Sveiki draugi no DesdeLinux, lo prometido es deuda y aquí va un post de kā maksimāli palielināt Linux sistēmu aizsardzību un paliec tā drošs no iebrucējiem, kā arī informācijas aizsardzība uz jūsu serveriem, personālajiem datoriem vai klēpjdatoriem !!!!
Comenzando
Fail2ban: ir Python rakstīta lietojumprogramma, lai novērstu iekļūšanu sistēmā, kas darbojas, sodot vai bloķējot attālos savienojumus, kas mēģina piekļūt brutālam spēkam.
Uzstādīšana:
Fedora, RHEL, CentOS:
yum install fail2ban
Debian, Ubuntu:
apt-get install fail2ban
Iestatījums:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local nano /etc/fail2ban/jail.local
Daļā ar nosaukumu [DEFAULT] mēs komentējam un mainām #bantime = 3600, atstājot to šādi:
#bantime = 3600 bantime = 604800
[Sshd] daļā mēs ieviešam iespējotu = true, atstājot to šādi:
#enabled = true iespējots = true
Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X
Mēs sākam pakalpojumu:
Fedora, RHEL, CentOS:
iespējot fail2ban.service systemctl sākt fail2ban.service
Debian, Ubuntu:
pakalpojuma fail2ban sākums
Noraidīt root piekļuvi, izmantojot ssh:
Lai aizsargātu mūsu mašīnu, mēs noliedzīsim ssh, izmantojot root lietotāju. Lai to izdarītu, mēs rediģējam failu / etc / ssh / sshd_config šādi:
cp sshd_config sshd_config.bck nano / etc / ssh / sshd_config
Mēs komentējam un maināmies
# 2.protokol 2. protokols
Mēs komentējam un maināmies
#PermitRootLogin jā PermitRootLogin nē
Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X
Mēs sākam pakalpojumu:
Fedora, RHEL, CentOS:
iespējot sshd.service systemctl sākt sshd.service
Debian, Ubuntu:
pakalpojumu sshd sākums
Liegt piekļuvi ssh serverim, izmantojot atslēgu, un atļaut ssh tikai ar RSA atslēgām
Ja mēs vēlamies izveidot savienojumu ar PC1 ar Server1, pirmā lieta, kas mums jādara, ir ģenerēt atslēgu uz PC1. Ar mūsu lietotāju un bez root uz PC1 mēs izpildām:
ssh-keygen -t rsa -b 8192 (tas ģenerē vairāk nekā drošu atslēgu, jo parasti tiek izmantotas atslēgas no 1024 līdz 2048)
Kad mums ir parole, mēs to augšupielādējam uz Server1:
ssh-copy-id lietotājs @ server_ip
Kad tas būs izdarīts, mēs izveidosim savienojumu ar mūsu Server1 un modificēsim nano / etc / ssh / sshd_config failu ar root tiesībām:
ssh lietotājs @ Server1 nano / etc / ssh / sshd_config
Mēs mainām rindiņu, kurā teikts: #PasswordAuthentication jā:
#PasswordAuthentication jā
Paroles autentifikācijas Nr
Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X
Mēs restartējam ssh pakalpojumu:
Fedora, RHEL, CentOS:
systemctl restartējiet sshd.service
Debian, Ubuntu:
pakalpojumu sshd restartēt
Mainīt ssh klausīšanās portu
Atkal mēs rediģējam / etc / ssh / sshd_config un daļā, kas attiecas uz portu, mēs to atstājam šādi:
# 22. ports Port 2000 (vai jebkurš cits skaitlis, kas lielāks par 2000. Mūsu piemēros to izmantosim.)
Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X
Mēs restartējam ssh pakalpojumu:
Fedora, RHEL, CentOS:
systemctl restartējiet sshd.service
Debian, Ubuntu:
pakalpojumu sshd restartēt
Ja viņi izmanto fail2ban, ir jāmaina konfigurācija attiecībā uz sshd, pielāgojot portu.
nano /etc/fail2ban/jail.local [sshd] port = ssh, 2000 [sshd-ddos] port = ssh, 2000 [dropbear] port = ssh, 2000 [selinux-ssh] port = ssh, 2000
Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X
Mēs atjaunojam pakalpojumu:
Fedora, RHEL, CentOS:
restartējiet fail2ban.service
Debian, Ubuntu:
restart servisa fail2ban
ugunsmūris
Fedora, RHEL, CentOS:
Šajās sistēmās pēc noklusējuma ir aktivizēti Selinux un Iptables, un es iesaku jums turpināt šo ceļu. Kā atvērt portu ar iptables? Apskatīsim, kā atvērt jauno ssh porta 2000 portu, kuru mēs iepriekš mainījām:
Atvērts:
nano / etc / sysconfig / iptables
un mēs modificējam līniju, kas attiecas uz noklusējuma ssh portu 22, un atstājam to šādi:
# -A INPUT -m stāvoklis --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -p -p tcp -m state --state NEW -m tcp --dport 2000 -j ACCEPT
Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X
Mēs restartējam pakalpojumu:
restartējiet iptables
Debian, Ubuntu:
Debian vai Ubuntu un atvasinājumos mums ir UFW ugunsmūris, kas atvieglos mūsu dzīvi, jo tas ļoti viegli pārvalda Netfilter.
Uzstādīšana:
apt-get install ufw ufw iespējošana
Lai skatītu izpildīto atvērto ostu statusu:
ufw statuss
Lai atvērtu portu (mūsu piemērā tas būs jaunais ssh ports 2000):
ufw atļaut 2000
Lai liegtu portu (mūsu gadījumā tas būs ssh noklusējuma ports 22):
ufw noliegt 22 ufw izdzēst noliegt 22
Un gatavi draugi. Tādā veidā viņi nodrošinās jūsu mašīnu drošību. Neaizmirsti komentēt un līdz nākamajai reizei: D.
un šifrēšanas sistēmu, piemēram: https://www.dyne.org/software/tomb/
Un arī būra lietotāji jūsu mājās, ja viņi izveido savienojumu ar tty:
http://olivier.sessink.nl/jailkit/index.html#intro
https://operativoslinux.wordpress.com/2015/02/21/enjaular-usuarios-en-linux/ (vienkāršākais veids)
Šifrēt visu failu sistēmu ir daudz labāk un drošāk.
Šādai apmācībai par drošību Linux es to ņemšu vērā: D.
Būtu arī labi runāt par kodola sacietēšanu, izmantojot sysctl, aktivizējot izlases kaudzi un Exec-Shield kodolā, kas to atbalsta, ļauj piekļūt dmesg un / proc failu sistēmai, palaist revīzijas dēmonu, iespējot TCP aizsardzību SYN, ierobežojiet piekļuvi / dev / mem, atspējojiet TCP / IP kaudzes opcijas, kas var būt bīstamas vai mazināt sistēmas drošību (novirzīšana, atbalss, avota maršrutēšana), izmantojiet pam_cracklib lietotājiem, lai ģenerētu spēcīgas paroles, MAC sistēmas, piemēram, Tomoyo, AppArmor un SELinux, izmantošana.
ļoti noderīgs!!!! tieši tas, ko es meklēju, paldies 🙂
Jūs esat laipni draugs :).
Ja tiek izmantots apache, ir vērts pievienot kārtulas ar mod_rewrite, lai izvairītos no robotprogrammatūrām. Ļoti noderīgs
http://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
un par nginx ir kāds triks vai konfigurācija?
Debian 8 failā / etc / ssh / sshd_config jau ir aktīvs 2. protokols, un funkcija PermitRootLogin ir ar opciju bez paroles (root var ievadīt tikai ar autentifikācijas atslēgu un no datora, kuram ir privātā atslēga)
Debian 8 ugunsmūris ir ieradies pd, kas to atstāj mazu līdz ufw
Vai esat redzējuši fermu? Man patīk, kā tiek definēti noteikumi.
http://ferm.foo-projects.org/download/examples/webserver.ferm
Es priecājos, ka Debian 8 izmanto firewalld, jo tas ir ļoti ļoti ļoti labi ...
Sargieties no fail2ban, ka uzbrucējs ražo paketes ar vietējā datora ip un padara DOS ļoti vienkāršu.
Cilvēks, vietējā datora IP un atgriezeniskais savienojums tiek izslēgts no fail2ban saraksta.
Ja nē, mums varētu būt nepatiesi pozitīvi rezultāti.
Labi un ļoti efektīvi ieteikumi ... Protams, servera vidē un, ja mēs mitinām vietni, tas ietver papildu darbības ... Pašlaik mēs uzturam projektu JackTheStripper, kas ir nekas cits kā bash skripts, kas sagatavo un aizsargā serveri ar GNU / Linux, ievērojot vislabāko drošības praksi, tīmekļa lietojumprogrammām ... projektu varat uzzināt vietnē http://www.jsitech.com/jackthestripper ....
Jauks skripts, kaut arī man patīk saglabāt kodola.randomize_va_space = 2 vērtību
Laba lieta ir tā, ka pirms palaišanas to var nedaudz pārveidot atbilstoši savām vajadzībām ... Sveiki ...
Labdien, protams, mans ziņojums attiecas uz pamata apdrošināto, un katram no tiem ir jāaizsargā vairāk vai mazāk atkarībā no pakalpojumiem, kurus tā ir instalējusi savās sistēmās, piemēram, LAMP vai FTP, SFTP, BIND un ilgu utt:)…
Nākamajā ziņojumā par drošību es pievērsīšos šiem jautājumiem.
Paldies par pozitīvajām atsauksmēm :).
@petercheco, jūsu rokasgrāmatas ir izcilas, tas būtu labs FreeeBSD sistēmas šifrēšanas ceļvedis, es nezinu, kad jūs gatavojaties darīt otro daļu par FreeBSD, par galddatoru konfigurēšanu un pielāgošanu, par ugunsmūri, par bezvadu tīkla izveidošanu un konfigurēšanu.
Sveiks draugs,
Esmu mazliet aizņemts, jo liecina publicēšanas retums, taču es to paturēšu prātā nākamajam FreeBSD ierakstam.
Sveiciens :).
Tas izlīdzinājās komentāros, man nav ne jausmas, par ko jūs runājat, neviens xD
Lielisks raksts!
Šī drošības darbība nozīmē jebkāda veida aprīkojuma ierobežošanu?
Nē ... Sistēmas normāla lietošana vispār nav ierobežota.
Smieklīgākais (traģiskais) ir tas, ka, kā mēs tikko redzējām ar Lenovo mašīnām, ja bios programmaparatūru iejaucas ar ļaunprātīgu programmatūru, nekas, ko jūs darāt, nav svarīgi.
Kamēr jūs izmantojat ražotāja iepriekš instalēto Windows ...
kļūda: atcerieties, ka viņi to instalēja BIOS programmaparatūrā, tas ir, vispirms tas sākas ar sistēmu katrā atsāknēšanas reizē, pirms operētājsistēmas, pirms dēmoniem, un tas neļauj jums kaut ko darīt pret to. uzbrukumi ir maz izdarāmi, tāpēc ideja par uefi principā ir laba.
Interesants raksts, es šo pēcpusdienu lasīšu uzmanīgāk. Paldies.
Nav par ko :). Esmu priecīgs.
Izcils raksts, es izklaidēju sevi visu pēcpusdienu, to lasot. Tiek novērtēts laiks, kas jums vajadzīgs, lai visu ļoti rūpīgi izskaidrotu,
Sveicieni no Čīles
Carlos
Sveika, Carlos,
Liels paldies :).
Ja šķiet, ka Lenovo mašīnām ir iejaukšanās ar ļaunprātīgu programmatūru, mašīnas (klēpjdatoru un galddatorus) ražotājs vienmēr instalē kopā ar Windows, ņemot vērā iepriekšminēto ... vai ziņa ir ... Petercheco?
Pat nedarot visu, tas darbojas, jo ļaunprātīgā programmatūra ir paredzēta Windows, nevis Linux.
Iptables trūkst daudz lietu un triku, piemēram, reibinošs nmap, lai no visām atvērtajām ostām melotu, ka tas ir Windows pc, izmantojot ttl un loga izmēru, scanlogd, apache mod security, grsec, selinux vai kaut kas tamlīdzīgs. Nomainiet ftp ar sftp, ierobežojiet savienojumu skaitu katrā IP katrā X porta pakalpojumā, lai izvairītos no tā, ka pirms DDoS viņi mūs atstāj bez pakalpojumiem, kā arī bloķē IP, kas uz tik daudzām sekundēm sūta vairāk nekā tik daudz UDP.
Izmantojot jūsu iesniegtos piemērus, jauns lietotājs kļūtu traks, to lasot ... Jūs nevarat visu ievietot vienā ierakstā. Es izdarīšu vairākus ierakstus :).
Dodot sākuma pakalpojumu, šajā brīdī es saņemu kļūdu archlinux, es piešķiru tam statusu, un tas iznāk:
sudo systemctl statuss fail2ban
● fail2ban.service - Fail2Ban pakalpojums
Ielādēts: ielādēts (/usr/lib/systemd/system/fail2ban.service; iespējots; pārdevēja sākotnējais iestatījums: atspējots)
Aktīvs: neizdevās (rezultāts: sākuma ierobežojums) kopš piektdienas 2015-03-20 01:10:01 CLST; Pirms 1s
Dokumenti: man: fail2ban (1)
Process: 1695 ExecStart = / usr / bin / fail2ban-client -x start (kods = iziet, statuss = 255)
20. marts 01:10:01 Gundam systemd [1]: neizdevās palaist Fail2Ban pakalpojumu.
20. marts 01:10:01 Gundam systemd [1]: vienība fail2ban.service nonāca kļūmes stāvoklī.
20. marts 01:10:01 Gundam systemd [1]: fail2ban.service neizdevās.
20. marts 01:10:01 Gundam systemd [1]: sākuma pieprasījums pārāk ātri atkārtots fail2ban ... ice
20. marts 01:10:01 Gundam systemd [1]: neizdevās palaist Fail2Ban pakalpojumu.
20. marts 01:10:01 Gundam systemd [1]: vienība fail2ban.service nonāca kļūmes stāvoklī.
20. marts 01:10:01 Gundam systemd [1]: fail2ban.service neizdevās.
Ieteikums: dažas līnijas tika elipsētas, izmantojiet -l, lai parādītu pilnībā.
kāda palīdzība? D:
Sveiki, ja jūs iespējojāt fail2ban ar systemctl enable fail2ban.service un systemctl start fail2ban.service, problēma būs jūsu veikto cietumu konfigurācijā. Lūdzu, pārbaudiet cietumu un pārbaudiet, vai viss ir kārtībā.
Sveiciens
Pēterčeko
Pirmkārt, laba apmācība. Daudzas lietas trūkst, bet jūs esat koncentrējies uz pamatiem.
shini-kire, pārbaudiet savu /var/log/fail2ban.log
Sveicieni.
Paldies @Maykel Franco :).
labi,
fail2ban viņiem to vajadzētu instalēt mājas datorā, vai tas vairāk domāts serveriem ???
Paldies.
Drīzāk serveriem, bet, ja jūs izmantojat wifi, kuru var piekļūt vairāk cilvēku nekā jūs, tas ir labi ...
Sveiks, draugs, man šķiet labs drošības ziņojums īsā ugunsgrēka daļā Gnu / Linux distros. Es rakstu šo komentāru, jo daru to Ubuntu 14.04 izplatīšanā, zinot, ka tas notiek jau 15.04, notiek šāda problēma Es ievadu nano /etc/fail2ban/jail.local kā root, un sshd daļā man nav vizualizācijas, un es saglabāju. Daļā ar nosaukumu [DEFAULT] mēs komentējam un mainām #bantime = 3600 un
[Sshd] daļā mēs ieviešam iespējotu = true, atstājot to šādi:
#iespējots = taisnība
iespējots = patiess
Nešķiet, ka tas varētu būt tāpēc, ka paldies es strādāju ar iepriekšējo versiju