GNU / Linux қауіпсіздігін барынша арттыру

Сәлем, FromLinux-тен келген достар, уәде етілген қарыз және міне пост Linux жүйелерін қорғауды қалай арттыруға болады және сол күйінде қал қауіпсіз сіздің серверлеріңіздегі, компьютерлеріңіздегі немесе ноутбуктарыңыздағы ақпаратты қорғаудан басқа, зиянкестерден !!!!

Comenzando

Сәтсіз 2бан: - бұл жүйеге енудің алдын алу үшін Python-да жазылған, қатал күшке қол жеткізуге тырысатын қашықтағы қосылыстарды жазалау немесе бұғаттау арқылы әрекет ететін бағдарлама.

Орнату:

Федора, RHEL, CentOS:

yum install fail2ban

Дебиан, Убунту:

apt-get install fail2ban

Конфигурация:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local nano /etc/fail2ban/jail.local

[DEFAULT] деп аталатын бөлімде біз #bantime = 3600 пікірін өзгертеміз және өзгертеміз:

#bantime = 3600 bantime = 604800

[Sshd] бөлімінде біз enabled = true енгіземіз, оны былай қалдырамыз:

#enabled = true enabled = true

Біз CTRL + O көмегімен сақтаймыз және CTRL + X арқылы жабамыз

Біз қызметті бастаймыз:

Федора, RHEL, CentOS:

systemctl fail2ban.service іске қосыңыз systemctl fail2ban.service іске қосыңыз

Дебиан, Убунту:

қызмет сәтсіз аяқталды2

Ssh көмегімен түбірге қол жеткізуге тыйым салу:

Біздің машинаны қорғау үшін root пайдаланушысы арқылы ssh-тен бас тартамыз. Ол үшін біз / etc / ssh / sshd_config файлын келесідей редакциялаймыз:

cp sshd_config sshd_config.bck nano / etc / ssh / sshd_config

Біз түсініктеме бермейміз және өзгереміз

# 2-хаттама 2-хаттама

Біз түсініктеме бермейміз және өзгереміз

# Рұқсат етіңіз, кіріңіз иә

Біз CTRL + O көмегімен сақтаймыз және CTRL + X арқылы жабамыз

Біз қызметті бастаймыз:

Федора, RHEL, CentOS:

systemctl sshd.service іске қосыңыз systemctl sshd.service іске қосыңыз

Дебиан, Убунту:

sshd қызметін бастау

Ssh серверіне кілт арқылы кіруден бас тартыңыз және ssh-қа тек RSA кілттерімен рұқсат етіңіз

Егер біз PC1-мен Server1-ге қосылғымыз келсе, онда біз бірінші кезекте PC1-де өз кілтімізді жасауымыз керек. Біздің қолданушымен және PC1-де түбірсіз біз келесі әрекеттерді орындаймыз:

ssh-keygen -t rsa -b 8192 (бұл 1024-тен 2048-ге дейінгі кілттер әдетте пайдаланылатындықтан қауіпсіз кілт жасайды)

Құпия сөз болғаннан кейін оны Server1 сайтына жүктейміз:

ssh-copy-id пайдаланушысы @ server_ip

Бұл аяқталғаннан кейін біз Server1-ге қосылып, nano / etc / ssh / sshd_config файлын түбірлік рұқсаттармен өзгертеміз:

ssh пайдаланушы @ Server1 nano / etc / ssh / sshd_config

Біз #PasswordAuthentication иә деген жолды келесіге өзгертеміз:

# Құпия сөзді растау иә
Құпия сөзді растау

Біз CTRL + O көмегімен сақтаймыз және CTRL + X арқылы жабамыз

Ssh қызметін қайта іске қосамыз:

Федора, RHEL, CentOS:

systemctl sshd.service қайта іске қосыңыз

Дебиан, Убунту:

қызметті қайта іске қосу

Ssh тыңдау портын өзгертіңіз

Біз қайтадан / etc / ssh / sshd_config редакциялаймыз және портқа сілтеме жасайтын бөлігінде оны келесідей қалдырамыз:

# Port 22 порт 2000 (немесе кез келген басқа нөмір 2000-нан үлкен. Біздің мысалдарда біз мұны қолданамыз.)

Біз CTRL + O көмегімен сақтаймыз және CTRL + X арқылы жабамыз

Ssh қызметін қайта іске қосамыз:

Федора, RHEL, CentOS:

systemctl sshd.service қайта іске қосыңыз

Дебиан, Убунту:

қызметті қайта іске қосу

Егер олар fail2ban қолданатын болса, sshd портын реттеуге қатысты конфигурацияны өзгерту керек.

nano /etc/fail2ban/jail.local

[sshd]
port    = ssh, 2000

[sshd-ddos]
port    = ssh, 2000

[dropbear]
port    = ssh, 2000

[selinux-ssh]
port    = ssh, 2000

Біз CTRL + O көмегімен сақтаймыз және CTRL + X арқылы жабамыз

Біз қызметті жаңартамыз:

Федора, RHEL, CentOS:

systemctl fail2ban.service қайта іске қосыңыз

Дебиан, Убунту:

қызмет fail2ban қайта іске қосылады

Firewall

Федора, RHEL, CentOS:

Selinux және Iptables осы жүйелерде әдепкі бойынша қосылады және сізге осылай жалғастыруға кеңес беремін. Iptables бар портты қалай ашуға болады? Бұрын өзгерткен ssh портының жаңа 2000 портын қалай ашуға болатынын көрейік:

Ашық:

nano / etc / sysconfig / iptables

және біз жолды әдепкі 22 ssh портына сілтеме жасай отырып өзгертеміз және оны келесідей қалдырамыз:

# -A INPUT -m күйі - күйі NEW -m tcp -p tcp --dport 22 -j ҚАБЫЛДАУ -A INPUT -p tcp -m күйі - күйі NEW -m tcp --dport 2000 -j ҚАБЫЛДАУ

Біз CTRL + O көмегімен сақтаймыз және CTRL + X арқылы жабамыз

Біз қызметті қайта қосамыз:

systemctl iptables қайта іске қосыңыз

Debian, Ubuntu:

Debian немесе Ubuntu және туындыларда бізде UFW брандмауэрі бар, ол біздің өмірімізді жеңілдетеді, өйткені Netfilter-ті басқарады.

Орнату:

apt-get install ufw ufw қосу

Ашық порттардың күйін көру үшін біз келесі әрекеттерді орындаймыз:

ufw мәртебесі

Портты ашу үшін (біздің мысалда бұл жаңа ssh порт 2000 болады):

ufw 2000 мүмкіндік береді

Портты жоққа шығару үшін (біздің жағдайда бұл әдепкі порт 22 ssh болады):

ufw 22 жоққа шығару ufw 22 бас тарту

Дайын достар. Осылайша олар сіздің машиналарыңыздың қауіпсіздігін қамтамасыз етеді. Пікір жазуды ұмытпаңыз және келесі кезге дейін: Д.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

41 пікір, өз пікіріңізді қалдырыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   күнәкар дижо

    және келесідей шифрлау жүйесі: https://www.dyne.org/software/tomb/

    1.    күнәкар дижо

      Сондай-ақ сіздің үйіңіздегі торларды пайдаланушылар егер олар tty арқылы қосылса:
      http://olivier.sessink.nl/jailkit/index.html#intro
      https://operativoslinux.wordpress.com/2015/02/21/enjaular-usuarios-en-linux/ (оңай жол)

    2.    Юкитеру дижо

      Барлық файлдық жүйені шифрлау әлдеқайда жақсы және қауіпсіз.

    3.    петерчеко дижо

      Linux-тегі қауіпсіздікке қатысты келесі оқулық үшін мен оны ескеремін: Д.

      1.    Юкитеру дижо

        Сондай-ақ, sysctl арқылы ядроны қатайту, оны қолдайтын ядролардағы кездейсоқ үйінді мен Exec-Shield-ті қосу, dmesg және / proc файлдық жүйеге қол жеткізуге мүмкіндік беру, аудиторлық демонды іске қосу, TCP қорғауды қосу туралы айту жақсы болар еді. SYN, / dev / mem-ге кіруді шектеңіз, жүйеге қауіпті немесе қауіпті болуы мүмкін TCP / IP стек опцияларын өшіріңіз (қайта бағыттау, жаңғырық, дерек көздерін бағыттау), пайдаланушыларға күшті парольдерді жасау үшін pam_cracklib пайдаланыңыз, Tomoyo, AppArmor және SELinux сияқты MAC жүйесін қолдану.

  2.   Кук дижо

    өте пайдалы !!!! тек алғыс іздегенім 🙂

    1.    петерчеко дижо

      Сізге қош келдіңіз дос :).

  3.   Angelblade дижо

    Егер apache қолданылса, боттарды болдырмау үшін mod_rewrite көмегімен ережелер қосу зиян тигізбейді. Өте пайдалы

    http://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

    1.    рөлі дижо

      және nginx үшін қандай да бір амал немесе конфигурация бар ма?

  4.   рөлі дижо

    Debian 8-де / etc / ssh / sshd_config файлында 2-протокол белсенді және PermitRootLogin функциясы құпия сөзсіз опциямен жұмыс істейді (тек root-ді аутентификация кілтімен және жеке кілті бар компьютерден енгізуге болады)

    pd in debian 8 брандмауэрі келді, ол оны ufw-ге қалдырады

    1.    мылжың дижо

      Сіз ферманы көрдіңіз бе? Маған ережелердің қалай анықталғаны ұнайды.

      http://ferm.foo-projects.org/download/examples/webserver.ferm

    2.    петерчеко дижо

      Debian 8 брандмауэрді қолданғанына қуаныштымын, өйткені бұл өте жақсы ...

  5.   мылжың дижо

    Fail2ban-тен сақ болыңыз, шабуылдаушы жергілікті компьютердің IP-мен пакеттерді дайындайды және DOS-ты өте жеңілдетеді.

    1.    Бұл бөлімде дижо

      Адам, жергілікті ДК IP және кері байланыс IP Fail2ban тізімінен шығарылды.
      Егер жоқ болса, бізде жалған позитивтер болуы мүмкін.

  6.   Джейсон сото дижо

    Жақсы және өте тиімді ұсыныстар ... Әрине, серверлік ортада және егер біз веб-сайтты орналастыратын болсақ, бұл қосымша қадамдардан тұрады. Қазіргі уақытта біз JackTheStripper атты жобаны қолдаймыз, бұл тек веб-қосымшалар үшін ең жақсы қауіпсіздік тәжірибесін қолдана отырып, серверді GNU / Linux-пен дайындайтын және қауіпсіз ететін бас сценарийден басқа ештеңе жоқ ... http://www.jsitech.com/jackthestripper ....

    1.    Юкитеру дижо

      Жақсы сценарий, бірақ мен kernel.randomize_va_space = 2 мәнін сақтағанды ​​ұнатамын

      1.    Джейсон сото дижо

        Жақсы жері - оны іске қоспас бұрын, оны өз қажеттіліктеріңе қарай аздап өзгерте аласың ... Сәлемдесу ...

    2.    петерчеко дижо

      Сәлеметсіз бе, әрине, менің жазбам сақтандырылған базамен айналысады және әрқайсысы өзінің жүйелерінде орнатылған қызметтеріне, мысалы, LAMP немесе FTP, SFTP, BIND және ұзақ уақытқа байланысты өзін-өзі аз немесе көп қорғауы керек:) ...

      Қауіпсіздік туралы келесі жазбада мен осы мәселелерді қарастырамын.

      Оң пікір үшін рахмет :).

  7.   nex дижо

    @petercheco, сіздің нұсқаулықтарыңыз өте жақсы, FreeeBSD жүйесіне арналған шифрлау нұсқаулығы жақсы болар еді, мен сіздің FreeBSD туралы, жұмыс үстелдерін конфигурациялау және теңшеу туралы, брандмауэр туралы, сымсыз желіні құру және конфигурациялау туралы екінші бөлімді қашан жасайтыныңызды білмеймін.

    1.    петерчеко дижо

      Сәлем, достым,
      Мен сирек жариялау көрсеткендей аздап бос емеспін, бірақ мұны келесі FreeBSD жазбасы үшін есте сақтаймын.

      Сәлем :).

  8.   Солрак кемпірқосақ дижо

    Түсініктемелерде көрсетілген, менде ешқандай түсінік жоқ немесе сіз не туралы айтып отырсыз, ешкім xD
    Керемет мақала!

  9.   хунил дижо

    Бұл қауіпсіздік шаралары жабдықты қандай-да бір жолмен шектеуді білдіреді?

    1.    петерчеко дижо

      Жоқ ... Жүйені қалыпты пайдалану мүлдем шектелмейді.

  10.   күнәкар дижо

    Сонымен, күлкілі (қайғылы) нәрсе - біз жай ғана Lenovo машиналарында көргеніміздей, егер BIOS микробағдарламасы зиянды бағдарламалармен бұзылса, сіз ештеңе жасамайсыз.

    1.    петерчеко дижо

      Өндіруші алдын ала орнатқан Windows жүйесін қолданған кезде ...

      1.    күнәкар дижо

        қате: олар оны BIOS микробағдарламасына орнатқанын ұмытпаңыз, яғни ол әр қайта бастаған кезде жүйеден басталады, амалдық жүйеден бұрын, жындардан, ең алдымен, және бұл сізге ештеңе істеуге мүмкіндік бермейді. шабуылдар аз жасалуы мүмкін, сондықтан uefi идеясы негізінен жақсы.

  11.   Пабло дижо

    Қызықты мақала, мен оны бүгін түстен кейін мұқият оқып шығамын. Рақмет сізге.

    1.    петерчеко дижо

      Оқасы жоқ :). Мен қуаныштымын.

  12.   Карлос Бест дижо

    Өте жақсы мақала, мен оны түстен кейін оқып, көңіл көтердім. Барлығын мұқият түсіндіруге кеткен уақыт бағаланады,

    Чилиден құттықтау
    Карлос

    1.    петерчеко дижо

      Сәлем Карлос,
      Көп рақмет :).

  13.   брион дижо

    Lenovo машиналары, егер BIOS микробағдарламасы зиянды бағдарламалармен араласатын болса, машиналар (ноутбук-ДК-компьютер) әрдайым жоғарыда айтылғандарды ескере отырып, өндірушімен Windows-та орнатылады ... хабарлама ... .petercheco ма?

    1.    Юкитеру дижо

      Мұның бәрін жасамай-ақ ол жұмыс істейді, өйткені зиянды бағдарлама Linux үшін емес, Windows үшін жасалған.

  14.   SynFlag дижо

    IPptable-да көптеген нәрселер мен трюктер жетіспейді, мысалы, барлық ашық порттардың бас айналуы nmap, бұл ttl және терезе өлшемін, scanlogd, apache mod security, grsec, selinux немесе сол сияқтыларды қолданатын Windows PC деп жалған. Ftp-ді sftp-мен ауыстырыңыз, DDoS-қа дейін олар бізді қызметсіз қалдырмас үшін, сондай-ақ сонша секундтан астам UDP жіберетін IP-ді бұғаттап тастау үшін X портындағы әр қызметке бір IP-ге қосылулар санын шектеңіз.

    1.    петерчеко дижо

      Сіз ұсынған мысалдармен жаңа қолданушы оны оқығанда есінен адасады ... Сіз бәрін бір постқа сала алмайсыз. Мен бірнеше жазбалар жасаймын :).

  15.   шини-кире дижо

    Іске қосу қызметін ұсынған кезде мен Archlinux-те қате пайда болды, мен оған мәртебе беремін және бұл шығады:
    sudo systemctl күйі fail2ban
    ● fail2ban.service - Fail2Ban қызметі
    Жүктелді: жүктелген (/usr/lib/systemd/system/fail2ban.service; қосулы; жеткізушінің алдын-ала орнатылған: өшірілген)
    Белсенді: сәтсіз аяқталды (Нәтижесі: старт-лимит) жұмадан бастап 2015-03-20 01:10:01 CLST; 1s бұрын
    Құжаттар: адам: fail2ban (1)
    Процесс: 1695 ExecStart = / usr / bin / fail2ban-client -x бастау (код = шыққан, күй = 255)

    20 наурыз 01:10:01 Gundam systemd [1]: Fail2Ban қызметін іске қосу мүмкін болмады.
    20 наурыз 01:10:01 Gundam systemd [1]: fail2ban.service бірлігі істен шықты.
    20 наурыз 01:10:01 Gundam systemd [1]: fail2ban.service сәтсіз аяқталды.
    20 наурыз 01:10:01 Gundam systemd [1]: бастау сұранысы fail2ban… мұз үшін өте тез қайталанды
    20 наурыз 01:10:01 Gundam systemd [1]: Fail2Ban қызметін іске қосу мүмкін болмады.
    20 наурыз 01:10:01 Gundam systemd [1]: fail2ban.service бірлігі істен шықты.
    20 наурыз 01:10:01 Gundam systemd [1]: fail2ban.service сәтсіз аяқталды.
    Кеңес: Кейбір сызықтар эллипсирленген, толық көрсету үшін -l -ді қолданыңыз.
    кейбір көмек? D:

    1.    петерчеко дижо

      Сәлем, егер сіз fail2ban-ді systemctl-мен қоссаңыз fail2ban.service-ті қоссаңыз және systemctl fail2ban.service-ті іске қоссаңыз, мәселе сіз жасаған түрмелер конфигурациясында болады. Сіздің түрмеңізді тексеріп, бәрі жақсы екенін тексеріңіз.

      құттықтау
      Петерчеко

      1.    Майкел Франко дижо

        Алдымен жақсы оқулық. Көп нәрсе жетіспейді, бірақ сіз негіздерге назар аудардыңыз.

        shini-kire, тексеріңіз /var/log/fail2ban.log

        Құттықтаулар.

      2.    петерчеко дижо

        @Maykel Franco рахмет :).

  16.   jony127 дижо

    Жақсы,

    fail2ban оны үйдегі компьютерге орнатуы керек пе, әлде серверлер үшін соншалықты көп пе ???

    рахмет.

    1.    петерчеко дижо

      Серверлер үшін емес, егер сіз Wi-Fi желісіне сізден гөрі көп адамдар кіре алсаңыз, бұл жақсы ...

  17.   Rodrigo дижо

    Сәлеметсіз бе, досым, маған Gnu / Linux дистрибьюторларындағы қысқа өрттің қауіпсіздігі жақсы көрінеді, мен бұл түсініктемені Ubuntu 14.04 таратылымында жасаймын, өйткені ол 15.04-те екенін білемін, бұл келесі мәселе туындайды Мен nano /etc/fail2ban/jail.local-ді root ретінде енгіземін және sshd бөлігінде көрнекіліктерім жоқ және мен [DEFAULT] деп аталатын бөлігінде #bantime = 3600 пікірін өзгертеміз және өзгертеміз
    [Sshd] бөлігінде біз enabled = true енгіземіз, оны былай қалдырамыз:
    #қосылған = шын
    қосылған = шын
    Бұл алдыңғы нұсқамен жұмыс істегендіктен болуы мүмкін sshd сияқты көрінбейді