Palieliniet drošību GNU / Linux

Sveiki draugi no DesdeLinux, lo prometido es deuda y aquí va un post de kā maksimāli palielināt Linux sistēmu aizsardzību un paliec tā drošs no iebrucējiem, kā arī informācijas aizsardzība uz jūsu serveriem, personālajiem datoriem vai klēpjdatoriem !!!!

Comenzando

Fail2ban: ir Python rakstīta lietojumprogramma, lai novērstu iekļūšanu sistēmā, kas darbojas, sodot vai bloķējot attālos savienojumus, kas mēģina piekļūt brutālam spēkam.

Uzstādīšana:

Fedora, RHEL, CentOS:

yum install fail2ban

Debian, Ubuntu:

apt-get install fail2ban

Iestatījums:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local nano /etc/fail2ban/jail.local

Daļā ar nosaukumu [DEFAULT] mēs komentējam un mainām #bantime = 3600, atstājot to šādi:

#bantime = 3600 bantime = 604800

[Sshd] daļā mēs ieviešam iespējotu = true, atstājot to šādi:

#enabled = true iespējots = true

Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X

Mēs sākam pakalpojumu:

Fedora, RHEL, CentOS:

iespējot fail2ban.service systemctl sākt fail2ban.service

Debian, Ubuntu:

pakalpojuma fail2ban sākums

Noraidīt root piekļuvi, izmantojot ssh:

Lai aizsargātu mūsu mašīnu, mēs noliedzīsim ssh, izmantojot root lietotāju. Lai to izdarītu, mēs rediģējam failu / etc / ssh / sshd_config šādi:

cp sshd_config sshd_config.bck nano / etc / ssh / sshd_config

Mēs komentējam un maināmies

# 2.protokol 2. protokols

Mēs komentējam un maināmies

#PermitRootLogin jā PermitRootLogin nē

Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X

Mēs sākam pakalpojumu:

Fedora, RHEL, CentOS:

iespējot sshd.service systemctl sākt sshd.service

Debian, Ubuntu:

pakalpojumu sshd sākums

Liegt piekļuvi ssh serverim, izmantojot atslēgu, un atļaut ssh tikai ar RSA atslēgām

Ja mēs vēlamies izveidot savienojumu ar PC1 ar Server1, pirmā lieta, kas mums jādara, ir ģenerēt atslēgu uz PC1. Ar mūsu lietotāju un bez root uz PC1 mēs izpildām:

ssh-keygen -t rsa -b 8192 (tas ģenerē vairāk nekā drošu atslēgu, jo parasti tiek izmantotas atslēgas no 1024 līdz 2048)

Kad mums ir parole, mēs to augšupielādējam uz Server1:

ssh-copy-id lietotājs @ server_ip

Kad tas būs izdarīts, mēs izveidosim savienojumu ar mūsu Server1 un modificēsim nano / etc / ssh / sshd_config failu ar root tiesībām:

ssh lietotājs @ Server1 nano / etc / ssh / sshd_config

Mēs mainām rindiņu, kurā teikts: #PasswordAuthentication jā:

#PasswordAuthentication jā
Paroles autentifikācijas Nr

Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X

Mēs restartējam ssh pakalpojumu:

Fedora, RHEL, CentOS:

systemctl restartējiet sshd.service

Debian, Ubuntu:

pakalpojumu sshd restartēt

Mainīt ssh klausīšanās portu

Atkal mēs rediģējam / etc / ssh / sshd_config un daļā, kas attiecas uz portu, mēs to atstājam šādi:

# 22. ports Port 2000 (vai jebkurš cits skaitlis, kas lielāks par 2000. Mūsu piemēros to izmantosim.)

Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X

Mēs restartējam ssh pakalpojumu:

Fedora, RHEL, CentOS:

systemctl restartējiet sshd.service

Debian, Ubuntu:

pakalpojumu sshd restartēt

Ja viņi izmanto fail2ban, ir jāmaina konfigurācija attiecībā uz sshd, pielāgojot portu.

nano /etc/fail2ban/jail.local

[sshd]
port    = ssh, 2000

[sshd-ddos]
port    = ssh, 2000

[dropbear]
port    = ssh, 2000

[selinux-ssh]
port    = ssh, 2000

Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X

Mēs atjaunojam pakalpojumu:

Fedora, RHEL, CentOS:

restartējiet fail2ban.service

Debian, Ubuntu:

restart servisa fail2ban

ugunsmūris

Fedora, RHEL, CentOS:

Šajās sistēmās pēc noklusējuma ir aktivizēti Selinux un Iptables, un es iesaku jums turpināt šo ceļu. Kā atvērt portu ar iptables? Apskatīsim, kā atvērt jauno ssh porta 2000 portu, kuru mēs iepriekš mainījām:

Atvērts:

nano / etc / sysconfig / iptables

un mēs modificējam līniju, kas attiecas uz noklusējuma ssh portu 22, un atstājam to šādi:

# -A INPUT -m stāvoklis --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -p -p tcp -m state --state NEW -m tcp --dport 2000 -j ACCEPT

Mēs saglabājam ar CTRL + O un aizveram ar CTRL + X

Mēs restartējam pakalpojumu:

restartējiet iptables

Debian, Ubuntu:

Debian vai Ubuntu un atvasinājumos mums ir UFW ugunsmūris, kas atvieglos mūsu dzīvi, jo tas ļoti viegli pārvalda Netfilter.

Uzstādīšana:

apt-get install ufw ufw iespējošana

Lai skatītu izpildīto atvērto ostu statusu:

ufw statuss

Lai atvērtu portu (mūsu piemērā tas būs jaunais ssh ports 2000):

ufw atļaut 2000

Lai liegtu portu (mūsu gadījumā tas būs ssh noklusējuma ports 22):

ufw noliegt 22 ufw izdzēst noliegt 22

Un gatavi draugi. Tādā veidā viņi nodrošinās jūsu mašīnu drošību. Neaizmirsti komentēt un līdz nākamajai reizei: D.


41 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   grēcinieks teica

    un šifrēšanas sistēmu, piemēram: https://www.dyne.org/software/tomb/

    1.    grēcinieks teica

      Un arī būra lietotāji jūsu mājās, ja viņi izveido savienojumu ar tty:
      http://olivier.sessink.nl/jailkit/index.html#intro
      https://operativoslinux.wordpress.com/2015/02/21/enjaular-usuarios-en-linux/ (vienkāršākais veids)

    2.    Jukiteru teica

      Šifrēt visu failu sistēmu ir daudz labāk un drošāk.

    3.    Pēterčehs teica

      Šādai apmācībai par drošību Linux es to ņemšu vērā: D.

      1.    Jukiteru teica

        Būtu arī labi runāt par kodola sacietēšanu, izmantojot sysctl, aktivizējot izlases kaudzi un Exec-Shield kodolā, kas to atbalsta, ļauj piekļūt dmesg un / proc failu sistēmai, palaist revīzijas dēmonu, iespējot TCP aizsardzību SYN, ierobežojiet piekļuvi / dev / mem, atspējojiet TCP / IP kaudzes opcijas, kas var būt bīstamas vai mazināt sistēmas drošību (novirzīšana, atbalss, avota maršrutēšana), izmantojiet pam_cracklib lietotājiem, lai ģenerētu spēcīgas paroles, MAC sistēmas, piemēram, Tomoyo, AppArmor un SELinux, izmantošana.

  2.   Gurns teica

    ļoti noderīgs!!!! tieši tas, ko es meklēju, paldies 🙂

    1.    Pēterčehs teica

      Jūs esat laipni draugs :).

  3.   eņģeļu asmens teica

    Ja tiek izmantots apache, ir vērts pievienot kārtulas ar mod_rewrite, lai izvairītos no robotprogrammatūrām. Ļoti noderīgs

    http://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

    1.    rolo teica

      un par nginx ir kāds triks vai konfigurācija?

  4.   rolo teica

    Debian 8 failā / etc / ssh / sshd_config jau ir aktīvs 2. protokols, un funkcija PermitRootLogin ir ar opciju bez paroles (root var ievadīt tikai ar autentifikācijas atslēgu un no datora, kuram ir privātā atslēga)

    Debian 8 ugunsmūris ir ieradies pd, kas to atstāj mazu līdz ufw

    1.    dunter teica

      Vai esat redzējuši fermu? Man patīk, kā tiek definēti noteikumi.

      http://ferm.foo-projects.org/download/examples/webserver.ferm

    2.    Pēterčehs teica

      Es priecājos, ka Debian 8 izmanto firewalld, jo tas ir ļoti ļoti ļoti labi ...

  5.   dunter teica

    Sargieties no fail2ban, ka uzbrucējs ražo paketes ar vietējā datora ip un padara DOS ļoti vienkāršu.

    1.    Hery teica

      Cilvēks, vietējā datora IP un atgriezeniskais savienojums tiek izslēgts no fail2ban saraksta.
      Ja nē, mums varētu būt nepatiesi pozitīvi rezultāti.

  6.   Džeisons soto teica

    Labi un ļoti efektīvi ieteikumi ... Protams, servera vidē un, ja mēs mitinām vietni, tas ietver papildu darbības ... Pašlaik mēs uzturam projektu JackTheStripper, kas ir nekas cits kā bash skripts, kas sagatavo un aizsargā serveri ar GNU / Linux, ievērojot vislabāko drošības praksi, tīmekļa lietojumprogrammām ... projektu varat uzzināt vietnē http://www.jsitech.com/jackthestripper ....

    1.    Jukiteru teica

      Jauks skripts, kaut arī man patīk saglabāt kodola.randomize_va_space = 2 vērtību

      1.    Džeisons soto teica

        Laba lieta ir tā, ka pirms palaišanas to var nedaudz pārveidot atbilstoši savām vajadzībām ... Sveiki ...

    2.    Pēterčehs teica

      Labdien, protams, mans ziņojums attiecas uz pamata apdrošināto, un katram no tiem ir jāaizsargā vairāk vai mazāk atkarībā no pakalpojumiem, kurus tā ir instalējusi savās sistēmās, piemēram, LAMP vai FTP, SFTP, BIND un ilgu utt:)…

      Nākamajā ziņojumā par drošību es pievērsīšos šiem jautājumiem.

      Paldies par pozitīvajām atsauksmēm :).

  7.   nex teica

    @petercheco, jūsu rokasgrāmatas ir izcilas, tas būtu labs FreeeBSD sistēmas šifrēšanas ceļvedis, es nezinu, kad jūs gatavojaties darīt otro daļu par FreeBSD, par galddatoru konfigurēšanu un pielāgošanu, par ugunsmūri, par bezvadu tīkla izveidošanu un konfigurēšanu.

    1.    Pēterčehs teica

      Sveiks draugs,
      Esmu mazliet aizņemts, jo liecina publicēšanas retums, taču es to paturēšu prātā nākamajam FreeBSD ierakstam.

      Sveiciens :).

  8.   Solraka varavīksnene teica

    Tas izlīdzinājās komentāros, man nav ne jausmas, par ko jūs runājat, neviens xD
    Lielisks raksts!

  9.   xunils teica

    Šī drošības darbība nozīmē jebkāda veida aprīkojuma ierobežošanu?

    1.    Pēterčehs teica

      Nē ... Sistēmas normāla lietošana vispār nav ierobežota.

  10.   grēcinieks teica

    Smieklīgākais (traģiskais) ir tas, ka, kā mēs tikko redzējām ar Lenovo mašīnām, ja bios programmaparatūru iejaucas ar ļaunprātīgu programmatūru, nekas, ko jūs darāt, nav svarīgi.

    1.    Pēterčehs teica

      Kamēr jūs izmantojat ražotāja iepriekš instalēto Windows ...

      1.    grēcinieks teica

        kļūda: atcerieties, ka viņi to instalēja BIOS programmaparatūrā, tas ir, vispirms tas sākas ar sistēmu katrā atsāknēšanas reizē, pirms operētājsistēmas, pirms dēmoniem, un tas neļauj jums kaut ko darīt pret to. uzbrukumi ir maz izdarāmi, tāpēc ideja par uefi principā ir laba.

  11.   Pablo teica

    Interesants raksts, es šo pēcpusdienu lasīšu uzmanīgāk. Paldies.

    1.    Pēterčehs teica

      Nav par ko :). Esmu priecīgs.

  12.   Karloss Labākais teica

    Izcils raksts, es izklaidēju sevi visu pēcpusdienu, to lasot. Tiek novērtēts laiks, kas jums vajadzīgs, lai visu ļoti rūpīgi izskaidrotu,

    Sveicieni no Čīles
    Carlos

    1.    Pēterčehs teica

      Sveika, Carlos,
      Liels paldies :).

  13.   Bryons teica

    Ja šķiet, ka Lenovo mašīnām ir iejaukšanās ar ļaunprātīgu programmatūru, mašīnas (klēpjdatoru un galddatorus) ražotājs vienmēr instalē kopā ar Windows, ņemot vērā iepriekšminēto ... vai ziņa ir ... Petercheco?

    1.    Jukiteru teica

      Pat nedarot visu, tas darbojas, jo ļaunprātīgā programmatūra ir paredzēta Windows, nevis Linux.

  14.   SynFlag teica

    Iptables trūkst daudz lietu un triku, piemēram, reibinošs nmap, lai no visām atvērtajām ostām melotu, ka tas ir Windows pc, izmantojot ttl un loga izmēru, scanlogd, apache mod security, grsec, selinux vai kaut kas tamlīdzīgs. Nomainiet ftp ar sftp, ierobežojiet savienojumu skaitu katrā IP katrā X porta pakalpojumā, lai izvairītos no tā, ka pirms DDoS viņi mūs atstāj bez pakalpojumiem, kā arī bloķē IP, kas uz tik daudzām sekundēm sūta vairāk nekā tik daudz UDP.

    1.    Pēterčehs teica

      Izmantojot jūsu iesniegtos piemērus, jauns lietotājs kļūtu traks, to lasot ... Jūs nevarat visu ievietot vienā ierakstā. Es izdarīšu vairākus ierakstus :).

  15.   šini-kire teica

    Dodot sākuma pakalpojumu, šajā brīdī es saņemu kļūdu archlinux, es piešķiru tam statusu, un tas iznāk:
    sudo systemctl statuss fail2ban
    ● fail2ban.service - Fail2Ban pakalpojums
    Ielādēts: ielādēts (/usr/lib/systemd/system/fail2ban.service; iespējots; pārdevēja sākotnējais iestatījums: atspējots)
    Aktīvs: neizdevās (rezultāts: sākuma ierobežojums) kopš piektdienas 2015-03-20 01:10:01 CLST; Pirms 1s
    Dokumenti: man: fail2ban (1)
    Process: 1695 ExecStart = / usr / bin / fail2ban-client -x start (kods = iziet, statuss = 255)

    20. marts 01:10:01 Gundam systemd [1]: neizdevās palaist Fail2Ban pakalpojumu.
    20. marts 01:10:01 Gundam systemd [1]: vienība fail2ban.service nonāca kļūmes stāvoklī.
    20. marts 01:10:01 Gundam systemd [1]: fail2ban.service neizdevās.
    20. marts 01:10:01 Gundam systemd [1]: sākuma pieprasījums pārāk ātri atkārtots fail2ban ... ice
    20. marts 01:10:01 Gundam systemd [1]: neizdevās palaist Fail2Ban pakalpojumu.
    20. marts 01:10:01 Gundam systemd [1]: vienība fail2ban.service nonāca kļūmes stāvoklī.
    20. marts 01:10:01 Gundam systemd [1]: fail2ban.service neizdevās.
    Ieteikums: dažas līnijas tika elipsētas, izmantojiet -l, lai parādītu pilnībā.
    kāda palīdzība? D:

    1.    Pēterčehs teica

      Sveiki, ja jūs iespējojāt fail2ban ar systemctl enable fail2ban.service un systemctl start fail2ban.service, problēma būs jūsu veikto cietumu konfigurācijā. Lūdzu, pārbaudiet cietumu un pārbaudiet, vai viss ir kārtībā.

      Sveiciens
      Pēterčeko

      1.    Majels Franko teica

        Pirmkārt, laba apmācība. Daudzas lietas trūkst, bet jūs esat koncentrējies uz pamatiem.

        shini-kire, pārbaudiet savu /var/log/fail2ban.log

        Sveicieni.

      2.    Pēterčehs teica

        Paldies @Maykel Franco :).

  16.   Džonijs127 teica

    labi,

    fail2ban viņiem to vajadzētu instalēt mājas datorā, vai tas vairāk domāts serveriem ???

    Paldies.

    1.    Pēterčehs teica

      Drīzāk serveriem, bet, ja jūs izmantojat wifi, kuru var piekļūt vairāk cilvēku nekā jūs, tas ir labi ...

  17.   Rodrigo teica

    Sveiks, draugs, man šķiet labs drošības ziņojums īsā ugunsgrēka daļā Gnu / Linux distros. Es rakstu šo komentāru, jo daru to Ubuntu 14.04 izplatīšanā, zinot, ka tas notiek jau 15.04, notiek šāda problēma Es ievadu nano /etc/fail2ban/jail.local kā root, un sshd daļā man nav vizualizācijas, un es saglabāju. Daļā ar nosaukumu [DEFAULT] mēs komentējam un mainām #bantime = 3600 un
    [Sshd] daļā mēs ieviešam iespējotu = true, atstājot to šādi:
    #iespējots = taisnība
    iespējots = patiess
    Nešķiet, ka tas varētu būt tāpēc, ka paldies es strādāju ar iepriekšējo versiju