Ampitomboy ny fiarovana amin'ny GNU / Linux

Salama namana avy amin'ny FromLinux, ny nampanantenaina dia trosa ary ity misy lahatsoratra iray avy ny fomba fanamafisana ny fiarovana ny rafitra Linux ary mitoera ao MAMPIDI-DOZA avy amin'ireo mpiditra an-tsokosoko ary koa miaro ny mombamomba ny mpizara anao, ny PC na ny solosaina findainy !!!!

Comenzando

Fail2ban: dia fampiharana voasoratra amin'ny Python hisorohana ny fidirana an-tsokosoko ao anaty rafitra iray, izay mihetsika amin'ny fanasaziana na fanakanana ireo fifandraisana lavitra izay manandrana miditra amin'ny herisetra.

Fametrahana:

Fedora, RHEL, CentOS:

yum install fail2ban

Debian, Ubuntu:

apt-get install fail2ban

Fametrahana:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local nano /etc/fail2ban/jail.local

Ao amin'ilay ampahany antsoina hoe [DEFAULT] dia tsy mahasosotra izahay ary manova ny #bantime = 3600 mamela azy tahaka izao:

#bantime = 3600 bantime = 604800

Ao amin'ny ampahany [sshd] dia ampahafantarinay hoe afaka = marina mamela azy toy izao:

#enabled = marina azo atao = marina

Mitahiry amin'ny CTRL + O izahay ary manakaiky ny CTRL + X

Manomboka ny serivisy izahay:

Fedora, RHEL, CentOS:

systemctl ahafahan'ny fail2ban.service systemctl manomboka fail2ban.service

Debian, Ubuntu:

serivisy fail2ban fanombohana

Lavina ny fidirana amin'ny root amin'ny fampiasana ssh:

Mba hiarovana ny masininay dia holavinay ny ssh amin'ny alàlan'ny mpampiasa root. Mba hanaovana izany dia manitsy ny rakitra sns / ssh / sshd_config toy izao izahay:

cp sshd_config sshd_config.bck nano / etc / ssh / sshd_config

Tsy milamina isika ary miova

#Fomba 2 Protokol 2

Tsy milamina isika ary miova

#PermitRootLogin eny PermitRootLogin tsia

Mitahiry amin'ny CTRL + O izahay ary manakaiky ny CTRL + X

Manomboka ny serivisy izahay:

Fedora, RHEL, CentOS:

systemctl mamela sshd.service systemctl manomboka sshd.service

Debian, Ubuntu:

serivisy sshd manomboka

Aza lavina ny fidirana amin'ny mpizara ssh amin'ny alàlan'ny tenimiafinao ary avelao ny ssh miaraka amin'ny bokotra RSA ihany

Raha te hifandray amin'ny PC1 mankany Server1 isika, ny zavatra voalohany tokony hataontsika dia ny mamorona ny lakilentsintsika amin'ny PC1. Miaraka amin'ny mpampiasa anay ary tsy misy faka ao amin'ny PC1 dia manatanteraka izahay:

ssh-keygen -t rsa -b 8192 (miteraka fanalahidy mihoatra ny azo antoka izany satria ny lakilen'ny 1024 ka hatramin'ny 2048 no ampiasaina matetika)

Raha vao manana ny tenimiafinay izahay, dia ampidininay amin'ny Server1:

mpampiasa ssh-copie-id @ server_ip

Raha vantany vao vita izany dia hifandray amin'ny Server1 izahay ary hanova ny fisie nano / etc / ssh / sshd_config miaraka amin'ny alàlan'ny root:

mpampiasa ssh @ Server1 nano / etc / ssh / sshd_config

Manova ny andalana milaza ny #PasswordAuthentication eny isika hoe:

#PasswordAuthentication eny
PasswordAuthentication no

Mitahiry amin'ny CTRL + O izahay ary manakaiky ny CTRL + X

Mamerina ny serivisy ssh izahay:

Fedora, RHEL, CentOS:

systemctl restart sshd.service

Debian, Ubuntu:

service sshd restart

Manova seranan-tsofina fihainoana ssh

Manamboatra / etc / ssh / sshd_config indray izahay ary amin'ny ampahany miresaka ny seranana dia avelantsika toy izao:

# Port 22 Port 2000 (na tarehimarika hafa lehibe kokoa noho ny 2000. Amin'ireo ohatra asehonay dia hampiasainay izany.)

Mitahiry amin'ny CTRL + O izahay ary manakaiky ny CTRL + X

Mamerina ny serivisy ssh izahay:

Fedora, RHEL, CentOS:

systemctl restart sshd.service

Debian, Ubuntu:

service sshd restart

Raha mampiasa fail2ban izy ireo dia ilaina ny manova ny fikirakirana momba ny fanitsiana ny sshd ny seranana.

nano /etc/fail2ban/jail.local

[sshd]
port    = ssh, 2000

[sshd-ddos]
port    = ssh, 2000

[dropbear]
port    = ssh, 2000

[selinux-ssh]
port    = ssh, 2000

Mitahiry amin'ny CTRL + O izahay ary manakaiky ny CTRL + X

Manavao ny serivisy izahay:

Fedora, RHEL, CentOS:

systemctl restart fail2ban.service

Debian, Ubuntu:

serivisy fail2ban restart

Firewall

Fedora, RHEL, CentOS:

Selinux sy Iptables dia mavitrika amin'ny alàlan'ireo rafitra ireo ary mamporisika anao hanohy izao fomba izao. Ahoana ny fomba hanokafana seranana misy iptables? Andao hojerentsika ny fomba hanokafana ny seranana vaovao 2000 an'ny ssh port izay novainay teo aloha:

Misokatra:

nano / etc / sysconfig / iptables

ary manova ny tsipika manondro ny ssh port 22 misy anao ary mamela azy toy izao:

# -A INPUT -m fanjakana - fanjakana vaovao -m tcp -p tcp --fandefasana 22 -j ACCEPT -A INPUT -p tcp -m fanjakana - fanjakana NEW -m tcp --dport 2000 -j ACCEPT

Mitahiry amin'ny CTRL + O izahay ary manakaiky ny CTRL + X

Mamerina ny serivisy izahay:

systemctl hamerina iptables

Debian, Ubuntu:

Ao amin'ny Debian na Ubuntu ary ny derivatives dia manana firewall UFW izahay izay hanamora ny fiainantsika rehefa mitantana Netfilter tena mora tokoa.

Fametrahana:

apt-mahazo mametraka ufw ufw mamela

Mba hahitana ny satan'ny seranan-tsambo misokatra ampiharinay:

ufw status

Manokatra seranan-tsambo (amin'ny ohatra asantsika dia ny ssh port 2000 vaovao):

ufw mamela 2000

Raha mandà seranan-tsambo (raha ny eto amintsika dia io no seranan-tsambo 22 an'ny ssh):

ufw mandà 22 ufw hamafa ny fandavana 22

Ary vonona namana. Amin'izany no hiarovan'izy ireo ny masininao. Aza adino ny manome hevitra ary amin'ny manaraka: D.


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

41 hevitra, avelao ny anao

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka. Mitaky saha dia marika amin'ny *

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.

  1.   mpanota dia hoy izy:

    ary rafi-encryption toy ny: https://www.dyne.org/software/tomb/

    1.    mpanota dia hoy izy:

      Ary koa ireo mpampiasa tranomaizina ao an-tranonao raha mifandray amin'i tty izy ireo:
      http://olivier.sessink.nl/jailkit/index.html#intro
      https://operativoslinux.wordpress.com/2015/02/21/enjaular-usuarios-en-linux/ (ny lalana mora)

    2.    Yukiteru dia hoy izy:

      Tsara kokoa sy azo antoka kokoa ny manafina ny rafitra fisie iray manontolo.

    3.    petercheco dia hoy izy:

      Ho an'ity lesona manaraka ity momba ny fiarovana amin'ny Linux dia hoheveriko izany: D.

      1.    Yukiteru dia hoy izy:

        Tsara ihany koa ny miresaka momba ny fanamafisana ny kernel amin'ny alàlan'ny sysctl, fampandehanana ny antontam-bato tampoka sy Exec-Shield ao anaty kernel izay manohana azy, ahafahana miditra amin'ny dmesg sy ny filesystem / proc, mampandeha daemon fanamarinana, ahafahan'ny fiarovana ny TCP. SYN, ferana ny fidirana amin'ny / dev / mem, alefaso ny safidy stack TCP / IP izay mety hampidi-doza na tsy azo antoka ny rafitra (redirect, akony, fanodinana loharano), ampiasao pam_cracklib ho an'ireo mpampiasa hiteraka tenimiafina mahery, ny maha-zava-dehibe ny fampiasana ny rafitra MAC toa an'i Tomoyo, AppArmor ary SELinux.

  2.   Kuk dia hoy izy:

    tena ilaina !!!! izay notadiaviko fotsiny dia misaotra 🙂

    1.    petercheco dia hoy izy:

      Tongasoa ianao namana :).

  3.   angelblade dia hoy izy:

    Raha mampiasa apache ianao dia tsy maninona ny manampy lalàna miaraka amin'ny mod_rewrite hialana amin'ny botika. Tena ilaina

    http://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

    1.    rolo dia hoy izy:

      ary ho an'ny nginx misy fika na fanonerana ve?

  4.   rolo dia hoy izy:

    Ao amin'ny debian 8 ny rakitra / etc / ssh / sshd_config dia efa misy ny Protocol 2 ary ny fiasa PermitRootLogin dia miaraka amin'ilay safidy tsy misy tenimiafina (afaka miditra ao anaty fotony fotsiny ianao miaraka amin'ny fanalahidy fanamarinana ary avy amin'ny solosaina manana fanalahidy manokana)

    pd ao amin'ny debian 8 firewalld dia tonga izay mamela azy kely hipetraka

    1.    dhunter dia hoy izy:

      Nahita ferm ve ianao? Tiako ny famaritana ny lalàna.

      http://ferm.foo-projects.org/download/examples/webserver.ferm

    2.    petercheco dia hoy izy:

      Faly aho fa mampiasa firewalld i Debian 8 satria tena tena tsara ...

  5.   dhunter dia hoy izy:

    Mitandrema amin'ny fail2ban fa misy mpanafika manamboatra fonosana amin'ny ip an'ny pc eo an-toerana ary mahatonga ny DOS ho tena mora.

    1.    Hery dia hoy izy:

      Man, ny PC PC eo an-toerana sy ny loopback IP dia esorina amin'ny lisitra Fail2ban.
      Raha tsy izany dia mety hanana fiatraikany diso isika.

  6.   Jason soto dia hoy izy:

    Soso-kevitra tsara sy tena mahomby… Mazava ho azy fa eo amin'ny tontolon'ny mpizara ary raha mampiantrano tranokala isika dia misy dingana fanampiny…. Izahay izao dia mitazona tetikasa antsoina hoe JackTheStripper izay tsy inona fa ny bash Script manomana sy miantoka mpizara iray miaraka amin'ny GNU / Linux manaraka ny fomba fiarovana tsara indrindra, ho an'ny rindranasa tranonkala ... azonao atao ny mahafantatra ilay tetikasa ao http://www.jsitech.com/jackthestripper ....

    1.    Yukiteru dia hoy izy:

      Skrip mahafinaritra na dia tiako aza ny mitazona ny sandan'ny kernel.randomize_va_space = 2

      1.    Jason soto dia hoy izy:

        Ny zavatra tsara dia alohan'ny anaovana azy dia azonao atao ny manova azy kely araka izay ilainao ..... A Hello ...

    2.    petercheco dia hoy izy:

      Salama, mazava ho azy ny fifandraisan'ny lahatsoratro amin'ny voasedra fototra ary ny tsirairay avy dia tsy maintsy miaro tena bebe kokoa na latsaka miankina amin'ny serivisy napetrany ao amin'ny rafitr'izy ireo toy ny LAMP na FTP, SFTP, BIND ary sns maro hafa :)

      Amin'ny lahatsoratra manaraka momba ny filaminana dia hiresaka ireo olana ireo aho.

      Misaotra tamin'ny hevitra tsara :).

  7.   nex dia hoy izy:

    @petercheco, tsara ny mpitari-dalana anao, mety ho torolàlana ho an'ny encryption ho an'ny rafitra FreeeBSD, tsy haiko hoe rahoviana ianao no hanao ny tapany faharoa momba ny FreeBSD, momba ny fikirakirana sy ny fanaingoana ny birao, momba ny Firewall, momba ny famoronana sy ny fikirakirana tambajotra tsy misy tariby.

    1.    petercheco dia hoy izy:

      Salama namana,
      Somary sahirana aho rehefa mampiseho ireo fandefasana tsy fahita firy, saingy hotadidiko io ho an'ny lahatsoratra FreeBSD manaraka.

      Fiarahabana :).

  8.   Rainbowarrior Solrak dia hoy izy:

    Izany dia nipetraka tao amin'ireo fanehoan-kevitra, tsy fantatro izay lazainao, tsy misy olona xD
    Lahatsoratra mahafinaritra!

  9.   xunil dia hoy izy:

    Ity hetsika fiarovana ity dia midika hoe mametra ny fitaovana amin'ny fomba rehetra?

    1.    petercheco dia hoy izy:

      Tsia ... Tsy voafetra mihitsy ny fampiasana ara-dalàna ny rafitra.

  10.   mpanota dia hoy izy:

    Ary ny zavatra mampihomehy (mampalahelo) dia, araka ny hitantsika tamin'ny masinina Lenovo, raha voahitsakitsaka malware ny firmware bios dia tsy misy zava-dehibe aminao.

    1.    petercheco dia hoy izy:

      Raha mbola mampiasa ny Windows efa napetraky ny mpanamboatra ...

      1.    mpanota dia hoy izy:

        hadisoana: tadidio fa napetrak'izy ireo tao amin'ny firmware bios, izany hoe manomboka amin'ny rafitra isaky ny manomboka indray izy io, alohan'ny ny rafitra fandidiana, alohan'ny devoly, voalohany indrindra, ary tsy avelany hanao na inona na inona hanohitra azy ianao. fanafihana kely azo tanterahina, ka izany no mahatonga ny hevitra uefi tsara amin'ny fitsipika.

  11.   Pablo dia hoy izy:

    Lahatsoratra mahaliana, hovakiako tsara kokoa anio tolakandro. Misaotra anao.

    1.    petercheco dia hoy izy:

      Tsisy fisaorana :). Faly aho.

  12.   Carlos Best dia hoy izy:

    Lahatsoratra tena tsara, nahafinaritra ahy ny namaky azy io tamin'ny tolakandro manontolo. Ny fotoana laninao hanazavana tsara ny zava-drehetra dia ankasitrahana,

    Fiarahabana avy any Chile
    Carlos

    1.    petercheco dia hoy izy:

      Salama Carlos,
      Misaotra betsaka :).

  13.   bryon dia hoy izy:

    Ny masinina Lenovo, raha toa ka niditra an-tsokosoko tamin'ny malware ny firmware bios, dia napetrak'ilay mpanamboatra hatrany amin'ny Windows ny milina (Laptop PC-Desktop Computer), raha jerena etsy ambony… ny post… .petercheco?

    1.    Yukiteru dia hoy izy:

      Na dia tsy manao izany rehetra izany aza dia mandeha, satria ny malware dia natao ho an'ny Windows, fa tsy Linux.

  14.   SynFlag dia hoy izy:

    Betsaka ny zavatra sy tetika tsy hita amin'ireo iptables, toy ny manakivana nmap ka ny port rehetra misokatra, mandainga fa windows pc mampiasa ny ttl sy ny haben'ny varavarankely, scanlogd, apache mod security, grsec, selinux na zavatra toa izany. Soloy ny ftp amin'ny sftp, ferana ny isan'ny fifandraisana isaky ny IP isaky ny serivisy ao amin'ny seranan-tsambo X hisorohana izany alohan'ny DDoS avelany handao antsika tsy misy serivisy, ary koa sakano ireo IP izay mandefa mihoatra ny UDP mandritra ny segondra maro.

    1.    petercheco dia hoy izy:

      Miaraka amin'ireo ohatra natolotrao, ho lasa adala ny mpampiasa vaovao rehefa mamaky azy ... Tsy azonao apetraka ao anaty lahatsoratra iray ny zava-drehetra. Hiditra firaketana maromaro aho :).

  15.   shini-kire dia hoy izy:

    Manana lesoka amin'ny archlinux aho amin'izao fotoana izao rehefa manome ny serivisy fanombohana, omeko azy ny toe-javatra ary mivoaka izany:
    sudo systemctl status fail2ban
    ● fail2ban.service - Serivisy Fail2Ban
    Nampidirina: fenoina (/usr/lib/systemd/system/fail2ban.service; alefa; preset mpivarotra: kilemaina)
    Mavitrika: tsy nahomby (Vokatra: fanombohana-fetra) hatramin'ny Fri 2015-03-20 01:10:01 CLST; 1 volana lasa izay
    Docs: man: fail2ban (1)
    Process: 1695 ExecStart = / usr / bin / fail2ban-client -x fanombohana (kaody = exited, status = 255)

    20 Mar 01:10:01 Gundam systemd [1]: Tsy nahomby tamin'ny fanombohana ny Serivisy Fail2Ban.
    20 Mar 01:10:01 Gundam systemd [1]: Unit fail2ban.service niditra tamin'ny fanjakana tsy nahomby.
    20 Mar 01:10:01 Gundam systemd [1]: fail2ban.service tsy nahomby.
    20 Mar 01:10:01 Gundam systemd [1]: manomboka haingana loatra ny fangatahana ho an'ny fail2ban… ranomandry
    20 Mar 01:10:01 Gundam systemd [1]: Tsy nahomby tamin'ny fanombohana ny Serivisy Fail2Ban.
    20 Mar 01:10:01 Gundam systemd [1]: Unit fail2ban.service niditra tamin'ny fanjakana tsy nahomby.
    20 Mar 01:10:01 Gundam systemd [1]: fail2ban.service tsy nahomby.
    Soso-kevitra: Misy tsipika nolavina, ampiasaina -l mba hisehoany feno.
    fanampiana sasany? D:

    1.    petercheco dia hoy izy:

      Salama, raha nampandeha fail2ban tamin'ny systemctl ianao, alefaso ny fail2ban.service sy ny systemctl hanombohana fail2ban.service, ny olana dia eo amin'ny fikirakirana fonja nataonao. Azafady mba jereo ny fonjao ary zahao fa milamina ny zava-drehetra.

      fiarahabana
      Petercheco

      1.    Maykel Franco dia hoy izy:

        Voalohany indrindra tutorial tsara. Betsaka ny zavatra tsy hita fa nifantoka tamin'ny fototra ianao.

        shini-kire, zahao ny /var/log/fail2ban.log

        Fiarahabana.

      2.    petercheco dia hoy izy:

        Misaotra anao @Maykel Franco :).

  16.   jony127 dia hoy izy:

    tsara,

    fail2ban tokony apetrak'izy ireo amin'ny pc an-trano ve izany sa ho an'ny mpizara ???

    Misaotra anao.

    1.    petercheco dia hoy izy:

      Aleo ho an'ny mpizara fa raha mampiasa wifi azon'ny olona betsaka kokoa noho ianao ianao ianao dia tsara ...

  17.   Rodrigo dia hoy izy:

    Salama namana, heveriko fa io dia toeram-piarovana tsara amin'ny ampahany amin'ny afo fohy ao amin'ny distrikan'i Gnu / Linux, manoratra ity fanehoan-kevitra ity aho satria manao izany amin'ny fizarana Ubuntu 14.04 satria fantatro fa efa ao amin'ny 15.04 izao no mitranga dia izao olana manaraka izao Ampidiriko ny nano /etc/fail2ban/jail.local ho root ary tsy misy sary an-tsaina ao amin'ilay ampahany sshd ary tehiriziko Ao amin'ilay ampahany antsoina hoe [DEFAULT] dia tsy manatsara sy manova ny #bantime = 3600 izahay ary
    Ao amin'ny ampahany [sshd] dia ampahafantarinay hoe afaka = marina mamela azy toy izao:
    #enified = marina
    alefa = marina
    Toa tsy an'ny sshd izany satria mety miasa ilay andiany teo aloha aho