Soļi, lai nodrošinātu mūsu VPS

Šī apmācība parāda, kā sagatavot un aizsargāt virtuālo privāto serveri (VPS) ar Debian GNU / Linux. Pirms sākšanas tiek pieņemtas dažas lietas:

  1. Jums ir vidējs GNU / Linux pārzināšanas līmenis.
  2. Ir VPS personīgai lietošanai, kurai mums ir piekļuve, izmantojot SSH.
  3. VPS ir īpašs ārējs ipv4 250.250.250.155, un mūsu pakalpojumu sniedzējam pieder 250.250.0.0/16 bloks. (1)
  4. Mūsu VPS mums būs iespējoti tikai http, https un ssh pakalpojumi, lai piekļūtu no ārpuses.
  5. Ārējais DNS netiks iespējots, jo tas parasti tiek darīts mūsu pakalpojumu sniedzēja panelī. (2)
  6. Tas darbosies kā superlietotājs.

Uzstādīšana

Vispirms atjaunināsim serveri un instalēsim dažas nepieciešamās pakotnes:

# aptitude update & aptitude safe-upgrade # aptitude -RvW install dropbear gesftpserver sslh iptables-persistent ulogd fail2ban nginx-light apache2-utils dnsutils telnet ghostscript poppler-utils zip unzip unrar-free p7zip-full less multitail tee mc

konfigurācija

Tagad mēs izveidosim darba lietotāju. Darbs kā root serverī ir nedrošs, tāpēc vispirms izveidosim īpašu lietotāju:

adduser operators usermod -aG sudo operators

Pirmā komanda izveido operatora lietotāju, otrā to pievieno grupai sudo, kas ļaus palaist lietojumprogrammas kā root.

Pielāgojiet atļaujas super lietotājiem

Regulāri strādājot, mēs izmantosim lietotāju operatoram iepriekš izveidots, mums jāpielāgo komandu izpildes opcijas kā superlietotājam, kuram izpildām šādu komandu:

Visudo

Šī komanda būtībā ļauj modificēt failu / etc / sudoers; kurā mums vajadzētu ietvert šīs rindas:

Pēc noklusējuma env_reset, timestamp_timeout = 0% sudo ALL = (ALL: ALL) ALL

Pirmajā rindā opcija tiek pievienota noklusējuma vērtībām timestamp_timeout kas ļauj iestatīt paroles derīguma laiku (minūtēs), kad tiek izpildīta sudo komanda. Noklusējums ir 5, bet tas dažreiz ir nedrošs divu iemeslu dēļ:

  1. Ja netīšām atstājam datoru reģistrētu pirms paroles derīguma termiņa beigām, kāds var izpildīt komandu kā superlietotājs bez jebkādiem ierobežojumiem.
  2. Ja nezināšanas dēļ pirms paroles derīguma termiņa beigām mēs izpildām lietojumprogrammu vai skriptu, kurā ir ļaunprātīgs kods, lietojumprogrammai varētu būt piekļuve mūsu sistēmai kā superlietotājam bez mūsu skaidras piekrišanas.

Tātad, lai izvairītos no riskiem, mēs esam iestatījuši vērtību uz nulli, tas ir, katru reizi, kad tiek izpildīta sudo komanda, būs jāievada parole. Ja kā negatīva vērtība tiek iestatīta -1, efekts ir tāds, ka paroles derīguma termiņš nekad nav beidzies, kas radītu pretēju rezultātu nekā mēs vēlamies.

Otrajā rindā ir paskaidrots, ka sudo grupa var izpildīt jebkuru komandu jebkurā datorā, kas ir parasti, lai gan to var pielāgot. (3) Ir tie, kas ērtības labad rindu ievieto šādi, lai nebūtu jāievada parole:

% sudo ALL = (VISI: VISI) NOPASSWD: VISI

Tomēr, kā mēs iepriekš paskaidrojām, tas ir riskanti, un tāpēc tas nav ieteicams.

Atspējot restartēšanu

Drošības apsvērumu dēļ mēs atspējosim arī restartēšanu, izmantojot taustiņu kombināciju Ctrl + Alt + Del, kurai mums failā jāpievieno šī rinda / etc / inittab:

ca: 12345: ctrlaltdel: / bin / echo "Ctrl + Alt + Del ir atspējots."

Nomainiet OpenSSH ar DropBear

Lielākajai daļai VPS ir instalēta OpenSSH, kas noteikti ir ļoti noderīga, taču, ja vien mums nav jāizmanto visa OpenSSH funkcionalitāte, VPS ir vieglākas alternatīvas, piemēram, Lāce, kas parasti ir pietiekams regulārai lietošanai. Tomēr šīs lietojumprogrammas trūkums ir tas, ka tai nav integrēta SFTP servera, un tāpēc mēs sākumā instalējām pakotni gesftpserver.

Lai konfigurētu Dropbear, mēs modificēsim failu / etc / default / dropbear tā, lai tajā būtu šīs divas rindas:

NO_START = 0 DROPBEAR_EXTRA_ARGS = "- w -p 127.0.0.1:22 -I 1200 -m"

Pirmajā rindā vienkārši tiek iespējots pakalpojums, bet otrajā - vairākas darbības:

  1. Izvairieties no piekļuves saknēm.
  2. Tas liek pakalpojumam klausīties vietējā interfeisa 22. portā (mēs to paskaidrosim vēlāk).
  3. Iestata gaidīšanas laiku (20 minūtes).

SSLH

22. ports (SSH) ir plaši pazīstams un parasti ir viens no pirmajiem, ko hakeri mēģina pārkāpt, tāpēc tā vietā izmantosim 443. portu (SSL). Gadās, ka šo portu izmanto drošai pārlūkošanai, izmantojot HTTPS.

Šī iemesla dēļ mēs izmantosim pakotni sslh, kas ir nekas vairāk kā multipleksors, kas analizē paketes, kas nonāk 443. portā, un iekšēji novirza tās uz vienu vai otru pakalpojumu atkarībā no tā, vai trafika veids ir SSH vai SSL.

SSLH nevar klausīties interfeisā, kur jau klausās cits pakalpojums, tāpēc mēs iepriekš licām Dropbear klausīties vietējā interfeisā.

Tagad tas, kas mums jādara, ir norādīt sslh saskarni un portu, caur kuru tai vajadzētu klausīties, un kur novirzīt paketes atkarībā no pakalpojuma veida, un tāpēc mēs modificēsim konfigurācijas failu / etc / default / sslh:

DAEMON = / usr / sbin / sslh DAEMON_OPTS = "- lietotājs sslh - klausieties 250.250.250.155:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile / var / run / sslh / sslh .pid "RUN = jā

Visbeidzot, mēs restartējam pakalpojumus:

service ssh stop && service dropbear start && service sslh restart

Pēc iepriekšējās komandas mūsu drošā sesija, iespējams, tiks pārtraukta, tādā gadījumā pietiek ar atkārtotu pieteikšanos, taču šoreiz ar darba lietotāju un izmantojot 443. portu. Ja sesija netiek pārtraukta, ieteicams to aizvērt un sākt no jauna. ar atbilstošām vērtībām.

Ja viss darbojas pareizi, mēs varam turpināt strādāt kā root un, ja vēlaties, atinstalējiet OpenSSH:

sudo su - aptitude -r tīrīšana openssh-server

Ugunsmūris

Nākamā lieta, ko mēs darīsim, ir žurnālu atdalīšana no ugunsmūra atsevišķā failā /var/log/firewall.log lai atvieglotu turpmāku analīzi, tāpēc startēšanas laikā mēs instalējām ulogd pakotni. Šim nolūkam mēs rediģēsim failu /etc/logd.conf lai pielāgotu attiecīgo sadaļu:

[LOGEMU] file = "/ var / log / firewall.log" sync = 1

Pēc tam mēs modificēsim ierakstu pagriešanas failu / etc / logrotate / ulogd saglabāt ikdienas rotāciju (ar datumu) un direktorijā saglabāt saspiestos salves / var / log / ulog /:

/var/log/ulog/*.log /var/log/firewall.log {daily dateext missingok saspiestu delaycompress sharedscripts izveido 640 root adm postrotate /etc/init.d/ulogd reload mv /var/log/firewall.log-* .gz / var / log / ulog / endcript}

Tad mēs izveidosim netfilter kārtulas, izpildot sekojošo:

IPT = $ (kuras iptables) IPEXT = 250.250.250.155 IPEXTBLK = 250.250.0.0 / 16 IPBCAST = 255.255.255.255 $ IPT -F $ IPT -X $ IPT -Z $ IPT -A INPUT -i lo -j ACCEPT $ IPT - P INPUT DROP $ IPT -P FORWARD DROP $ IPT -P OUTPUT ACCEPT $ IPT -A INPUT -m state --state INVALID -j ULOG --ulog-prefix IN_INVALID $ IPT -A INPUT -p igmp -j ULOG --ulog -prefix IN_IGMP $ IPT -A INPUT -m pkttype --pkt tipa apraide -j ULOG --ulog-prefix IN_BCAST $ IPT -A INPUT -m pkttype --pkt-type multicast -j ULOG --ulog-prefix IN_MCAST $ IPT -A FORWARD -j ULOG - prefikss FORWARD $ IPT -N ICMP_IN $ IPT -A INPUT!  -i lo -p icmp -j ICMP_IN $ IPT -A ICMP_IN -p icmp -f -j ULOG --ulog-prefikss IN_ICMP_FRAGMENTED $ IPT -A ICMP_IN -p icmp -m icmp -m garums!  -length 28: 1322 -j ULOG --ulog-prefikss IN_ICMP_INVALIDSIZE $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-virs 4 / sek --hashlimit-mode srcip --hashlimit-srcmask 24 - -hashlimit-name icmpflood -j ULOG --ulog-prefix IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-up to 64kb / min --hashlimit-mode srcip --hashlimit-srcmask 24 - hashlimit-name icmpattack -j ULOG --ulog-prefikss IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m u32!  --u32 "0x4 & 0x3fff = 0x0" -j ULOG --ulog-prefikss IN_ICMP_ATTACK $ IPT -A ICMP_IN -p icmp -m icmp!  --icmp tipa atbalss pieprasījums -m stāvoklis - stāvoklis JAUNS -j ULOG --uloga prefikss IN_ICMP_INVALID $ IPT -A ICMP_IN -p icmp -m icmp --icmp tipa atbalss pieprasījums -j ULOG --ulog- prefikss IN_ICMP $ IPT -A ICMP_IN -p icmp -m icmp --icmp tipa atbalss pieprasījums -m ierobežojums - ierobežojums 1 / s - ierobežojums - pārsprāgt 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp -icmp tipa atbalss-atbildes ierobežojums - ierobežojums 2 / sek limits 4 / sec --limit-burst 2 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp tipa laiks pārsniegts -m limit - limit 4 / sec --limit-burst 2 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp tipa parametrs-problēma -m ierobežojums - ierobežojums 4 / sek - ierobežojuma sprādziens 2 - j PIEŅEMT $ IPT -A ICMP_IN -j ATGRIEŠANA $ IPT -N UDP_IN $ IPT -A IEVADE!  -i lo -p udp -j UDP_IN $ IPT -A UDP_IN!  -i lūk!  -p udp -f -j ULOG --ulog-prefikss IN_UDP_FRAGMENTED $ IPT -A UDP_IN -p udp -m udp --sport 53 -m garums!  --length 28: 576 -j ULOG --ulog-prefikss IN_UDP_DNS_INVALIDSIZE $ IPT -A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j ULOG --ulog-prefix IN_UDP_DNSREQUEST $ IPT - A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j REJECT --reject-with icmp-port-nepasniedzams $ IPT -A UDP_IN -p udp -m udp!  --sports 53!  -s $ IPEXTBLK!  -d $ IPBCAST -m stāvoklis --valsts NEW -j ULOG --ulog-prefikss IN_UDP $ IPT -A UDP_IN -p udp -m udp -m stāvoklis --valsts ESTABLISHED, SAISTĪTS -j ACCEPT $ IPT -A UDP_IN -j ATGRIEZT $ IPT -N TCP_IN $ IPT -A IEVADS!  -i lo -p tcp -j TCP_IN $ IPT -A TCP_IN!  -i lūk!  -p tcp -f -j ULOG --ulog-prefikss IN_TCP_FRAGMENTED $ IPT -A TCP_IN -p tcp -m tcp --sport 53 -m štats --valsts IESTATĪTS, SAISTĪTS -m garums!  --lg 513: 1500 -j ULOG --ulog-prefikss IN_TCP_DNS_INVALIDSIZE $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m stāvoklis --valsts NEW -j ULOG --ulog-prefikss IN_TCP_DNS $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m state --state NEW -j REJECT --reject-with icmp-port-nepasniedzams $ IPT -A TCP_IN -p tcp -m tcp -m multiport!  --dports 80,443 -m stāvoklis --valsts NEW -j ULOG --ulog-prefikss IN_TCP $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m stāvoklis --valsts NEW -m hashlimit - hashlimit-upto 4 / sec --hashlimit-burst 16 --hashlimit-mode srcip --hashlimit-name navreq -j ACCEPT $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state - štats IZDibināts -m savienojums!  --connlimit-above 16 -j PIEŅEMT $ IPT -A TCP_IN -p tcp -m tcp -m multiport! 

Izmantojot iepriekšējo konfigurāciju, mūsu VPS vajadzētu būt pienācīgi nodrošinātam, taču, ja mēs vēlamies, mēs to varam nodrošināt vēl nedaudz, un mēs varam izmantot dažus uzlabotus noteikumus.

Ne visi VPS ļauj netfiltram instalēt papildu moduļus, taču ļoti noderīgs ir psd, kas ļauj izvairīties no ostu skenēšanas. Diemžēl šis modulis pēc noklusējuma nav integrēts netfilter, tāpēc ir nepieciešams instalēt noteiktus pakotnes un pēc tam izveidot moduli:

aptitude -RvW instalēt iptables-dev xtables-addons-source module-assistant moduļa palīgs -verbose - teksta režīma automātiskā instalēšana

Kad iepriekšminētais ir izdarīts, mēs varam pievienot šādu kārtulu:

iptables -A IEVADE -m psd --psd-svara slieksnis 15 --psd-delay-2000. gada slieksnis --psd-lo-port-weight 3 --psd-hi-ports-weight 1 -j ULOG --ulog- prefikss IN_PORTSCAN

Iepriekšējais noteikums būtībā nozīmē, ka mēs izveidosim skaitītāju, kas palielināsies par 3 katru reizi, kad tiek mēģināts piekļūt ostai, kas ir zemāka par 1024, un par 1 katru reizi, kad mēģina piekļūt ostai, kas augstāka par 1023, un, kad šis skaitītājs sasniedz 15 collas mazāk nekā 20 sekundes, pakas reģistrēs ulogs kā mēģinājumu portscan. Paketes joprojām varēja izmest uzreiz, taču šajā gadījumā mēs plānojam to izmantot fail2ban, kuru mēs konfigurēsim vēlāk.

Kad kārtulas ir izveidotas, mums ir jāveic daži piesardzības pasākumi, lai padarītu tos pastāvīgus, pretējā gadījumā mēs tos zaudēsim, restartējot serveri. Ir vairāki veidi, kā to paveikt; Šajā apmācībā mēs izmantosim iptables-persistent pakotni, kuru mēs instalējām sākumā, kurā noteikumi tiek saglabāti /etc/iptables/rules.v4 y /etc/iptables/rules.v6 priekš ipv6.

iptables-save> /etc/iptables/rules.v4

Patiesībā, kaut arī ipv6 izmantošana Kubā vēl nav plaši izplatīta, mēs varētu labi izveidot dažus pamatnoteikumus:

IPT = $ (kuras ip6tabulas) $ IPT -P INPUT DROP $ IPT -P FORWARD DROP $ IPT -P OUTPUT ACCEPT $ IPT -A INPUT -i lo -j ACCEPT $ IPT -A INPUT! -i lo -m stāvoklis -valsts Dibināta, SAISTĪTA -j ACCEPT atiestatīt IPT

Šos noteikumus var arī padarīt pastāvīgus:

ip6tables-save> /etc/iptables/rules.v6

Visbeidzot, lai nodrošinātu lielāku drošību, mēs notīrām ugunsmūra reģistru un restartējam pakalpojumus:

echo -n> /var/log/firewall.log pakalpojums logrotate restart service ulogd restart service iptables-persistent restart

Nginx

Mēs izmantosim Nginx kā tīmekļa serveri, jo VPS parasti ir mazāks operatīvās atmiņas apjoms, salīdzinot ar reālu serveri, tāpēc parasti ir ērti, ja ir kaut kas vieglāks par Apache.

Pirms Nginx konfigurēšanas mēs izveidosim sertifikātu (bez paroles) izmantošanai, izmantojot HTTPS:

cd / etc / nginx openssl genrsa -des3 -out cert.key 4096 cp -v cert.key cert.key.original openssl req-new -key cert.key -out cert.csr openssl rsa -in cert.key.original - out cert.key openssl x509 -req -days 365 -in cert.csr -signkey cert.key -out cert.crt

Kad tas būs izdarīts, mēs izveidosim paroles failu lietotājam "elusuario":

htpasswd -c .htpasswd lietotājs

Tālāk mēs modificēsim failu / etc / nginx / sites-available / default lai iestatītu noklusējuma vietnes preferences. Tas varētu izskatīties šādi:

serveris {server_name localhost; indekss index.html index.htm noklusējums.html noklusējums.htm; sakne / var / www; atrašanās vieta / {# iestatiet verifikācijas kārtību un ielādējamo lapu, ja URI nav atrasts try_files $ uri $ uri / /index.html; }} serveris {klausīties 127.0.0.1:443; server_name localhost; indekss index.html index.htm noklusējums.html noklusējums.htm; sakne / var / www; ssl ieslēgts; ssl_certificate cert.crt; ssl_certificate_key cert.key; ssl_session_timeout 5m; # Iespējot HTTPS tikai, izmantojot TLS (drošāks nekā SSL). Ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # dodiet priekšroku augstas stiprības [HIGH] šifriem, # pārvietojiet vidēja stipruma [MEDIUM] šifrus uz saraksta beigām, # atspējojiet zema stipruma [LOW] šifrus (40 un 56 biti) # atspējojiet šifrus ar eksportēšanas algoritmiem [ EXP] # atspējot nulles šifrus [eNULL] bez autentifikācijas [aNULL], SSL (2. un 3. versija) un DSS (atļaut tikai atslēgas līdz 1024 bitiem) ssl_ciphers HIGH: + MEDIUM :! LOW :! EXP:! ANULL :! eNULL :! SSLv3 :! SSLv2 :! DSS; # Dodiet priekšroku servera šifrēšanas metodēm (pēc noklusējuma tiek izmantotas klienta metodes) ssl_prefer_server_ciphers on; atrašanās vieta / {# iespējot autentifikāciju auth_basic "Pieteikšanās"; auth_basic_user_file /etc/nginx/.htpasswd; # iestatiet verifikācijas kārtību un ielādējamo lapas kodu, ja nav atrasts URI try_files $ uri $ uri / = 404; # atļaut izveidot indeksu autentificētiem lietotājiem autoindex on; autoindex_exact_size off; autoindex_localtime ieslēgts; }}

Mēs pārbaudām, vai konfigurācija ir pareiza:

nginx-t

Visbeidzot, mēs restartējam pakalpojumu:

servisa nginx restart

Fail2Ban

Pirms sākat konfigurēt Fail2Ban, lai nodrošinātu lielāku drošību, mēs pārtraucam pakalpojumu un notīriet reģistru:

fail2ban-klienta apstāšanās atbalss -n> /var/log/fail2ban.log

Tālāk mēs izveidojam konfigurācijas failu /etc/fail2ban/jail.local ar šādu pielāgotu saturu:

# Pielāgots konfigurācijas fails /etc/fail2ban/jail.local # [DEFAULT] findtime = 43200; 12 stundas bantime = 86400; 1 dienas maksimālais mēģinājums = 3; aizliegums stāsies spēkā pēc 4. mēģinājuma [ssh] enabled = false [nginx-auth] iespējots = true filter = nginx-auth action = iptables-multiport [name = NoAuthFailures, port = "http, https"] logpath = / var / log / nginx * / * kļūda * .log [nginx-badbots] iespējots = true filter = apache-badbots action = iptables-multiport [name = BadBots, port = "http, https"] logpath = / var / log / nginx * /*access*.log bantime = 604800; 1 nedēļa maxretry = 0 [nginx-login] iespējots = true filtrs = nginx-login darbība = iptables-multiport [name = NoLoginFailures, ports = "http, https"] logpath = / var / log / nginx * / * piekļuve *. baļķa laiks = 1800; 30 minūtes [nginx-noscript] iespējots = true action = iptables-multiport [name = NoScript, port = "http, https"] filter = nginx-noscript logpath = /var/log/nginx*/*access*.log maxretry = 0 [nginx-proxy] iespējots = true action = iptables-multiport [name = NoProxy, port = "http, https"] filter = nginx-proxy logpath = /var/log/nginx*/*access*.log bantime = 604800 ; 1 nedēļa maxretry = 0 [ugunsmūris] iespējots = true action = iptables-multiport [name = Firewall] filtrs = ugunsmūra logpath = /var/log/firewall.log maxretry = 0

Kad tas ir izdarīts, mēs izveidojam direktorijā /etc/fail2ban/filters.d/ šādus failus:

# /etc/fail2ban/filter.d/nginx-auth.conf # Auth filter # Bloķē IP, kurus neizdodas autentificēt, izmantojot pamata autentifikāciju # [Definīcija] failregex = pamata autentifikācijai netika piešķirts lietotājs / parole. * klients: lietotājs. * netika atrasts. * klientā: lietotājs. * neatbilstoša parole. * klients: ignoreregex =
# /etc/fail2ban/filter.d/nginx-login.conf # Pieteikšanās filtrs # Bloķē IP, kuru autentifikācija neizdodas, izmantojot tīmekļa lietojumprogrammas pieteikšanās lapu # Skenēšanas piekļuves žurnāls HTTP 200 + POST / sesijas => neizdevās pieteikties # [Definīcija ] failregex = ^ -. * POST / sesijas HTTP / 1 \ .. "200 ignoreregex =
# /etc/fail2ban/filter.d/nginx-noscript.conf # Noscript filtrs # Bloķējiet IP, mēģinot izpildīt tādus skriptus kā .php, .pl, .exe un citus smieklīgus skriptus. # Atbilst, piemēram, # 192.168.1.1 - - "GET /something.php # [Definīcija] failregex = ^ -. * GET. * (\. Php | \ .asp | \ .exe | \ .pl | \ .cgi | \ scgi) ignoreregex =
# /etc/fail2ban/filter.d/proxy.conf # Starpniekservera filtrs # Bloķējiet IP, mēģinot izmantot serveri kā starpniekserveri. # Spēles, piemēram, # 192.168.1.1 - - "IEGŪT http://www.something.com/ # [Definīcija] failregex = ^ -. * IEGŪT http. * Ignoreregex =
# /etc/fail2ban/filter.d/firewall.conf # Ugunsmūra filtrs # [Definīcija] failregex = ^. * IN_ (DERĪGS | PORTCAN | UDP | TCP |). * SRC = . * $ ignoreregex =

Visbeidzot, mēs sākam pakalpojumu un ielādējam konfigurāciju:

fail2ban-service -b fail2ban-klienta pārlādēšana

Pārbaude

Kā pēdējo soli mēs varam skatīt ierakstus ar astes-f o multitail - sekot visiem. Faktiski pēdējā lietojumprogramma piedāvā priekšrocību, ka tā ļauj vienlaikus skatīt vairākus failus un nodrošina pamata sintakses izcelšanu.

Ja e-pasta konts nav konfigurēts VPS, ieteicams atspējot brīdinājuma ziņojumu, kas tiek parādīts, startējot multitail, kuram izpildīsim šādu komandu:

echo "check_mail: 0"> ~ / .multitailrc

Patiesībā mēs varētu izveidot aizstājvārdu (4), lai ātri apskatītu žurnālus, izmantojot īsu komandu, piemēram, "flog":

alias flog = 'multitail --follow-all /var/log/firewall.log /var/log/fail2ban.log'

1) Tās ir fiktīvas vērtības.
2) Citu pakalpojumu iespējošana ir vienkārša, kad esat sapratis, kā tas darbojas.
3) Lai iegūtu sīkāku informāciju, palaidiet man sudoers.
4) Pēc izvēles var pievienot failam ~ / .bash_aliases


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

6 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   MSX teica

    Ir dažas interesantas lietas, +1

  2.   Jukiteru teica

    @Hugo šo līniju konfigurācijā:

    ssl_protocols SSLv3 TLSv1;

    Es izņemtu no tā SSLv3, jo šis protokols vairs nav drošs, pat Debian Jessie, daudzi pakalpojumi ir konfigurēti, lai šī iemesla dēļ izvairītos no šī protokola izmantošanas.

    Informācija par tēmu šeit:

    https://www.linode.com/docs/security/security-patches/disabling-sslv3-for-poodle
    http://disablessl3.com/

    1.    Hugo teica

      Ideja patiesībā nebija piedāvāt galvenos pakalpojumus, izmantojot HTTPS, bet gan izskaidrot, kā izmantot 443 portu SSH, nezaudējot iespēju to vajadzības gadījumā izmantot HTTPS, taču paldies par brīdinājumu.

      Jebkurā gadījumā es esmu atjauninājis rakstu, lai nedaudz mainītu nginx konfigurāciju, un, starp citu, esmu iekļāvis dažus komentārus, lai nedaudz vairāk paskaidrotu lietas ar šo šifrēšanas mehānismu un novērstu dažas nelielas kļūdas.

  3.   Daniels PZ teica

    Liels paldies par šo lielisko apmācību, tagad es to īstenošu praksē! : D, Turpini tā no Linux, tu mani vienmēr pārsteidz, Sveiciens no Peru.

  4.   Ekandekuera teica

    Liels paldies par dalīšanos.

  5.   Fernando teica

    Ļoti labs ceļvedis, un tas nāk no pērlēm tagad, kad sāku strādāt ar šo emuāru veidošanu, bet vēl jo vairāk, kad es gatavojos uzstādīt savus pirmos vps un pat ar daudzām problēmām, taču šis raksts mani ir izvedis no daudzām šaubām, paldies un apsveikumiem