Céimeanna chun ár VPS a dhaingniú

Taispeánann an rang teagaisc seo conas Freastalaí Príobháideach Fíorúil (VPS) a ullmhú agus a dhaingniú le Debian GNU / Linux. Sula dtosaíonn tú, glactar le cúpla rud:

  1. Tá leibhéal idirmheánach taithí agat ar GNU / Linux.
  2. Tá VPS ann le haghaidh úsáide pearsanta a bhfuil rochtain againn air trí SSH.
  3. Tá an ipv4 250.250.250.155 tiomnaithe tiomnaithe ag an VPS agus is leis an soláthróir an bloc 250.250.0.0/16. (1)
  4. In ár VPS ní bheidh ach seirbhísí http, https agus ssh cumasaithe againn le haghaidh rochtana ón taobh amuigh.
  5. Ní chumasófar DNS seachtrach ós rud é go ndéantar é de ghnáth i bpainéal ár soláthraí. (2)
  6. Oibreoidh sé mar superuser.

Suiteáil

Mar chéad chéim, déanaimis an freastalaí a nuashonrú agus roinnt pacáistí a shuiteáil a bheidh ag teastáil uainn:

# nuashonrú inniúlachta & uasghrádú sábháilteachta # inniúlacht -RvW shuiteáil dropbear gesftpserver sslh iptables-marthanach ulogd fail2ban nginx-light apache2-utils dnsutils telnet ghostscript poppler-utils zip unzip unrar-free p7zip-full less multitail tee mc

cumraíocht

Anois táimid chun úsáideoir oibre a chruthú. Tá obair mar fhréamh ar fhreastalaí neamhchinnte, mar sin cruthóimid úsáideoir speisialta ar dtús:

oibreoir adduser usermod -aG sudo oibreoir

Cruthaíonn an chéad ordú úsáideoir an oibreora, cuireann an dara ceann leis an ngrúpa é sudo, a ligfidh duit feidhmchláir a reáchtáil mar fhréamh.

Coigeartaigh ceadanna do shárúsáideoirí

Maidir le bheith ag obair go rialta úsáidfimid an t-úsáideoir oibreoir a cruthaíodh roimhe seo, ní mór dúinn na roghanna forghníomhaithe ordaithe a choigeartú mar superuser, a ndéanaimid an t-ordú seo a leanas ina leith:

radharc

Go bunúsach ceadaíonn an t-ordú seo an comhad a mhodhnú / etc / sudoers; inar cheart dúinn na línte seo a áireamh:

Réamhshocruithe env_reset, timestamp_timeout = 0% sudo ALL = (GACH: GACH) GACH

Sa chéad líne cuirtear an rogha leis na luachanna réamhshocraithe stampa ama_am istigh a ligeann duit an t-am éaga (i nóiméid) den phasfhocal a shocrú nuair a dhéantar an t-ordú sudo a fhorghníomhú. Is é 5 an réamhshocrú, ach uaireanta bíonn sé sin neamhshábháilte ar dhá chúis:

  1. Má fhágann muid ár ríomhaire logáilte isteach de thaisme sula rachaidh an focal faire in éag, d’fhéadfadh duine ordú a fhorghníomhú mar fhréamh gan aon srianta.
  2. Más trí aineolas a fhorghníomhaímid feidhmchlár nó script ina bhfuil cód mailíseach sula rachaidh an focal faire in éag, d’fhéadfadh rochtain a bheith ag an bhfeidhmchlár ar ár gcóras mar fheitheoir, gan ár dtoiliú sainráite.

Mar sin chun rioscaí a sheachaint, tá an luach socraithe againn go nialas, is é sin, gach uair a dhéantar an t-ordú sudo a fhorghníomhú, caithfear an focal faire a iontráil. Má shocraítear luach diúltach mar -1, is é an éifeacht nach rachaidh an focal faire in éag riamh, rud a thabharfadh toradh contrártha don rud a theastaíonn uainn.

Soiléiríonn an dara líne gur féidir leis an ngrúpa sudo aon ordú a fhorghníomhú ar aon ríomhaire, agus is é sin an rud is gnách, cé gur féidir é a choigeartú. (3) Tá daoine ann a chuir an líne mar a leanas chun áise chun nach gcaithfidh tú an focal faire a chlóscríobh:

% sudo ALL = (GACH: GACH) NOPASSWD: GACH

Mar sin féin, mar a mhíníomar roimhe seo tá sé riosca, agus mar sin ní mholtar é.

Díchumasaigh atosú

Ar chúiseanna slándála, déanfaimid an atosú a dhíchumasú freisin agus an teaglaim eochair á úsáid Ctrl + Alt + Del, nach mór dúinn an líne seo a chur leis sa chomhad / etc / inittab:

ca: 12345: ctrlaltdel: / bin / macalla "Tá Ctrl + Alt + Del díchumasaithe."

Cuir DropBear in ionad OpenSSH

Tagann an chuid is mó de VPS le OpenSSH suiteáilte, rud atá an-úsáideach cinnte, ach mura gá dúinn feidhmiúlacht OpenSSH go léir a shaothrú, tá roghanna níos éadroime ann do VPS, mar shampla Béaróg, atá de ghnáth leordhóthanach le húsáid go rialta. Míbhuntáiste a bhaineann leis an bhfeidhmchlár seo, áfach, ná nach bhfuil freastalaí comhtháite SFTP aige, agus is é sin an fáth gur shuiteáil muid an pacáiste ag an tús freastalaí gesftp.

Chun Dropbear a chumrú, déanfaimid an comhad a mhodhnú / etc / default / dropbear ionas go mbeidh an dá líne seo ann:

NO_START = 0 DROPBEAR_EXTRA_ARGS = "- w -p 127.0.0.1:22 -I 1200 -m"

Cumasaíonn an chéad líne an tseirbhís go simplí, agus déanann an dara ceann roinnt rudaí:

  1. Seachain rochtain fhréamh.
  2. Cuireann sé ar an tseirbhís éisteacht ar chalafort 22 den chomhéadan áitiúil (míneoimid cén fáth níos déanaí).
  3. Socraigh an t-am feithimh (20 nóiméad).

SSLH

Tá aithne mhaith ar Phort 22 (SSH) agus go ginearálta tá sé ar cheann de na chéad chinn a dhéanann hackers iarracht briseadh, mar sin úsáidfimid calafort 443 (SSL) ina ionad. Tarlaíonn sé go n-úsáidtear an calafort seo chun brabhsáil slán a dhéanamh ar HTTPS.

Ar an gcúis seo, úsáidfimid an pacáiste sslh, nach bhfuil ann ach ilphléacsóir a dhéanann anailís ar na paicéid a shroicheann calafort 443, agus a théann go hinmheánach chuig seirbhís amháin nó seirbhís eile ag brath ar SSH nó SSL an cineál tráchta.

Ní féidir le SSLH éisteacht ar chomhéadan ina bhfuil seirbhís eile ag éisteacht cheana, agus sin an fáth gur thugamar ar Dropbear éisteacht ar an gcomhéadan áitiúil roimhe seo.

Anois is é atá le déanamh againn ná a chur in iúl don sslh an comhéadan agus an calafort trínar cheart dó éisteacht agus cá háit na paicéid a atreorú ag brath ar an gcineál seirbhíse, agus chuige seo déanfaimid an comhad cumraíochta a mhodhnú / etc / default / sslh:

DAEMON = / usr / sbin / sslh DAEMON_OPTS = "- úsáideoir sslh --listen 250.250.250.155:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile / var / run / sslh / sslh. pid "RUN = sea

Faoi dheireadh, déanaimid na seirbhísí a atosú:

stad ssh seirbhíse && seirbhís dropbear start && service sslh atosú

Tar éis an ordaithe roimhe seo, is dócha go gcuirfear isteach ar ár seisiún slán, agus sa chás sin is leor logáil isteach arís, ach an uair seo leis an úsáideoir oibre agus calafort 443. a úsáid mura gcuirtear isteach ar an seisiún, moltar é a dhúnadh agus tosú arís. leis na luachanna cuí.

Má oibríonn gach rud i gceart, is féidir linn leanúint ar aghaidh ag obair mar fhréamh agus más mian linn, OpenSSH a dhíshuiteáil:

sudo su - aptitude -r purge openssh-server

Balla Dóiteáin

Is é an chéad rud eile a dhéanfaimid na logaí a scaradh ón mballa dóiteáin isteach sa chomhad ar leithligh /var/log/firewall.log chun anailís bhreise a éascú, agus sin an fáth gur shuiteáil muid an pacáiste ulogd ag am tosaithe. Chuige seo déanfaimid an comhad a chur in eagar /etc/logd.conf chun an chuid ábhartha a choigeartú:

[LOGEMU] file = "/ var / log / firewall.log" sync = 1

Ar aghaidh, déanfaimid an comhad rothlaithe taifead a mhodhnú / etc / logrotate / ulogd rothlú laethúil a choinneáil (le dáta) agus salvoes comhbhrúite a shábháil san eolaire / var / log / ulog /:

. .gz / var / log / ulog / endscript}

Ansin cruthóimid na rialacha netfilter trí na rudaí seo a leanas a fhorghníomhú:

IPT = $ (a iptables) IPEXT = 250.250.250.155 IPEXTBLK = 250.250.0.0 / 16 IPBCAST = 255.255.255.255 $ IPT -F $ IPT -X $ IPT -Z $ IPT -A INPUT -i lo -j ACCEPT $ IPT - P INPUT DROP $ IPT -P FORWARD DROP $ IPT -P OUTPUT ACCEPT $ IPT -A INPUT -m state --state INVALID -j ULOG --ulog-prefix IN_INVALID $ IPT -A INPUT -p igmp -j ULOG --ulog -prefix IN_IGMP $ IPT -A INPUT -m pkttype - craoladh de chineál pkt -j ULOG --ulog-réimír IN_BCAST $ IPT -A INPUT -m pkttype --pkt-type multicast -j ULOG --ulog-prefix IN_MCAST $ IPT -A FORWARD -j ULOG --ulog-réimír RÉAMHRÁ $ IPT -N ICMP_IN $ IPT -A INPUT!  -i lo -p icmp -j ICMP_IN $ IPT -A ICMP_IN -p icmp -f -j ULOG --ulog-réimír IN_ICMP_FRAGMENTED $ IPT -A ICMP_IN -p icmp -m icmp -m fad!  --length 28: 1322 -j ULOG --ulog-réimír IN_ICMP_INVALIDSIZE $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-above 4 / sec --hashlimit-mode srcip --hashlimit-srcmask 24 - -hashlimit-name icmpflood -j ULOG --ulog-prefix IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-upto 64kb / min --hashlimit-mode srcip --hashlimit-srcmask 24 - hashlimit -ainm icmpattack -j ULOG --ulog-réimír IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m u32!  --u32 "0x4 & 0x3fff = 0x0" -j ULOG --ulog-réimír IN_ICMP_ATTACK $ IPT -A ICMP_IN -p icmp -m icmp!  --icmp-type echo-request -m state --state NEW -j ULOG --ulog-prefix IN_ICMP_INVALID $ IPT -A ICMP_IN -p icmp -m icmp - macalla-iarraidh -ic-cineál -j ULOG --ulog- réimír IN_ICMP $ IPT -A ICMP_IN -p icmp -m icmp - teorainn macalla-iarraidh -m de chineál -icmp --limit 1 / soic --limit-pléasctha 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type macalla-freagra -m teorainn --limit 2 / soic --limit-pléasctha 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp - ceann scríbe cineál -icmp-unreachable -m - teorainn 2 / soic --limit-pléasctha 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp - teorainn ama de chineál -icmp-sáraithe -m --limit 2 / soic --limit-pléasctha 4 -j ACCEPT $ Teorainn IPT -A ICMP_IN -p icmp -m icmp - cineál paraiméadar-fadhb -m -ic - cineál 2 / soic --limit-pléasctha 4 -j ACCEPT $ IPT -A ICMP_IN -j RETURN $ IPT -N UDP_IN $ IPT -A INPUT!  -i lo -p udp -j UDP_IN $ IPT -A UDP_IN!  -i lo!  -p udp -f -j ULOG --ulog-réimír IN_UDP_FRAGMENTED $ IPT -A UDP_IN -p udp -m udp --sport 53 -m fad!  --length 28: 576 -j ULOG --ulog-réimír IN_UDP_DNS_INVALIDSIZE $ IPT -A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j ULOG --ulog-prefix IN_UDP_DNSREQUEST $ IPT - A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j REJECT --reject-with icmp-port-unreachable $ IPT -A UDP_IN -p udp -m udp!  --sport 53!  -s $ IPEXTBLK!  -d $ IPBCAST -m state --state NEW -j ULOG --ulog-prefix IN_UDP $ IPT -A UDP_IN -p udp -m udp -m state --state ESTABLISHED, RELATED -j ACCEPT $ IPT -A UDP_IN -j TUAIRISC $ IPT -N TCP_IN $ IPT -A INPUT!  -i lo -p tcp -j TCP_IN $ IPT -A TCP_IN!  -i lo!  -p tcp -f -j ULOG --ulog-réimír IN_TCP_FRAGMENTED $ IPT -A TCP_IN -p tcp -m tcp --sport 53 -m state --state ESTABLISHED, RELATED -m length!  --length 513: 1500 -j ULOG --ulog-réimír IN_TCP_DNS_INVALIDSIZE $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m state --state NEW -j ULOG --ulog-prefix IN_TCP_DNS $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable $ IPT -A TCP_IN -p tcp -m tcp -m multiport!  --dports 80,443 -m state --state NEW -j ULOG --ulog-prefix IN_TCP $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -m hashlimit - hashlimit-upto 4 / sec --hashlimit-burst 16 --hashlimit-mode srcip --hashlimit-name navreq -j ACCEPT $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state - luaigh ESTABLISHED -m connlimit!  --connlimit-thuas 16 -j ACCEPT $ IPT -A TCP_IN -p tcp -m tcp -m multiport! 

Leis an gcumraíocht roimhe seo, ba cheart ár VPS a fháil go réasúnta, ach más mian linn is féidir linn beagán níos mó a dhaingniú, ar féidir linn roinnt rialacha níos airde a úsáid ina leith.

Ní cheadaíonn gach VPS modúil bhreise a shuiteáil le haghaidh netfilter, ach tá ceann an-úsáideach PSD, a ligeann duit scananna calafoirt a sheachaint. Ar an drochuair, níl an modúl seo comhtháite le netfilter de réir réamhshocraithe, mar sin is gá pacáistí áirithe a shuiteáil agus an modúl a thógáil ansin:

inniúlacht -RvW suiteáil iptables-dev xtables-addons-source modúl-cúntóir modúl-cúntóir --verbose --text-mode auto-install xtables-addons-source

Nuair a bheidh an méid thuas déanta, is féidir linn riail mar seo a chur leis:

iptables -A INPUT -m psd --psd-weight-stairs 15 --psd-moill-tairseach 2000 --psd-lo-port-weight 3 --psd-hi-port-weight 1 -j ULOG --ulog- réimír IN_PORTSCAN

Ciallaíonn an riail roimhe seo go bunúsach go gcruthóimid cuntar a mhéadóidh 3 gach uair a dhéantar iarracht rochtain a fháil ar chalafort níos ísle ná 1024 agus faoi 1 gach uair a dhéantar iarracht rochtain a fháil ar chalafort níos airde ná 1023, agus nuair a bheidh an cuntar seo ann a shroicheann 15 i dtréimhse níos lú ná 20 soicind, clárófar na pacáistí trí úlog mar iarracht ar phortcan. D’fhéadfaí na paicéid a chaitheamh i leataobh ag an am céanna, ach sa chás seo tá rún againn iad a úsáid fail2ban, a dhéanfaimid a chumrú níos déanaí.

Nuair a chruthaítear na rialacha, ní mór dúinn réamhchúraimí áirithe a ghlacadh chun iad a dhéanamh marthanach, ar shlí eile caillfimid iad agus an freastalaí á atosú. Tá bealaí éagsúla ann chun é seo a chur i gcrích; Sa rang teagaisc seo úsáidfimid an pacáiste iptables-marthanach a shuiteáil muid ag an tús, a stórálann na rialacha ann /etc/iptables/rules.v4 y /etc/iptables/rules.v6 le haghaidh ipv6.

iptables-save> /etc/iptables/rules.v4

Déanta na fírinne, cé nach bhfuil úsáid ipv6 i gCúba forleathan fós, d’fhéadfaimis roinnt rialacha bunúsacha a chruthú:

IPT = $ (a ip6tables) $ IPT -P INPUT DROP $ IPT -P FORWARD DROP $ IPT -P OUTPUT ACCEPT $ IPT -A INPUT -i lo -j ACCEPT $ IPT -A INPUT! -i lo -m state --state ESTABLISHED, RELATED -j ACCEPT unset IPT

Is féidir na rialacha seo a dhéanamh leanúnach freisin:

ip6tables-save> /etc/iptables/rules.v6

Faoi dheireadh, ar mhaithe le slándáil níos mó, glanaimid clárlann an bhalla dóiteáin agus déanaimid na seirbhísí a atosú:

macalla -n> /var/log/firewall.log seirbhís atosú logrotate seirbhís atosú ulogd seirbhís atosú iptables-marthanach atosú

Nginx

Úsáidfimid Nginx mar fhreastalaí gréasáin, mar is gnách go mbíonn méid laghdaithe RAM ag VPSanna i gcomparáid le fíorfhreastalaí, mar sin de ghnáth bíonn sé áisiúil rud éigin níos éadroime a bheith agat ná Apache.

Sula ndéanfar Nginx a chumrú, cruthóimid deimhniú (gan pasfhocal) le húsáid thar HTTPS:

cd / etc / nginx openssl genrsa -des3 -out cert.key 4096 cp -v cert.key cert.key.original openssl req -new -key cert.key -out cert.csr openssl rsa -in cert.key.original - amach cert.key openssl x509 -req -days 365 -in cert.csr -signkey cert.key -out cert.crt

Nuair a bheidh sé sin déanta, cruthóimid comhad pasfhocal don úsáideoir "elusuario":

htpasswd -c .htpasswd an úsáideora

Ar aghaidh, déanfaimid an comhad a mhodhnú / etc / nginx / sites-available / default chun na sainroghanna réamhshocraithe láithreáin a shocrú. D’fhéadfadh sé breathnú mar seo:

freastalaí {server_name localhost; innéacs index.html index.htm default.html default.htm; root / var / www; suíomh / {# socraigh ord an fhíoraithe agus an leathanach le luchtú, mura bhfaightear an URI try_files $ uri $ uri / /index.html; }} freastalaí {éist 127.0.0.1:443; server_name localhost; innéacs index.html index.htm default.html default.htm; root / var / www; ssl ar; ssl_certificate cert.crt; ssl_certificate_key cert.key; ssl_session_timeout 5m; # Cumasaigh HTTPS ach amháin thar TLS (níos sláine ná SSL) ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # tabhair tosaíocht do sifir ard-neart [HIGH], # bog sifir meán-neart [MEDIUM] go dtí deireadh an liosta, # ciphers neart íseal-neart [LOW] (40 agus 56 giotán) # díchumasaigh sifir le halgartaim onnmhairiúcháin [ EXP] # ciphers null a dhíchumasú [eNULL], gan fíordheimhniú [aNULL], SSL (leaganacha 2 agus 3) agus DSS (ní cheadaíonn ach eochracha suas le 1024 giotán) ssl_ciphers HIGH: + MEDIUM :! LOW :! EXP :! AULL :! eNULL :! SSLv3 :! SSLv2 :! DSS; # Is fearr leat modhanna criptithe an fhreastalaí (de réir réamhshocraithe úsáidtear na cliaint) ssl_prefer_server_ciphers ar; location / {# fíordheimhniú a chumasú auth_basic "Logáil Isteach"; auth_basic_user_file /etc/nginx/.htpasswd; # socraigh an t-ordú fíoraithe agus an cód leathanaigh le luchtú, mura bhfaightear an URI try_files $ uri $ uri / = 404; # innéacs a chruthú d'úsáideoirí fíordheimhnithe autoindex ar; autoindex_exact_size as; autoindex_localtime ar; }}

Seiceálaimid go bhfuil an chumraíocht ceart:

nginx -t

Faoi dheireadh, déanaimid an tseirbhís a atosú:

athsheoladh nginx seirbhíse

Fail2Ban

Sula dtosaímid ar Fail2Ban a chumrú, chun slándáil níos fearr a dhéanamh stadfaimid an tseirbhís agus glanann muid an chlárlann:

fail2ban-cliant stad macalla -n> /var/log/fail2ban.log

Ar aghaidh, cruthaímid an comhad cumraíochta /etc/fail2ban/jail.local leis an ábhar saincheaptha seo a leanas:

# Comhad cumraíochta saincheaptha /etc/fail2ban/jail.local # [DEFAULT] findtime = 43200; 12 uair an chloig bantime = 86400; Uasmhéid 1 lá = 3; tiocfaidh toirmeasc i bhfeidhm tar éis an 4ú iarracht [ssh] cumasaithe = bréagach [nginx-auth] cumasaithe = fíor-scagaire = gníomh nginx-auth = iptables-multiport [name = NoAuthFailures, port = "http, https"] logpath = / var / log / nginx * / * earráid * .log [nginx-badbots] cumasaithe = fíor scagaire = gníomh apache-badbots = iptables-multiport [name = BadBots, port = "http, https"] logpath = / var / log / nginx * bantime /*access*.log = 604800; 1 seachtain maxretry = 0 [nginx-login] cumasaithe = fíor-scagaire = nginx-login action = iptables-multiport [name = NoLoginFailures, port = "http, https"] logpath = / var / log / nginx * / * rochtain *. bantime log = 1800; 30 nóiméad [nginx-noscript] cumasaithe = gníomh fíor = iptables-multiport [name = NoScript, port = "http, https"] filter = nginx-noscript logpath = /var/log/nginx*/*access*.log maxretry = 0 [nginx-proxy] cumasaithe = gníomh fíor = iptables-multiport [name = NoProxy, port = "http, https"] scagaire = nginx-proxy logpath = /var/log/nginx*/*access*.log bantime = 604800 ; Maxretry 1 seachtaine = 0 [balla dóiteáin] cumasaithe = gníomh fíor = iptables-multiport [name = Firewall] scagaire = balla dóiteáin logpath = /var/log/firewall.log maxretry = 0

Nuair a dhéantar é seo, cruthaímid san eolaire /etc/fail2ban/filters.d/ na comhaid seo a leanas:

# /etc/fail2ban/filter.d/nginx-auth.conf # Scagaire Auth # Bloic IPanna nach dteipeann orthu a fhíordheimhniú trí fhíordheimhniú bunúsach # [Sainmhíniú] failregex = níor soláthraíodh aon úsáideoir / pasfhocal le haghaidh fíordheimhnithe bunúsach. * cliant: níor aimsíodh * úsáideoir. * cliant: úsáideoir. * neamhréir pasfhocal. * cliant: neamhairdregex =
# /etc/fail2ban/filter.d/nginx-login.conf # Scagaire logála isteach # Bloic IPanna nach dteipeann orthu a fhíordheimhniú trí logáil isteach feidhmchlár gréasáin a úsáid # Logáil isteach scanadh le haghaidh HTTP 200 + POST / session => theip ar logáil isteach # [Sainmhíniú ] failregex = ^ -. * POST / seisiúin HTTP / 1 \ .. "200 neamhairdregex =
# /etc/fail2ban/filter.d/nginx-noscript.conf # Scagaire noscript # Bloc IPanna ag iarraidh scripteanna mar .php, .pl, .exe agus scripteanna greannmhar eile a fhorghníomhú. # Meaitseálacha eg # 192.168.1.1 - - "GET /something.php # [Sainmhíniú] failregex = ^ -. * GET. * (\. Php | \ .asp | \ .exe | \ .pl | \ .cgi | \ scgi) ignoreregex =
# /etc/fail2ban/filter.d/proxy.conf # Scagaire seachfhreastalaí # Bloc IPanna ag iarraidh an freastalaí a úsáid mar seachfhreastalaí. # Meaitseálacha eg # 192.168.1.1 - - "GET http://www.something.com/ # [Sainmhíniú] failregex = ^ -. * GET http. * Ignoreregex =
# /etc/fail2ban/filter.d/firewall.conf # Scagaire balla dóiteáin # [Sainmhíniú] failregex = ^. * IN_ (INVALID | PORTSCAN | UDP | TCP |). * SRC = . * $ neamhairdregex =

Faoi dheireadh, cuirimid tús leis an tseirbhís agus déanaimid an chumraíocht a luchtú:

athlódáil load2ban-service -b fail2ban-client

Fíorú

Mar chéim dheiridh, is féidir linn féachaint ar na taifid le eireaball -f o multitail -leanúint ar fad. Déanta na fírinne, tugann an feidhmchlár deireanach seo an buntáiste go gceadaíonn sé duit comhaid iolracha a fheiceáil ag an am céanna agus soláthraíonn sé béim bhunúsach ar chomhréir.

Mura bhfuil cuntas ríomhphoist cumraithe sa VPS, moltar teachtaireacht rabhaidh atá le feiceáil agus muid ag tosú multitail a dhíchumasú, agus déanfaimid an t-ordú seo a leanas a fhorghníomhú:

macalla "check_mail: 0"> ~ / .multitailrc

Déanta na fírinne, d’fhéadfaimis ailias (4) a dhéanamh chun na logaí a fheiceáil go tapa le hordú gairid, mar shampla, "flog":

alias flog = 'multitail --follow-all /var/log/firewall.log /var/log/fail2ban.log'

1) Is luachanna bréige iad seo.
2) Is furasta seirbhísí eile a chumasú nuair a thuigeann tú conas a oibríonn siad.
3) Le haghaidh tuilleadh sonraí, rith sudoers fear.
4) D’fhéadfaí rogha a chur le comhad ~ / .bash_aliases


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

6 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   msx a dúirt

    Tá roinnt rudaí suimiúla ann, +1

  2.   Yukitru a dúirt

    @Hugo an líne seo sa chumraíocht:

    ssl_protocols SSLv3 TLSv1;

    Thabharfainn an SSLv3 as é toisc nach bhfuil an prótacal sin slán a thuilleadh, fiú amháin i Debian Jessie, tá go leor seirbhísí cumraithe chun an prótacal sin a úsáid ar an gcúis sin.

    Eolas ar an ábhar anseo:

    https://www.linode.com/docs/security/security-patches/disabling-sslv3-for-poodle
    http://disablessl3.com/

    1.    Hugo a dúirt

      Níorbh é an smaoineamh i ndáiríre na príomhsheirbhísí a thairiscint thar HTTPS, ach míniú a thabhairt ar conas port 443 a úsáid le haghaidh SSH gan an fhéidearthacht é a úsáid le haghaidh HTTPS a chailleadh más gá, ach buíochas as an rabhadh.

      Ar aon chaoi tá an t-alt nuashonraithe agam chun an chumraíocht nginx a mhodhnú beagán agus go teagmhasach tá roinnt tráchtanna ann chun rudaí a shoiléiriú beagán níos mó leis seo de na meicníochtaí criptithe, agus chun roinnt mionearráidí a shocrú.

  3.   Daniel PZ a dúirt

    Go raibh míle maith agat as an rang teagaisc iontach seo, anois cuirfidh mé i bhfeidhm é! : D, Coinnigh suas é ó Linux, cuireann tú iontas orm i gcónaí, Beannachtaí ó Pheiriú.

  4.   daingin a dúirt

    Go raibh míle maith agat as roinnt.

  5.   Fernando a dúirt

    treoir an-mhaith agus tagann sé ó phéarlaí anois gur thosaigh mé sa bhlag seo ach níos mó fós anois go bhfuilim ar tí mo chéad vps a chur suas agus fós le go leor fadhbanna ach thóg an t-alt seo mé as go leor amhras, buíochas agus beannacht