি ব্লক করা হবে।
ব্যানটাইম = 86400 # 24 ঘন্টা নিষেধাজ্ঞার সময়টি সেকেন্ডে প্রকাশিত
ভুলে যাবেন না যে আপনি যদি এসএসএইচ শোনার পোর্টটি সংশোধন করেন তবে আপনাকে অবশ্যই পোর্টের প্যারামিটারটিও পরিবর্তন করতে হবে।
এই অ্যাপ্লিকেশনটি কেবল এসএসএইচে অননুমোদিত অ্যাক্সেসের জন্য নয়, অ্যাপাচি, অ্যাসিস্ট্রিক লগগুলি পড়ার জন্যও কাজ করে
অস্বীকৃতি ইনস্টলেশন ও কনফিগারেশন
এর অপারেশনটি /etc/hosts.deny ফাইলের ব্যবহারের উপর ভিত্তি করে, যা "আক্রমণকারী" হোস্টের ঠিকানাগুলি ব্লক করে অস্বীকৃত হোস্টের একটি তালিকা তৈরি করে।
সংগ্রহস্থল থেকে ইনস্টলেশন নিম্নলিখিত কমান্ডের সাহায্যে প্রাপ্ত করা যাবে:
yum ইনস্টল অস্বীকার
কনফিগারেশন ফাইলটি /etc/denyhosts.conf এ অবস্থিত
চালিয়ে যাওয়ার আগে, যেহেতু মানুষ হিসাবে আমরা ভুল করতে পারি এবং যেকোন পরিষেবা অ্যাক্সেস করার সময় এবং নিজেকে ব্লক করার সময় সাধারণ "স্তর 8" করতে পারি। এটি এড়াতে, আমরা /etc/hosts.allow ফাইলটি সম্পাদনা করি এবং মেশিনগুলির আইপিগুলি যোগ করি যা থেকে অ্যাক্সেস ব্যর্থতার কারণে আমরা সীমাবদ্ধ রাখতে চাই না।
অস্বীকারকারীদের ফাইল পরিবর্তন করুন
সেটিংসে এতদূর না যাওয়ার জন্য, এই ফাইলে আমরা কেবল কিছু পরামিতিগুলি সম্পাদনা করতে এবং অসন্তুষ্ট করতে যাচ্ছি। এইগুলো:
SYNC_SERVER = http://xMLrpc.denyhosts.net:9911
SYNC_INTERVAL = 1 ঘন্টা
SYNC_UPLOAD = হ্যাঁ
SYNC_DOWNLOAD = হ্যাঁ
SYNC_DOWNLOAD_THRESHOLD = 3
SYNC_DOWNLOAD_RESILIENCY = 5 ঘন্টা
সুতরাং, আমরা ডিফল্টরূপে কার্যত একটি কনফিগারেশন ছাড়ব, তবে এসএসএইচ আক্রমণগুলির বিরুদ্ধে দুর্দান্ত সুরক্ষা সহ।
ন্যানো /etc/hosts.allow
উদাহরণ:
sshd:127.0.0.1
sshd:192.168.1.10
sshd: 192.168.0। *
এর পরে, আমরা পরিষেবাটি পুনরায় চালু করুন:
/etc/init.d/denyhosts পুনরায় আরম্ভ করুন
এটির সাহায্যে আমরা একটি আইপি, একটি আইপি রেঞ্জ এবং অবশ্যই আমাদের লুপব্যাক ইন্টারফেসে অনুমতি দিচ্ছি। এমন কিছু যা আমি চেষ্টা করি নি - তাই আমি জানি না এটি কাজ করে কিনা - এই ফাইলটিতে ডিএনএস যুক্ত করা; এটি DynDNS এর মতো পরিষেবাগুলির সাথে। যদি আমি এটি করি তবে আমি আপনাকে বলব কীভাবে এটি চলে।
কিছু নির্দিষ্ট বিকল্প এবং সেটিংস সহ আমরা এটিও নিশ্চিত করে দেব যে আমরা যে সময়ের সাথে সাথে ড্যানিহসটিএস কনফিগারেশনে ইঙ্গিত করেছি তার পরে সঞ্চিত ঠিকানাগুলি পরিষ্কার করা হয় এবং সেগুলি অন্যদের দ্বারা তৈরি অন্যান্য তালিকাগুলির সাথে আপডেট করা হয় - যদি আমরা এটির অনুমতি দিই - DenyHOSTS এর সার্ভারটিতে অ্যাক্সেস করুন।
কনফিগার করা হিসাবে, সময়ে সময়ে সঞ্চিত ঠিকানাগুলি শুদ্ধ করতে ডেমনটি অবশ্যই –purge প্যারামিটার দিয়ে চালানো উচিত:
/etc/init.d/denyhosts --পেজ শুরু
এটি ছাড়াও, আমাদের অবশ্যই এটি সিস্টেমের শুরুতে অন্তর্ভুক্ত করতে হবে:
chkconfig অস্বীকৃতি চালু