Bonjou zanmi soti nan FromLinux, sa ki te pwomèt se dèt ak isit la se yon pòs soti nan ki jan yo maksimize pwoteksyon an nan sistèm Linux epi rete konsa san danje soti nan entru nan adisyon a pwoteje enfòmasyon ki sou serveurs ou, PC a oswa laptops !!!!
Kòmanse
Fail2ban: se yon aplikasyon ki ekri nan Python pou anpeche entrizyon nan yon sistèm, ki aji pa penalize oswa bloke koneksyon aleka ki eseye aksè fòs brital.
Enstalasyon:
Fedora, RHEL, CentOS:
yum install fail2ban
Debian, Ubuntu:
apt-get install fail2ban
Anviwònman:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local nano /etc/fail2ban/jail.local
Nan pati ki rele [DEFAULT] nou kòmantè ak modifye #bantime = 3600 kite li tankou sa a:
#bantime = 3600 bantime = 604800
Nan pati nan [sshd] nou prezante pèmèt = vre kite li tankou sa a:
#enabled = vre pèmèt = vre
Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X
Nou kòmanse sèvis la:
Fedora, RHEL, CentOS:
systemctl pèmèt fail2ban.service systemctl kòmanse fail2ban.service
Debian, Ubuntu:
sèvis fail2ban kòmanse
Refize aksè rasin lè l sèvi avèk ssh:
Pou pwoteje machin nou an nou pral refize ssh nan itilizatè rasin lan. Pou fè sa nou edite dosye / etc / ssh / sshd_config jan sa a:
cp sshd_config sshd_config.bck nano / etc / ssh / sshd_config
Nou kòmantè ak chanjman
# Pwotokòl 2 Pwotokòl 2
Nou kòmantè ak chanjman
#PermitRootLogin wi PermitRootLogin non
Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X
Nou kòmanse sèvis la:
Fedora, RHEL, CentOS:
systemctl pèmèt sshd.service systemctl kòmanse sshd.service
Debian, Ubuntu:
sèvis sshd kòmanse
Refize aksè nan yon sèvè ssh lè l sèvi avèk modpas ak pèmèt ssh sèlman ak kle RSA
Si nou vle konekte ak PC1 ak Server1, premye bagay nou dwe fè se jenere kle nou sou PC1. Avèk itilizatè nou an epi san rasin sou PC1 nou egzekite:
ssh-keygen -t rsa -b 8192 (sa a jenere yon kle plis pase sekirite depi kle soti nan 1024 a 2048 yo nòmalman itilize)
Yon fwa nou gen modpas nou, nou Upload li nan Server1:
ssh-copy-id itilizatè @ server_ip
Yon fwa sa a fè, nou pral konekte nan Server1 nou yo ak modifye nano / elatriye / ssh / sshd_config dosye a ak otorizasyon rasin:
ssh itilizatè @ Server1 nano / elatriye / ssh / sshd_config
Nou chanje liy lan ki di #PasswordAuthentication wi a sa a:
#PasswordAuthentication wi
PasswordAuthentication pa
Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X
Nou rekòmanse sèvis la ssh:
Fedora, RHEL, CentOS:
systemctl rekòmanse sshd.service
Debian, Ubuntu:
sèvis sshd rekòmanse
Chanje ssh pò tande
Yon fwa ankò nou edite / elatriye / ssh / sshd_config ak nan pati a refere a pò a nou kite li tankou sa a:
# Port 22 Port 2000 (oswa nenpòt lòt nimewo ki pi gran pase 2000. Nan egzanp nou yo nou pral sèvi ak sa a.)
Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X
Nou rekòmanse sèvis la ssh:
Fedora, RHEL, CentOS:
systemctl rekòmanse sshd.service
Debian, Ubuntu:
sèvis sshd rekòmanse
Si yo itilize fail2ban li nesesè chanje konfigirasyon an konsènan sshd ajiste pò a.
nano /etc/fail2ban/jail.local [sshd] port = ssh, 2000 [sshd-ddos] port = ssh, 2000 [dropbear] port = ssh, 2000 [selinux-ssh] port = ssh, 2000
Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X
Nou renouvle sèvis la:
Fedora, RHEL, CentOS:
systemctl rekòmanse fail2ban.service
Debian, Ubuntu:
sèvis fail2ban rekòmanse
Firewall
Fedora, RHEL, CentOS:
Selinux ak Iptables yo aktive pa default sou sistèm sa yo e mwen rekòmande pou ou kontinye fason sa a. Ki jan yo louvri yon pò ak iptables? Ann wè ki jan yo louvri pò a nouvo 2000 nan pò a ssh ke nou chanje deja:
Louvri:
nano / elatriye / sysconfig / iptables
epi nou modifye liy lan refere li a default ssh pò a 22 epi kite li tankou sa a:
# -YON ENPUTT -m eta - eta NOUVO -m tcp -p tcp --port 22 -j AKSEPTE -A INPUT -p tcp -m leta - leta NEW -m tcp --port 2000 -j AKSEPTE
Nou ekonomize avèk CTRL + O epi fèmen ak CTRL + X
Nou rekòmanse sèvis la:
systemctl rekòmanse iptables
Debian, Ubuntu:
Nan Debian oswa Ubuntu ak dérivés nou gen yon firewall UFW ki pral fè lavi nou fasil menm jan li jere Netfilter trè fasil.
Enstalasyon:
apt-jwenn enstale ufw ufw pèmèt
Pou wè estati a nan pò louvri nou egzekite:
ufw estati
Pou louvri yon pò (nan egzanp nou an li pral nouvo ssh pò 2000 la):
ufw pèmèt 2000
Refize yon pò (nan ka nou an li pral pò a default 22 nan ssh):
ufw refize 22 ufw efase refize 22
Ak zanmi pare. Fason sa a yo pral kenbe machin ou an sekirite. Pa bliye fè kòmantè epi jiska pwochen fwa: D.
41 kòmantè, kite ou
ak yon sistèm chifreman tankou: https://www.dyne.org/software/tomb/
Epi tou itilizatè kaj nan kay ou a si yo konekte pa tty:
http://olivier.sessink.nl/jailkit/index.html#intro
https://operativoslinux.wordpress.com/2015/02/21/enjaular-usuarios-en-linux/ (fason ki fasil)
Li pi bon e pi an sekirite pou ankripte tout sistèm dosye a.
Pou leson patikilye sa a konsènan sekirite nan Linux mwen pral pran l an kont: D.
Li ta bon tou pou pale sou redi Kernel la nan sysctl, aktive pil la o aza ak Exec-Shield nan nwayo yo ki sipòte li, pèmèt aksè nan dmesg ak / procsystemsystem la, kouri yon dyam kontwòl kontab, pèmèt TCP pwoteksyon SYN, restriksyon aksè a / dev / mem, enfim tchp / IP opsyon chemine ki ka danjere oswa danjere sistèm lan (redireksyon, eko, sous routage), sèvi ak pam_cracklib pou itilizatè yo jenere modpas fò, enpòtans ki genyen nan itilize nan sistèm MAC tankou Tomoyo, AppArmor ak SELinux.
trè itil !!!! jis sa mwen tap chache mèsi 🙂
Ou akeyi zanmi :).
Si yo itilize Apache, li pa fè mal yo ajoute règ ak mod_rewrite pou fè pou evite robo. Trè itil
http://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
ak pou nginx èske gen nenpòt Trick oswa konfigirasyon?
Nan Debian 8 / etc / ssh / sshd_config dosye a deja gen Pwotokòl 2 aktif ak fonksyon PermitRootLogin la se ak opsyon san yo pa modpas (ou ka sèlman antre nan rasin ak kle a otantifikasyon ak nan òdinatè a ki gen kle prive a)
pd nan debian 8 firewalld te deja rive ki kite li ti ufw
Eske ou te wè ferm? Mwen renmen jan règleman yo defini.
http://ferm.foo-projects.org/download/examples/webserver.ferm
Oke, mwen byen kontan Debian 8 itilize firewalld depi li trè trè trè bon ...
Pran prekosyon nou ak fail2ban ke yon atakè fabrike pake ak ip la nan PC lokal la epi fè DOS trè fasil.
Monchè, IP lokal PC a ak IP loopback la eskli nan lis Fail2ban.
Si ou pa, nou ta ka gen fo pozitif.
Bon ak trè efikas Rekòmandasyon ... Natirèlman, nan anviwònman an sèvè epi si nou ap òganize yon sit entènèt, li enplike etap adisyonèl .... Nou kounye a kenbe yon pwojè ki rele JackTheStripper ki pa gen anyen plis pase yon Script bach ki prepare ak sekirite yon sèvè ak GNU / Linux swiv pratik yo sekirite pi bon, pou aplikasyon pou entènèt ... http://www.jsitech.com/jackthestripper ....
Nice script byenke mwen renmen kenbe valè a nan kernel.randomize_va_space = 2
Bon bagay la se ke anvan kouri li, ou ka modifye li yon ti kras nan bezwen ou ..... Yon Hello ...
Bonjou, nan kou pòs mwen kontra avèk yon baz asirans ak chak youn dwe pwoteje tèt li plis oswa mwens depann sou sèvis yo ke li te enstale nan sistèm li yo tankou LAMP oswa ftp, SFTP, BIND ak yon elatriye long ...) ...
Nan pòs kap vini an sou sekirite mwen pral adrese pwoblèm sa yo.
Mèsi pou fidbak pozitif la :).
@ Petercheco, gid ou yo ekselan, li ta bon yon gid chifreman pou sistèm FreeeBSD, mwen pa konnen ki lè ou pral fè dezyèm pati a sou FreeBSD, sou konfigirasyon ak personnalisation nan Bureau, sou Firewall, sou kreye ak konfigirasyon yon rezo san fil.
Bonjou zanmi,
Mwen se yon ti jan okipe jan afiche a raman montre, men mwen pral kenbe sa nan tèt ou pou pwochen pòs FreeBSD la.
Yon salitasyon :).
Sa pote nan kòmantè yo, mwen pa gen okenn lide oswa sa w ap pale de, pèsonn xD
Gwo atik!
Aksyon sekirite sa a implique limite ekipman an nan kèk fason?
Non ... Itilizasyon nòmal sistèm lan pa limite ditou.
Ak bagay la komik (trajik) se ke, menm jan nou jis wè ak Lenovo machin, si firmwèr la bios manipile ak malveyan, pa gen anyen ou fè zafè.
Osi lontan ke ou itilize Windows pre-enstale pa manifakti a ...
erè: sonje ke yo enstale li nan firmwèr bios la, se sa ki, li kòmanse ak sistèm lan nan chak rdemare, anvan sistèm nan fonksyone, anvan move lespri yo, premye a tout, epi li pa kite ou fè anyen kont li. ka fèt, ki se poukisa lide uefi a bon nan prensip.
Atik enteresan, mwen pral li l avèk plis atansyon apremidi a Mèsi.
Pa dekwa :). Mwen kontan.
Ekselan atik, mwen amize tèt mwen tout apremidi li li. Se tan ou pran yo eksplike tout bagay ak anpil atansyon apresye,
Bonjou soti nan Chili
Carlos
Bonjou Carlos,
Mèsi anpil :).
Machin yo Lenovo, si firmwèr la bios sanble ap entèveni ak malveyan, machin yo (Laptop PC-Desktop Odinatè) toujou vini enstale ak Windows pa manifakti a, yo bay pi wo a ... fè post la ... .petercheco?
Menm san yo pa fè tout bagay sa yo li travay, depi se malveyan a te fè pou Windows, pa Linux.
Gen anpil bagay ak ke trik nouvèl ki manke nan iptables, tankou tèt vire nmap pou ke nan tout pò yo louvri, kouche ke li se yon PC fenèt lè l sèvi avèk ttl la ak gwosè a fenèt, scanlogd, Apache mod sekirite, grsec, selinux oswa yon bagay tankou sa . Ranplase ftp ak sftp, limite kantite koneksyon pou chak IP nan chak sèvis nan pò X pou evite ke anvan yon DDoS yo kite nou san sèvis, osi byen ke bloke IP yo ki voye plis pase anpil UDP pou anpil segonn.
Avèk egzanp yo ke ou prezante, yon nouvo itilizatè ta vin fou lè li li ... Ou pa ka mete tout bagay nan yon sèl pòs. Mwen pral fè plizyè antre :).
Mwen jwenn yon erè nan archlinux nan pwen sa a lè yo bay sèvis la kòmanse, mwen ba li estati ak sa a soti:
sudo systemctl sitiyasyon fail2ban
● fail2ban.service - Sèvis Fail2Ban
Chaje: chaje (/usr/lib/systemd/system/fail2ban.service; pèmèt; prereglaj machann: enfim)
Aktif: echwe (Rezilta: kòmanse-limit) depi Vandredi 2015-03-20 01:10:01 CLST; 1s de sa
Docs: man: fail2ban (1)
Pwosesis: 1695 ExecStart = / usr / bin / fail2ban-client -x kòmanse (kòd = sòti, estati = 255)
20 Mas 01:10:01 Gundam systemd [1]: echwe pou pou kòmanse Fail2Ban Sèvis.
20 Mas 01:10:01 Gundam systemd [1]: Inite fail2ban.service antre nan eta echwe.
20 Mas 01:10:01 Gundam systemd [1]: fail2ban.service echwe.
20 Mas 01:10:01 Gundam systemd [1]: kòmanse demann repete twò vit pou fail2ban ... glas
20 Mas 01:10:01 Gundam systemd [1]: echwe pou pou kòmanse Fail2Ban Sèvis.
20 Mas 01:10:01 Gundam systemd [1]: Inite fail2ban.service antre nan eta echwe.
20 Mas 01:10:01 Gundam systemd [1]: fail2ban.service echwe.
Men yon tipoul: Gen kèk liy ki te elipsize, sèvi ak -l pou montre an plen.
kèk èd? D:
Hi, si ou pèmèt fail2ban ak systemctl pèmèt fail2ban.service ak systemctl kòmanse fail2ban.service, pwoblèm lan pral nan konfigirasyon nan prizon ou te fè. Tanpri tcheke prizon ou an epi verifye ke tout bagay anfòm.
bonjou
PeterTchèk
Premye a tout leson patikilye bon. Anpil bagay ki manke men ou te konsantre sou Basics yo.
shini-kire, tcheke /var/log/fail2ban.log ou
Bonjou.
Mèsi @ Maykel Franco :).
bon,
fail2ban yo ta dwe enstale li sou yon PC lakay oswa se ke plis pou serveurs ???
Mèsi poutèt ou.
Olye de sa pou serveurs yo, men si ou se sou yon wifi aksesib a pa plis moun pase ou, li bon ...
Bonjou zanmi, mwen panse ke li se yon pòs sekirite bon nan pati a nan yon dife kout nan distribisyon yo Gnu / Linux.Mwen ekri kòmantè sa a paske mwen fè l 'nan yon distribisyon Ubuntu 14.04 konnen ke li se deja nan 15.04, sa k ap pase se pwoblèm sa a mwen antre nano /etc/fail2ban/jail.local kòm rasin e mwen pa gen okenn vizyalizasyon nan pati sshd epi sove Nan pati ki rele [DEFAULT] nou pa kòmante ak modifye #bantime = 3600 ak
Nan pati nan [sshd] nou prezante pèmèt = vre kite li tankou sa a:
#enabled = vre
pèmèt = vre
Li pa parèt ke nan sshd a ki ta ka paske mwen ap travay vèsyon anvan an mèsi