Hei ystäviä DesdeLinux, mitä luvattiin, on velka ja tässä on postaus aiheesta miten maksimoida Linux-järjestelmien suojaus ja pysy sillä tavalla turvallinen palvelinten, tietokoneiden tai kannettavien tietokoneiden tietojen suojaamisen lisäksi !!!!
Comenzando
Fail2ban: on Pythonissa kirjoitettu sovellus, joka estää tunkeutumisen järjestelmään, joka toimii rankaisemalla tai estämällä raakaa voimaa käyttäviä etäyhteyksiä.
Asennus:
Fedora, RHEL, CentOS:
yum install fail2ban
Debian, Ubuntu:
apt-get install fail2ban
Asetus:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local nano /etc/fail2ban/jail.local
Osassa [OLETUS] poistamme kommentin ja muokkaamme #bantime = 3600 jättäen sen näin:
#bantime = 3600 bantime = 604800
Esitämme [sshd] -osassa enable = true jättämällä sen näin:
#enabled = true käytössä = true
Tallennamme CTRL + O: lla ja suljet CTRL + X: llä
Aloitamme palvelun:
Fedora, RHEL, CentOS:
systemctl ota käyttöön fail2ban.service systemctl käynnistä fail2ban.service
Debian, Ubuntu:
palvelu Fail2ban Start
Estä juurihakemus ssh: llä:
Koneemme suojaamiseksi aiomme estää ssh: n pääkäyttäjän kautta. Tätä varten muokkaamme tiedostoa / etc / ssh / sshd_config seuraavasti:
cp sshd_config sshd_config.bck nano / etc / ssh / sshd_config
Kommentoimme ja muutumme
#Protocol 2 -protokolla 2
Kommentoimme ja muutumme
#PermitRootLogin kyllä PermitRootLogin ei
Tallennamme CTRL + O: lla ja suljet CTRL + X: llä
Aloitamme palvelun:
Fedora, RHEL, CentOS:
systemctl ota käyttöön sshd.service systemctl käynnistä sshd.service
Debian, Ubuntu:
palvelun SSD-aloitus
Estä pääsy ssh-palvelimelle salasanalla ja ssh sallitaan vain RSA-avaimilla
Jos haluamme muodostaa yhteyden PC1: n ja Server1: n välille, meidän on ensin luotava avain PC1: lle. Suoritamme käyttäjän kanssa ja ilman rootia PC1: llä:
ssh-keygen -t rsa -b 8192 (tämä luo enemmän kuin turvallisen avaimen, koska normaalisti käytetään avaimia 1024 - 2048)
Kun meillä on salasanamme, lähetämme sen palvelimelle1:
ssh-copy-id käyttäjä @ palvelin_ip
Kun tämä on tehty, muodostamme yhteyden Server1: ään ja muokkaamme nano / etc / ssh / sshd_config-tiedostoa juurioikeuksilla:
ssh-käyttäjä @ palvelin1 nano / etc / ssh / sshd_config
Muutamme riviä, joka sanoo #PasswordAuthentication kyllä tähän:
#PasswordAuthentication kyllä
Salasanan todennusnumero
Tallennamme CTRL + O: lla ja suljet CTRL + X: llä
Käynnistämme ssh-palvelun uudelleen:
Fedora, RHEL, CentOS:
systemctl käynnistä sshd.service uudelleen
Debian, Ubuntu:
service sshd käynnistyy uudelleen
Vaihda ssh-kuunteluporttia
Jälleen muokkaamme tiedostoa / etc / ssh / sshd_config ja porttiin viittaavassa osassa jätämme sen näin:
# Port 22 Port 2000 (tai mikä tahansa muu luku, joka on suurempi kuin 2000. Esimerkeissämme käytämme tätä.)
Tallennamme CTRL + O: lla ja suljet CTRL + X: llä
Käynnistämme ssh-palvelun uudelleen:
Fedora, RHEL, CentOS:
systemctl käynnistä sshd.service uudelleen
Debian, Ubuntu:
service sshd käynnistyy uudelleen
Jos he käyttävät fail2bania, on tarpeen muuttaa kokoonpanoa sshd: n portin säätämisen suhteen.
nano /etc/fail2ban/jail.local [sshd] port = ssh, 2000 [sshd-ddos] port = ssh, 2000 [dropbear] port = ssh, 2000 [selinux-ssh] port = ssh, 2000
Tallennamme CTRL + O: lla ja suljet CTRL + X: llä
Uudistamme palvelun:
Fedora, RHEL, CentOS:
systemctl Käynnistä fail2ban.service uudelleen
Debian, Ubuntu:
palvelu Fail2ban Käynnistä uudelleen
palomuuri
Fedora, RHEL, CentOS:
Selinux ja Iptables ovat oletusarvoisesti käytössä näissä järjestelmissä, ja suosittelen, että jatkat tätä tapaa. Kuinka avata portti iptablesilla? Katsotaanpa, kuinka avataan aiemmin muutettu ssh-portin uusi portti 2000:
Avata:
nano / etc / sysconfig / iptables
ja muokkaamme riviä, joka viittaa oletusarvoiseen ssh-porttiin 22, ja jätämme sen näin:
# -A TULO -m-tila - osavaltio UUSI -m tcp -p tcp --portti 22 -j HYVÄKSY -A SYÖTTÖ -p tcp -m-tila --tila UUSI -m tcp --portti 2000 -j HYVÄKSY
Tallennamme CTRL + O: lla ja suljet CTRL + X: llä
Käynnistämme palvelun uudelleen:
systemctl Käynnistä iptables uudelleen
Debian, Ubuntu:
Debianissa, Ubuntussa ja johdannaisissa meillä on UFW-palomuuri, joka tekee elämästämme helpon, koska se hallinnoi Netfilteria erittäin helposti.
Asennus:
apt-get install ufw ufw käytössä
Jos haluat nähdä suorittamiemme avoimien porttien tilan:
ufw-tila
Portin avaaminen (esimerkissämme se on uusi ssh-portti 2000):
ufw salli 2000
Portin estäminen (meidän tapauksessamme se on ssh: n oletusportti 22):
ufw deny 22 ufw poista deny 22
Ja valmiita ystäviä. Näin he pitävät koneesi turvassa. Älä unohda kommentoida ja vasta seuraavaan kertaan: D.
ja salausjärjestelmän, kuten: https://www.dyne.org/software/tomb/
Ja myös kotisi häkkikäyttäjät, jos he muodostavat yhteyden tty:
http://olivier.sessink.nl/jailkit/index.html#intro
https://operativoslinux.wordpress.com/2015/02/21/enjaular-usuarios-en-linux/ (helppo tapa)
On paljon parempi ja turvallisempi salata koko tiedostojärjestelmä.
Seuraavassa Linux-tietoturvan opetusohjelmassa otan sen huomioon: D.
Olisi myös hyvä puhua ytimen kovettamisesta sysctl: n avulla, satunnaisen kasan ja Exec-Shieldin aktivoiminen sitä tukevassa ytimessä, pääsyn mahdollistaminen dmesg: ään ja / proc-tiedostojärjestelmään, tarkastusdemonin suorittaminen, TCP-suojauksen SYN: n käyttöönotto , rajoita pääsyä kohteeseen / dev / mem, poista käytöstä TCP / IP-pinovaihtoehdot, jotka voivat olla vaarallisia tai vaarallisia järjestelmälle (uudelleenohjaus, kaiku, lähdereititys), käytä pam_cracklibiä käyttäjille vahvojen salasanojen luomiseen, MAC-järjestelmän käytön merkitystä kuten Tomoyo , AppArmor ja SELinux.
todella hyödyllinen!!!! juuri mitä etsin kiitos 🙂
Olet tervetullut ystävä :).
Jos käytetään apache-ohjelmaa, ei ole haittaa lisätä sääntöjä mod_rewrite-ohjelmalla bottien välttämiseksi. Todella hyödyllinen
http://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
ja onko nginxillä mitään temppua tai kokoonpanoa?
Debian 8: ssa tiedostossa / etc / ssh / sshd_config on jo protokolla 2 aktiivinen ja PermitRootLogin-toiminto on valittuna ilman salasanaa (juuren voi syöttää vain todennusavaimella ja tietokoneelta, jolla on yksityinen avain)
Debian 8 -palomuurin pd on jo saapunut, mikä jättää sen pieneksi ufw: lle
Oletko nähnyt fermiä? Pidän siitä, miten säännöt määritellään.
http://ferm.foo-projects.org/download/examples/webserver.ferm
Olen iloinen siitä, että Debian 8 käyttää palomuuria, koska se on erittäin erittäin hyvä ...
Varo fail2bania, että hyökkääjä valmistaa paketteja paikallisen tietokoneen ip: llä ja tekee DOS: sta erittäin helppoa.
Mies, paikallisen PC: n IP ja loopback-IP suljetaan Fail2ban-luettelosta.
Jos ei, meillä voi olla vääriä positiivisia tuloksia.
Hyvät ja erittäin tehokkaat suositukset ... Tietenkin palvelinympäristössä ja jos ylläpidämme verkkosivustoa, siihen liittyy lisätoimenpiteitä…. Ylläpidämme tällä hetkellä JackTheStripper-nimistä projektia, joka ei ole muuta kuin bash-komentosarja, joka valmistelee ja suojaa palvelimen GNU / Linux: lla noudattaen parhaita tietoturvakäytäntöjä verkkosovelluksille ... projektin tunnet http://www.jsitech.com/jackthestripper ....
Hieno komentosarja, vaikka haluan pitää kernel.randomize_va_space = 2: n arvon
Hyvä asia on, että ennen sen käyttämistä voit muokata sitä hieman tarpeidesi mukaan ..... Hei ...
Hei, tietysti postini käsittelee perusvakuutettuja ja jokaisen on suojattava itsensä enemmän tai vähemmän riippuen palveluista, jotka se on asentanut järjestelmiinsä, kuten LAMP tai FTP, SFTP, BIND ja pitkä jne. :)
Seuraavassa turvallisuusasioissa käsittelen näitä asioita.
Kiitos positiivisesta palautteesta :).
@ Petercheco, oppaasi ovat erinomaiset, se olisi hyvä salausopas FreeeBSD-järjestelmälle, en tiedä milloin aiot tehdä toisen osan FreeBSD: stä, työpöytien kokoonpanosta ja mukauttamisesta, palomuurista, langattoman verkon luomisesta ja määrittämisestä.
Hei ystävä,
Olen vähän kiireinen, kuten harvinainen lähetys osoittaa, mutta pidän sen mielessä seuraavaa FreeBSD-viestiä varten.
Tervehdys :).
Se tasoitettiin kommenteissa, minulla ei ole aavistustakaan tai mitä puhut, kukaan xD
Upea artikkeli!
Tämä turvatoimi merkitsee laitteiden rajoittamista jollain tavalla?
Ei ... Järjestelmän normaalia käyttöä ei ole rajoitettu lainkaan.
Ja hauska (traaginen) asia on se, että kuten juuri näimme Lenovo-koneiden kanssa, jos BIOS-laiteohjelmistoa muutetaan haittaohjelmilla, mikään tekemäsi ei ole merkitystä.
Niin kauan kuin käytät valmistajan esiasentamaa Windowsia ...
virhe: muista, että he asensivat sen BIOS-laiteohjelmistoon, toisin sanoen, se alkaa järjestelmästä ennen kaikkea uudelleenkäynnistyksessä, ennen käyttöjärjestelmää, ennen demoneja, eikä se anna sinun tehdä mitään sitä vastaan. voidaan tehdä, minkä vuoksi uefi-idea on periaatteessa hyvä.
Mielenkiintoinen artikkeli, luen sen tarkemmin tänä iltapäivänä. Kiitos.
Ole hyvä :). Olen iloinen.
Erinomainen artikkeli, viihdytin itseäni koko iltapäivän lukemalla sitä. Arvioidaan aikaa, jonka viette selittämään kaiken erittäin huolellisesti,
Terveisiä Chilestä
Carlos
Hei Carlos,
Kiitos paljon :).
Lenovo-koneet, jos BIOS-laiteohjelmistoon vaikuttaa puuttuvan haittaohjelmien kanssa, valmistaja asentaa koneet (kannettava tietokone-pöytätietokone) aina Windowsin mukana, ottaen huomioon edellä mainitut… tekeekö viesti…. Petercheco?
Jopa tekemättä tätä kaikkea se toimii, koska haittaohjelma on tehty Windowsille, ei Linuxille.
IPptablesista puuttuu monia asioita ja temppuja, kuten huimaava nmap niin, että kaikista avoimista porteista valehdellaan, että se on Windows-tietokone, joka käyttää ttl: tä ja ikkunan kokoa, scanlogd, apache mod security, grsec, selinux tai jotain sellaista. Korvaa ftp sftp: llä, rajoita IP-yhteyksien määrää kutakin palvelua varten X-portissa, jotta vältetään se, että ennen DDoS: ää ne jättävät meidät ilman palveluita, ja estä IP: t, jotka lähettävät enemmän kuin niin paljon UDP: tä niin moneksi sekunniksi.
Esittämiesi esimerkkien avulla uusi käyttäjä hulluisi lukiessaan sitä ... Et voi laittaa kaikkea yhteen viestiin. Teen useita merkintöjä :).
Saan tässä vaiheessa virheen archlinuxissa, kun annan aloituspalvelun, annan sille tilan ja tämä tulee ulos:
sudo systemctl tila fail2ban
● fail2ban.service - Fail2Ban-palvelu
Ladattu: ladattu (/usr/lib/systemd/system/fail2ban.service; käytössä; toimittajan esiasetus: pois käytöstä)
Aktiivinen: epäonnistunut (tulos: aloitusraja) pe 2015-03-20 01:10:01 CLST; 1 s sitten
Docs: mies: fail2ban (1)
Prosessi: 1695 ExecStart = / usr / bin / fail2ban-client -x start (koodi = poistunut, tila = 255)
20. maaliskuuta 01:10:01 Gundam systemd [1]: Fail2Ban-palvelun käynnistäminen epäonnistui.
20. maaliskuuta 01:10:01 Gundam systemd [1]: Yksikkö Fail2ban.service siirtyi epäonnistuneeseen tilaan.
20. maaliskuuta 01:10:01 Gundam systemd [1]: fail2ban.service epäonnistui.
20. maaliskuuta 01:10:01 Gundam systemd [1]: käynnistyspyyntö toistettiin liian nopeasti fail2ban… -jäälle
20. maaliskuuta 01:10:01 Gundam systemd [1]: Fail2Ban-palvelun käynnistäminen epäonnistui.
20. maaliskuuta 01:10:01 Gundam systemd [1]: Yksikkö Fail2ban.service siirtyi epäonnistuneeseen tilaan.
20. maaliskuuta 01:10:01 Gundam systemd [1]: fail2ban.service epäonnistui.
Vihje: Joissakin riveissä oli ellipsisoituja, käytä -l-näytettä kokonaan.
vähän apua? D:
Hei, jos otit fail2ban-toiminnon käyttöön systemctl enable fail2ban.service- ja systemctl start fail2ban.service -ongelmien kanssa, ongelma on tekemissäsi vankiloiden määrityksissä. Tarkista vankilasi ja varmista, että kaikki on kunnossa.
tervehdys
Pietari Tšekki
Ensinnäkin hyvä opetusohjelma. Monet asiat puuttuvat, mutta olet keskittynyt perusasioihin.
shini-kire, tarkista /var/log/fail2ban.log
Tervehdys.
Kiitos @Maykel Franco :).
hyvä,
fail2ban heidän pitäisi asentaa se kotitietokoneelle vai onko se enemmän palvelimille ???
Kiitos.
Pikemminkin palvelimille, mutta jos olet wifi-verkossa, johon pääsee enemmän ihmisiä kuin sinä, se on hyvä ...
Hei ystävä, minusta tuntuu hyvältä turvatekstiltä lyhyen tulipalon osassa Gnu / Linux-distrosissa.Kirjoitan tämän kommentin, koska teen sen Ubuntu 14.04 -jakelussa tietäen, että se tapahtuu jo 15.04: ssä, seuraava ongelma on seuraava ongelma Annan nano /etc/fail2ban/jail.local pääkäyttäjänä, eikä minulla ole visualisointia sshd-osassa. Tallennan osaan, jonka nimi on [OLETUS], kommentoimme ja muokkaamme #bantime = 3600 ja
Esitämme [sshd] -osassa enable = true jättämällä sen näin:
#enabled = totta
käytössä = totta
Ei vaikuta siltä, että sshd voisi johtua siitä, että työskentelen edellisessä versiossa kiitos