Maksimize sekirite sou GNU / Linux

Bonjou zanmi soti nan FromLinux, sa ki te pwomèt se dèt ak isit la se yon pòs soti nan ki jan yo maksimize pwoteksyon an nan sistèm Linux epi rete konsa san danje soti nan entru nan adisyon a pwoteje enfòmasyon ki sou serveurs ou, PC a oswa laptops !!!!

Kòmanse

Fail2ban: se yon aplikasyon ki ekri nan Python pou anpeche entrizyon nan yon sistèm, ki aji pa penalize oswa bloke koneksyon aleka ki eseye aksè fòs brital.

Enstalasyon:

Fedora, RHEL, CentOS:

yum install fail2ban

Debian, Ubuntu:

apt-get install fail2ban

Anviwònman:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local nano /etc/fail2ban/jail.local

Nan pati ki rele [DEFAULT] nou kòmantè ak modifye #bantime = 3600 kite li tankou sa a:

#bantime = 3600 bantime = 604800

Nan pati nan [sshd] nou prezante pèmèt = vre kite li tankou sa a:

#enabled = vre pèmèt = vre

Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X

Nou kòmanse sèvis la:

Fedora, RHEL, CentOS:

systemctl pèmèt fail2ban.service systemctl kòmanse fail2ban.service

Debian, Ubuntu:

sèvis fail2ban kòmanse

Refize aksè rasin lè l sèvi avèk ssh:

Pou pwoteje machin nou an nou pral refize ssh nan itilizatè rasin lan. Pou fè sa nou edite dosye / etc / ssh / sshd_config jan sa a:

cp sshd_config sshd_config.bck nano / etc / ssh / sshd_config

Nou kòmantè ak chanjman

# Pwotokòl 2 Pwotokòl 2

Nou kòmantè ak chanjman

#PermitRootLogin wi PermitRootLogin non

Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X

Nou kòmanse sèvis la:

Fedora, RHEL, CentOS:

systemctl pèmèt sshd.service systemctl kòmanse sshd.service

Debian, Ubuntu:

sèvis sshd kòmanse

Refize aksè nan yon sèvè ssh lè l sèvi avèk modpas ak pèmèt ssh sèlman ak kle RSA

Si nou vle konekte ak PC1 ak Server1, premye bagay nou dwe fè se jenere kle nou sou PC1. Avèk itilizatè nou an epi san rasin sou PC1 nou egzekite:

ssh-keygen -t rsa -b 8192 (sa a jenere yon kle plis pase sekirite depi kle soti nan 1024 a 2048 yo nòmalman itilize)

Yon fwa nou gen modpas nou, nou Upload li nan Server1:

ssh-copy-id itilizatè @ server_ip

Yon fwa sa a fè, nou pral konekte nan Server1 nou yo ak modifye nano / elatriye / ssh / sshd_config dosye a ak otorizasyon rasin:

ssh itilizatè @ Server1 nano / elatriye / ssh / sshd_config

Nou chanje liy lan ki di #PasswordAuthentication wi a sa a:

#PasswordAuthentication wi
PasswordAuthentication pa

Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X

Nou rekòmanse sèvis la ssh:

Fedora, RHEL, CentOS:

systemctl rekòmanse sshd.service

Debian, Ubuntu:

sèvis sshd rekòmanse

Chanje ssh pò tande

Yon fwa ankò nou edite / elatriye / ssh / sshd_config ak nan pati a refere a pò a nou kite li tankou sa a:

# Port 22 Port 2000 (oswa nenpòt lòt nimewo ki pi gran pase 2000. Nan egzanp nou yo nou pral sèvi ak sa a.)

Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X

Nou rekòmanse sèvis la ssh:

Fedora, RHEL, CentOS:

systemctl rekòmanse sshd.service

Debian, Ubuntu:

sèvis sshd rekòmanse

Si yo itilize fail2ban li nesesè chanje konfigirasyon an konsènan sshd ajiste pò a.

nano /etc/fail2ban/jail.local

[sshd]
port    = ssh, 2000

[sshd-ddos]
port    = ssh, 2000

[dropbear]
port    = ssh, 2000

[selinux-ssh]
port    = ssh, 2000

Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X

Nou renouvle sèvis la:

Fedora, RHEL, CentOS:

systemctl rekòmanse fail2ban.service

Debian, Ubuntu:

sèvis fail2ban rekòmanse

Firewall

Fedora, RHEL, CentOS:

Selinux ak Iptables yo aktive pa default sou sistèm sa yo e mwen rekòmande pou ou kontinye fason sa a. Ki jan yo louvri yon pò ak iptables? Ann wè ki jan yo louvri pò a nouvo 2000 nan pò a ssh ke nou chanje deja:

Louvri:

nano / elatriye / sysconfig / iptables

epi nou modifye liy lan refere li a default ssh pò a 22 epi kite li tankou sa a:

# -YON ENPUTT -m eta - eta NOUVO -m tcp -p tcp --port 22 -j AKSEPTE -A INPUT -p tcp -m leta - leta NEW -m tcp --port 2000 -j AKSEPTE

Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X

Nou rekòmanse sèvis la:

systemctl rekòmanse iptables

Debian, Ubuntu:

Nan Debian oswa Ubuntu ak dérivés nou gen yon firewall UFW ki pral fè lavi nou fasil menm jan li jere Netfilter trè fasil.

Enstalasyon:

apt-jwenn enstale ufw ufw pèmèt

Pou wè estati a nan pò louvri nou egzekite:

ufw estati

Pou louvri yon pò (nan egzanp nou an li pral nouvo ssh pò 2000 la):

ufw pèmèt 2000

Refize yon pò (nan ka nou an li pral pò a default 22 nan ssh):

ufw refize 22 ufw efase refize 22

Ak zanmi pare. Fason sa a yo pral kenbe machin ou an sekirite. Pa bliye fè kòmantè epi jiska pwochen fwa: D.


Kontni an nan atik la respekte prensip nou yo nan etik editoryal. Pou rapòte yon erè klike sou isit la.

41 kòmantè, kite ou

Kite kòmantè ou

Adrès imèl ou pa pral dwe pibliye.

*

*

  1. Responsab pou done yo: Miguel Ángel Gatón
  2. Objektif done yo: Kontwòl SPAM, jesyon kòmantè.
  3. Lejitimasyon: konsantman ou
  4. Kominikasyon nan done yo: done yo pa pral kominike bay twazyèm pati eksepte pa obligasyon legal.
  5. Done depo: baz done anime pa rezo Occentus (Inyon Ewopeyen)
  6. Dwa: Nenpòt ki lè ou ka limite, refè ak efase enfòmasyon ou yo.

  1.   pechè diro

    ak yon sistèm chifreman tankou: https://www.dyne.org/software/tomb/

    1.    pechè diro
    2.    yukiteru diro

      Li pi bon e pi an sekirite pou ankripte tout sistèm dosye a.

    3.    peterczech diro

      Pou leson patikilye sa a konsènan sekirite nan Linux mwen pral pran l an kont: D.

      1.    yukiteru diro

        Li ta bon tou pou pale sou redi Kernel la nan sysctl, aktive pil la o aza ak Exec-Shield nan nwayo yo ki sipòte li, pèmèt aksè nan dmesg ak / procsystemsystem la, kouri yon dyam kontwòl kontab, pèmèt TCP pwoteksyon SYN, restriksyon aksè a / dev / mem, enfim tchp / IP opsyon chemine ki ka danjere oswa danjere sistèm lan (redireksyon, eko, sous routage), sèvi ak pam_cracklib pou itilizatè yo jenere modpas fò, enpòtans ki genyen nan itilize nan sistèm MAC tankou Tomoyo, AppArmor ak SELinux.

  2.   Kuk diro

    trè itil !!!! jis sa mwen tap chache mèsi 🙂

    1.    peterczech diro

      Ou akeyi zanmi :).

  3.   lam zanj lan diro

    Si yo itilize Apache, li pa fè mal yo ajoute règ ak mod_rewrite pou fè pou evite robo. Trè itil

    http://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

    1.    rolo diro

      ak pou nginx èske gen nenpòt Trick oswa konfigirasyon?

  4.   rolo diro

    Nan Debian 8 / etc / ssh / sshd_config dosye a deja gen Pwotokòl 2 aktif ak fonksyon PermitRootLogin la se ak opsyon san yo pa modpas (ou ka sèlman antre nan rasin ak kle a otantifikasyon ak nan òdinatè a ki gen kle prive a)

    pd nan debian 8 firewalld te deja rive ki kite li ti ufw

    1.    dhunter diro

      Eske ou te wè ferm? Mwen renmen jan règleman yo defini.

      http://ferm.foo-projects.org/download/examples/webserver.ferm

    2.    peterczech diro

      Oke, mwen byen kontan Debian 8 itilize firewalld depi li trè trè trè bon ...

  5.   dhunter diro

    Pran prekosyon nou ak fail2ban ke yon atakè fabrike pake ak ip la nan PC lokal la epi fè DOS trè fasil.

    1.    Hery diro

      Monchè, IP lokal PC a ak IP loopback la eskli nan lis Fail2ban.
      Si ou pa, nou ta ka gen fo pozitif.

  6.   Jason soto diro

    Bon ak trè efikas Rekòmandasyon ... Natirèlman, nan anviwònman an sèvè epi si nou ap òganize yon sit entènèt, li enplike etap adisyonèl .... Nou kounye a kenbe yon pwojè ki rele JackTheStripper ki pa gen anyen plis pase yon Script bach ki prepare ak sekirite yon sèvè ak GNU / Linux swiv pratik yo sekirite pi bon, pou aplikasyon pou entènèt ... http://www.jsitech.com/jackthestripper ....

    1.    yukiteru diro

      Nice script byenke mwen renmen kenbe valè a nan kernel.randomize_va_space = 2

      1.    Jason soto diro

        Bon bagay la se ke anvan kouri li, ou ka modifye li yon ti kras nan bezwen ou ..... Yon Hello ...

    2.    peterczech diro

      Bonjou, nan kou pòs mwen kontra avèk yon baz asirans ak chak youn dwe pwoteje tèt li plis oswa mwens depann sou sèvis yo ke li te enstale nan sistèm li yo tankou LAMP oswa ftp, SFTP, BIND ak yon elatriye long ...) ...

      Nan pòs kap vini an sou sekirite mwen pral adrese pwoblèm sa yo.

      Mèsi pou fidbak pozitif la :).

  7.   pwochen diro

    @ Petercheco, gid ou yo ekselan, li ta bon yon gid chifreman pou sistèm FreeeBSD, mwen pa konnen ki lè ou pral fè dezyèm pati a sou FreeBSD, sou konfigirasyon ak personnalisation nan Bureau, sou Firewall, sou kreye ak konfigirasyon yon rezo san fil.

    1.    peterczech diro

      Bonjou zanmi,
      Mwen se yon ti jan okipe jan afiche a raman montre, men mwen pral kenbe sa nan tèt ou pou pwochen pòs FreeBSD la.

      Yon salitasyon :).

  8.   Solrak Rainbowarrior diro

    Sa pote nan kòmantè yo, mwen pa gen okenn lide oswa sa w ap pale de, pèsonn xD
    Gwo atik!

  9.   ksunil diro

    Aksyon sekirite sa a implique limite ekipman an nan kèk fason?

    1.    peterczech diro

      Non ... Itilizasyon nòmal sistèm lan pa limite ditou.

  10.   pechè diro

    Ak bagay la komik (trajik) se ke, menm jan nou jis wè ak Lenovo machin, si firmwèr la bios manipile ak malveyan, pa gen anyen ou fè zafè.

    1.    peterczech diro

      Osi lontan ke ou itilize Windows pre-enstale pa manifakti a ...

      1.    pechè diro

        erè: sonje ke yo enstale li nan firmwèr bios la, se sa ki, li kòmanse ak sistèm lan nan chak rdemare, anvan sistèm nan fonksyone, anvan move lespri yo, premye a tout, epi li pa kite ou fè anyen kont li. ka fèt, ki se poukisa lide uefi a bon nan prensip.

  11.   Pòl diro

    Atik enteresan, mwen pral li l avèk plis atansyon apremidi a Mèsi.

    1.    peterczech diro

      Pa dekwa :). Mwen kontan.

  12.   Carlos Pi bon diro

    Ekselan atik, mwen amize tèt mwen tout apremidi li li. Se tan ou pran yo eksplike tout bagay ak anpil atansyon apresye,

    Bonjou soti nan Chili
    Carlos

    1.    peterczech diro

      Bonjou Carlos,
      Mèsi anpil :).

  13.   briyon diro

    Machin yo Lenovo, si firmwèr la bios sanble ap entèveni ak malveyan, machin yo (Laptop PC-Desktop Odinatè) toujou vini enstale ak Windows pa manifakti a, yo bay pi wo a ... fè post la ... .petercheco?

    1.    yukiteru diro

      Menm san yo pa fè tout bagay sa yo li travay, depi se malveyan a te fè pou Windows, pa Linux.

  14.   SynFlag diro

    Gen anpil bagay ak ke trik nouvèl ki manke nan iptables, tankou tèt vire nmap pou ke nan tout pò yo louvri, kouche ke li se yon PC fenèt lè l sèvi avèk ttl la ak gwosè a fenèt, scanlogd, Apache mod sekirite, grsec, selinux oswa yon bagay tankou sa . Ranplase ftp ak sftp, limite kantite koneksyon pou chak IP nan chak sèvis nan pò X pou evite ke anvan yon DDoS yo kite nou san sèvis, osi byen ke bloke IP yo ki voye plis pase anpil UDP pou anpil segonn.

    1.    peterczech diro

      Avèk egzanp yo ke ou prezante, yon nouvo itilizatè ta vin fou lè li li ... Ou pa ka mete tout bagay nan yon sèl pòs. Mwen pral fè plizyè antre :).

  15.   shini kire diro

    Mwen jwenn yon erè nan archlinux nan pwen sa a lè yo bay sèvis la kòmanse, mwen ba li estati ak sa a soti:
    sudo systemctl sitiyasyon fail2ban
    ● fail2ban.service - Sèvis Fail2Ban
    Chaje: chaje (/usr/lib/systemd/system/fail2ban.service; pèmèt; prereglaj machann: enfim)
    Aktif: echwe (Rezilta: kòmanse-limit) depi Vandredi 2015-03-20 01:10:01 CLST; 1s de sa
    Docs: man: fail2ban (1)
    Pwosesis: 1695 ExecStart = / usr / bin / fail2ban-client -x kòmanse (kòd = sòti, estati = 255)

    20 Mas 01:10:01 Gundam systemd [1]: echwe pou pou kòmanse Fail2Ban Sèvis.
    20 Mas 01:10:01 Gundam systemd [1]: Inite fail2ban.service antre nan eta echwe.
    20 Mas 01:10:01 Gundam systemd [1]: fail2ban.service echwe.
    20 Mas 01:10:01 Gundam systemd [1]: kòmanse demann repete twò vit pou fail2ban ... glas
    20 Mas 01:10:01 Gundam systemd [1]: echwe pou pou kòmanse Fail2Ban Sèvis.
    20 Mas 01:10:01 Gundam systemd [1]: Inite fail2ban.service antre nan eta echwe.
    20 Mas 01:10:01 Gundam systemd [1]: fail2ban.service echwe.
    Men yon tipoul: Gen kèk liy ki te elipsize, sèvi ak -l pou montre an plen.
    kèk èd? D:

    1.    peterczech diro

      Hi, si ou pèmèt fail2ban ak systemctl pèmèt fail2ban.service ak systemctl kòmanse fail2ban.service, pwoblèm lan pral nan konfigirasyon nan prizon ou te fè. Tanpri tcheke prizon ou an epi verifye ke tout bagay anfòm.

      bonjou
      PeterTchèk

      1.    Maykel Franco diro

        Premye a tout leson patikilye bon. Anpil bagay ki manke men ou te konsantre sou Basics yo.

        shini-kire, tcheke /var/log/fail2ban.log ou

        Bonjou.

      2.    peterczech diro

        Mèsi @ Maykel Franco :).

  16.   jony127 diro

    bon,

    fail2ban yo ta dwe enstale li sou yon PC lakay oswa se ke plis pou serveurs ???

    Mèsi poutèt ou.

    1.    peterczech diro

      Olye de sa pou serveurs yo, men si ou se sou yon wifi aksesib a pa plis moun pase ou, li bon ...

  17.   Rodrigo diro

    Bonjou zanmi, mwen panse ke li se yon pòs sekirite bon nan pati a nan yon dife kout nan distribisyon yo Gnu / Linux.Mwen ekri kòmantè sa a paske mwen fè l 'nan yon distribisyon Ubuntu 14.04 konnen ke li se deja nan 15.04, sa k ap pase se pwoblèm sa a mwen antre nano /etc/fail2ban/jail.local kòm rasin e mwen pa gen okenn vizyalizasyon nan pati sshd epi sove Nan pati ki rele [DEFAULT] nou pa kòmante ak modifye #bantime = 3600 ak
    Nan pati nan [sshd] nou prezante pèmèt = vre kite li tankou sa a:
    #enabled = vre
    pèmèt = vre
    Li pa parèt ke nan sshd a ki ta ka paske mwen ap travay vèsyon anvan an mèsi