Tere sõbrad DesdeLinux, mis lubati, on võlg ja siin on postitus sellest kuidas maksimeerida Linuxi süsteemide kaitset ja jääda selliseks ohutu sissetungijate eest, samuti teie serverites, arvutis või sülearvutites sisalduva teabe kaitsmine !!!!
Comenzando
Fail2ban: on Pythonis kirjutatud rakendus, et vältida sissetungi süsteemi, mis toimib karistades või blokeerides toorjõudu juurde pääseda üritavaid kaugühendusi.
Paigaldus:
Fedora, RHEL, CentOS:
yum install fail2ban
Debian, Ubuntu:
apt-get install fail2ban
Seadistus:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local nano /etc/fail2ban/jail.local
Jaos nimega [DEFAULT] kommenteerime ja muudame #bantime = 3600, jättes selle järgmiselt:
#bantime = 3600 bantime = 604800
[Sshd] osas tutvustame enable = true, jättes selle järgmiselt:
#enabled = true lubatud = true
Salvestame klahvikombinatsiooniga CTRL + O ja sulgeme klahvikombinatsiooniga CTRL + X
Alustame teenust:
Fedora, RHEL, CentOS:
systemctl lubage fail2ban.service systemctl käivitage fail2ban.service
Debian, Ubuntu:
teenuse fail2ban start
Juurdepääsu keelamine ssh abil:
Oma masina kaitsmiseks keelame ssh juurkasutaja kaudu. Selleks redigeerime faili / etc / ssh / sshd_config järgmiselt:
cp sshd_config sshd_config.bck nano / etc / ssh / sshd_config
Me kommenteerime ja muutume
#Protokol 2 protokoll 2
Me kommenteerime ja muutume
#PermitRootLogin jah PermitRootLogin ei
Salvestame klahvikombinatsiooniga CTRL + O ja sulgeme klahvikombinatsiooniga CTRL + X
Alustame teenust:
Fedora, RHEL, CentOS:
systemctl lubage sshd.service systemctl käivitage sshd.service
Debian, Ubuntu:
teenuse SSD algus
Keelake parooliga juurdepääs ssh-serverile ja lubage ssh-d ainult RSA-võtmetega
Kui tahame ühenduse luua PC1-ga Server1-ga, on esimene asi, mida teha, on oma võtme genereerimine PC1-l. Kasutajaga ja ilma juuruta PC1-l täidame:
ssh-keygen -t rsa -b 8192 (see genereerib enam kui turvalise võtme, kuna tavaliselt kasutatakse võtmeid 1024 kuni 2048)
Kui parool on käes, laadime selle üles Server1:
ssh-copy-id kasutaja @ server_ip
Kui see on tehtud, loome ühenduse oma Server1-ga ja muudame nano / etc / ssh / sshd_config faili juurõigustega:
ssh kasutaja @ Server1 nano / etc / ssh / sshd_config
Muudame rida, mis ütleb sellele #PasswordAuthentication jah:
#PasswordAuthentication jah
Parooli autentimise nr
Salvestame klahvikombinatsiooniga CTRL + O ja sulgeme klahvikombinatsiooniga CTRL + X
Taaskäivitame ssh-teenuse:
Fedora, RHEL, CentOS:
systemctl taaskäivitage sshd.teenus
Debian, Ubuntu:
teenuse shd taaskäivitamine
Muuda ssh kuulamisport
Jällegi muudame faili / etc / ssh / sshd_config ja porti viitavas osas jätame selle järgmiselt:
# Port 22 Port 2000 (või mõni muu arv, mis on suurem kui 2000. Meie näidetes kasutame seda.)
Salvestame klahvikombinatsiooniga CTRL + O ja sulgeme klahvikombinatsiooniga CTRL + X
Taaskäivitame ssh-teenuse:
Fedora, RHEL, CentOS:
systemctl taaskäivitage sshd.teenus
Debian, Ubuntu:
teenuse shd taaskäivitamine
Kui nad kasutavad fail2bani, on vaja muuta konfiguratsiooni seoses sshd pordi kohandamisega.
nano /etc/fail2ban/jail.local [sshd] port = ssh, 2000 [sshd-ddos] port = ssh, 2000 [dropbear] port = ssh, 2000 [selinux-ssh] port = ssh, 2000
Salvestame klahvikombinatsiooniga CTRL + O ja sulgeme klahvikombinatsiooniga CTRL + X
Uuendame teenust:
Fedora, RHEL, CentOS:
systemctl taaskäivitage fail2ban.service
Debian, Ubuntu:
teenuse fail2ban taaskäivitamine
tulemüüri
Fedora, RHEL, CentOS:
Selinux ja Iptables on nendes süsteemides vaikimisi aktiveeritud ja soovitan teil seda jätkata. Kuidas avada iptablesiga port? Vaatame, kuidas avada varem muudetud ssh-pordi uus port 2000:
Avatud:
nano / etc / sysconfig / iptables
ja me muudame ssh vaikepordile 22 viitavat rida ja jätame selle järgmiselt:
# -A SISEND -m olek - osariik UUS -m tcp -p tcp --port 22 -j ACCEPT -A INPUT -p-TCP -m state --state NEW -m tcp --dport 2000 -j ACCEPT
Salvestame klahvikombinatsiooniga CTRL + O ja sulgeme klahvikombinatsiooniga CTRL + X
Taaskäivitame teenuse:
systemctl taaskäivitage iptables
Debian, Ubuntu:
Debianis või Ubuntus ja derivaatides on meil UFW tulemüür, mis muudab meie elu lihtsaks, kuna see haldab Netfiltrit väga lihtsalt.
Paigaldus:
apt-get install ufw ufw lubamine
Täidetud avatud pordide oleku nägemiseks toimige järgmiselt.
ufw staatus
Pordi avamiseks (meie näites on selleks uus ssh-port 2000):
ufw lubage 2000
Pordi keelamiseks (meie puhul on see ssh vaikeport 22):
ufw eita 22 ufw kustuta eita 22
Ja valmis sõbrad. Nii hoiavad nad teie masinaid ohutult. Ärge unustage kommentaare ja kuni järgmise korrani: D.
ja krüptimissüsteem, näiteks: https://www.dyne.org/software/tomb/
Ja ka teie kodus olevad puurikasutajad, kui nad ühendust loovad:
http://olivier.sessink.nl/jailkit/index.html#intro
https://operativoslinux.wordpress.com/2015/02/21/enjaular-usuarios-en-linux/ (lihtne viis)
Palju parem ja turvalisem on kogu failisüsteemi krüptimine.
Järgmise Linuxi turvalisuse õpetuse jaoks võtan seda arvesse: D.
Samuti oleks hea rääkida tuuma karastamisest sysctl kaudu, juhusliku hunniku ja Exec-Shieldi aktiveerimisest seda toetavates tuumades, juurdepääsu võimaldamisele dmesg-le ja / proc-failisüsteemile, auditidemoni käivitamisele, TCP-kaitse lubamisele SYN, piira juurdepääsu / dev / mem-ile, keelake TCP / IP-pinu valikud, mis võivad olla ohtlikud või kahjustada süsteemi turvalisust (ümbersuunamine, kaja, allikate marsruutimine), kasutage tugevate paroolide genereerimiseks kasutajatele pam_cracklib, MAC-süsteemi nagu Tomoyo, AppArmor ja SELinux kasutamine.
väga kasulik !!!! just see, mida ma otsisin, aitäh 🙂
Olete oodatud sõber :).
Apache'i kasutamisel pole valus lisada robotite vältimiseks reegleid mod_rewrite-iga. Väga kasulik
http://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
ja nginxi jaoks on olemas mõni trikk või konfiguratsioon?
Debian 8-s on failil / etc / ssh / sshd_config juba aktiivne protokoll 2 ja funktsioon PermitRootLogin on paroolita suvandiga (juurte saab sisestada ainult autentimisvõtmega ja privaatvõtmega arvutist)
Debian 8 tulemüüri pd on saabunud, mis jätab selle väikeseks ufw-le
Kas olete fermi näinud? Mulle meeldib, kuidas reeglid on määratletud.
http://ferm.foo-projects.org/download/examples/webserver.ferm
Mul on hea meel, et Debian 8 kasutab tulemüüri, kuna see on väga väga väga hea ...
Hoiduge fail2banist, et ründaja toodab kohaliku arvuti ip-ga pakette ja muudab DOS-i väga lihtsaks.
Mees, kohaliku arvuti IP ja loopback IP on Fail2bani loendist välja jäetud.
Kui ei, siis võiks meil olla valepositiivseid tulemusi.
Head ja väga tõhusad soovitused ... Loomulikult hõlmab see serverikeskkonnas ja kui me veebisaiti majutame, siis täiendavaid samme ... Praegu haldame projekti JackTheStripper, mis pole midagi muud kui bash-skript, mis valmistab ette ja turvab GNU / Linuxiga serveri järgides veebirakenduste parimaid turvatavasid ... projekti saate teada aadressilt http://www.jsitech.com/jackthestripper ....
Mõnus skript, kuigi mulle meeldib hoida kernel.randomize_va_space = 2 väärtust
Hea on see, et enne selle käivitamist saate seda veidi oma vajaduste järgi muuta ..... Tere ...
Tere, muidugi käsitleb minu postitus kindlustatud baasi ja igaüks peab ennast enam-vähem kaitsma, olenevalt teenustele, mille ta on oma süsteemidesse installinud, näiteks LAMP või FTP, SFTP, BIND ja pikk jne:) ...
Järgmises turvalisuse postituses käsitlen neid probleeme.
Täname positiivse tagasiside eest :).
@petercheco, teie juhendid on suurepärased, see oleks hea FreeeBSD-süsteemi krüptimisjuhend, ma ei tea, millal teete teist osa FreeBSD-st, töölauade konfigureerimisest ja kohandamisest, tulemüürist, traadita võrgu loomisest ja konfigureerimisest.
Tere sõber,
Olen natuke hõivatud, nagu harvaesinev postitamine näitab, kuid järgmiseks FreeBSD postituseks pean seda silmas.
Tervitus :).
See tasub kommentaarides, mul pole aimugi, millest te räägite, keegi xD
Suurepärane artikkel!
See turvameede tähendab seadmete mis tahes viisil piiramist?
Ei ... Süsteemi tavapärane kasutamine pole üldse piiratud.
Ja naljakas (traagiline) on see, et nagu me just Lenovo masinate puhul nägime, kui BIOS-i püsivara on pahavaraga segatud, pole midagi, mida teete, oluline.
Niikaua kui kasutate tootja eelinstallitud Windowsi ...
viga: pidage meeles, et nad installisid selle bios püsivara, see tähendab, et see algab süsteemiga igal taaskäivitamisel, enne operatsioonisüsteemi, enne deemonite esiteks, ja see ei lase teil selle vastu midagi teha. rünnakuid saab vähe teha, mistõttu on uefi idee põhimõtteliselt hea.
Huvitav artikkel, loen seda täna pärastlõunal tähelepanelikumalt. Aitäh.
Olete oodatud :). Mul on hea meel.
Suurepärane artikkel, lõbustasin ennast kogu pärastlõuna seda lugedes. Hinnatakse aega, mis kulub teie kõigi väga hoolikalt selgitamiseks,
Tervitused Tšiili
Carlos
Tere Carlos,
Tänud :).
Kui näib, et Lenovo masinad on pahavaraga sekkunud, on masinad (sülearvuti-lauaarvuti) alati Windowsiga installitud tootja poolt, arvestades ülaltoodut ... kas postitus ... Petercheco?
Isegi seda kõike tegemata töötab see, kuna pahavara on loodud Windowsi, mitte Linuxi jaoks.
Iptables'ist on puudu palju asju ja nippe, näiteks uimane nmap, nii et kõigist avatud portidest valetatakse, et see on Windowsi arvuti, mis kasutab ttl ja akna suurust, scanlogd, apache mod security, grsec, selinux või midagi sellist. Asendage ftp sftp-ga, piirake X-i pordi iga teenuse IP-ühenduste arvu, et vältida, et enne DDoS-i jätmist nad meid teenusteta jätaksid, samuti blokeerige IP-d, mis saadavad nii palju sekundeid rohkem kui palju UDP-sid.
Teie esitatud näidetega läheks uus kasutaja seda lugedes hulluks ... Kõike ei saa ühte postitusse panna. Ma teen mitu sissekannet :).
Ma saan starditeenuse andmisel siinkohal vea archlinuxis, annan sellele oleku ja see tuleb välja:
sudo systemctl olek fail2ban
● fail2ban.service - teenus Fail2Ban
Laaditud: laaditud (/usr/lib/systemd/system/fail2ban.service; lubatud; hankija eelseade: keelatud)
Aktiivne: ebaõnnestunud (tulemus: alguspiirang) alates R 2015-03-20 01:10:01 CLST; 1 s tagasi
Dokumendid: mees: fail2ban (1)
Protsess: 1695 ExecStart = / usr / bin / fail2ban-client -x start (kood = väljunud, olek = 255)
20. märts 01:10:01 Gundam systemd [1]: Fail2Bani teenuse käivitamine nurjus.
20. märts 01:10:01 Gundam systemd [1]: üksus fail2ban.service sisenes nurjunud olekusse.
20. märts 01:10:01 Gundam systemd [1]: fail2ban.service nurjus.
20. märts 01:10:01 Gundam systemd [1]: start-taotlust korrati fail2bani jaoks liiga kiiresti… jää jaoks
20. märts 01:10:01 Gundam systemd [1]: Fail2Bani teenuse käivitamine nurjus.
20. märts 01:10:01 Gundam systemd [1]: üksus fail2ban.service sisenes nurjunud olekusse.
20. märts 01:10:01 Gundam systemd [1]: fail2ban.service nurjus.
Vihje: mõned read olid ellipsid, täispikkuses kuvamiseks kasutage l.
natuke abi? D:
Tere, kui lubasite fail2bani koos systemctl lubada fail2ban.service ja systemctl käivitage fail2ban.service, on probleem teie tehtud vanglate konfiguratsioonis. Palun kontrollige oma vanglat ja veenduge, et kõik on korras.
tervitused
Peeter Tšehhi
Kõigepealt hea õpetus. Paljud asjad on puudu, kuid olete keskendunud põhitõdedele.
shini-kire, kontrollige oma /var/log/fail2ban.log
Tervitused.
Aitäh @Maykel Franco :).
hea,
fail2ban peaksid nad selle installima koduarvutisse või on see rohkem serverite jaoks ???
Gracias.
Pigem serverite jaoks, kuid kui teil on wifi, kuhu pääsevad rohkem inimesed kui teie, on see hea ...
Tere, sõber, mulle tundub hea turvapostitus Gnu / Linuxi distros lühikese tulekahju osas. Kirjutan seda kommentaari, sest teen seda Ubuntu 14.04 levitamises, teades, et see juhtub juba 15.04-s, on järgmine probleem Sisestan juurena nano /etc/fail2ban/jail.local ja mul pole sshd osas visualiseeringut ning ma salvestan. [Vaikimisi] nimelises osas kommenteerime ja muudame #bantime = 3600 ja
[Sshd] osas tutvustame enable = true, jättes selle järgmiselt:
#lubatud = tõsi
lubatud = tõene
Ei tundu, et sshd-st võiks see olla, sest töötan tänu eelmisele versioonile