पासून हॅलो मित्र DesdeLinux, lo prometido es deuda y aquí va un post de लिनक्स सिस्टमचे संरक्षण कसे करावे आणि तसाच रहा सुरक्षित घुसखोरांकडून तसेच आपल्या सर्व्हरवरील माहितीचे संरक्षण, पीसी किंवा लॅपटॉप !!!!
कॉमेन्झाँडो
फेलबॅन: सिस्टममध्ये घुसखोरी रोखण्यासाठी पायथनमध्ये लिहिलेले एक अनुप्रयोग आहे, जे ब्रुट फोर्स प्रवेशाचा प्रयत्न करणारे दूरस्थ कनेक्शनवर दंड किंवा अवरोधित करून कार्य करते.
स्थापना:
फेडोरा, आरएचईएल, सेंटोस:
yum install fail2ban
डेबियन, उबंटू:
apt-get install fail2ban
सेटिंगः
सीपी /etc/fail2ban/jail.conf /etc/fail2ban/jail.local नॅनो /etc/fail2ban/jail.local
[डेफॉल्ट] नावाच्या भागामध्ये आम्ही #bantime = 3600 असं सोडून त्या सुधारित करतो:
# बॅनटाइम = 3600 बॅनटाइम = 604800
[एसएसडीडी] भागामध्ये आम्ही सक्षम केला आहे = ख leaving्या प्रकारे हे सोडल्यास:
# सक्षम = सत्य सक्षम = सत्य
आम्ही सीटीआरएल + ओ सह बचत करतो आणि सीटीआरएल + एक्स सह बंद करतो
आम्ही सेवा सुरू करतोः
फेडोरा, आरएचईएल, सेंटोस:
systemctl fail2ban.service सक्षम करा systemctl start fail2ban.service
डेबियन, उबंटू:
सेवा अयशस्वी 2 प्रारंभ
Ssh वापरून मूळ प्रवेशास नकार द्या:
आमच्या मशीनचे रक्षण करण्यासाठी आम्ही रूट वापरकर्त्याद्वारे ssh नाकारणार आहोत. हे करण्यासाठी आम्ही / etc / ssh / sshd_config ही फाइल खाली संपादित करतोः
सीपी sshd_config sshd_config.bck नॅनो / इत्यादी / ssh / sshd_config
आम्ही बिनधास्त आणि बदलतो
# प्रोटोकोल 2 प्रोटोकॉल 2
आम्ही बिनधास्त आणि बदलतो
# परमिट रूटलॉगिन होय परमिट रुट लॉगिन क्र
आम्ही सीटीआरएल + ओ सह बचत करतो आणि सीटीआरएल + एक्स सह बंद करतो
आम्ही सेवा सुरू करतोः
फेडोरा, आरएचईएल, सेंटोस:
systemctl सक्षम sshd.service systemctl प्रारंभ sshd.service
डेबियन, उबंटू:
सेवा sshd प्रारंभ
संकेतशब्द वापरुन एसएसएस सर्व्हरवर प्रवेश करण्यास नकार द्या आणि केवळ आरएसए की सह एसएसएसला परवानगी द्या
जर आम्हाला पीसी 1 शी सर्व्हर 1 शी कनेक्ट करायचे असेल तर प्रथम आपण पीसी 1 वर आपली की व्युत्पन्न करणे आवश्यक आहे. आमच्या वापरकर्त्यासह आणि पीसी 1 रूटशिवाय आम्ही कार्यान्वित करतो:
ssh-keygen -t rsa -b 8192 (1024 ते 2048 पर्यंत सामान्यतः वापरल्या जाणार्या कीज पेक्षा ही अधिक सुरक्षित की व्युत्पन्न करते)
एकदा आमच्याकडे आपला संकेतशब्द झाल्यावर आम्ही ते सर्व्हर 1 वर अपलोड करतो:
ssh-copy-id वापरकर्ता @ सर्व्हर_आयपी
एकदा हे पूर्ण झाल्यावर आम्ही आमच्या सर्व्हर 1 शी कनेक्ट होऊ आणि मूळ परवानग्यांसह नॅनो / इत्यादी / एसएसएस / एसएसडी_कॉन्फिग फाइल सुधारित करू:
ssh वापरकर्ता @ सर्व्हर 1 नॅनो / इत्यादी / ssh / sshd_config
आम्ही ही ओळ बदलत आहोत ज्याला # संकेतशब्द प्रमाणीकरण होय असे म्हणतात:
# पासवर्डवर्ड प्रमाणीकरण होय
संकेतशब्द प्रमाणिकरण क्र
आम्ही सीटीआरएल + ओ सह बचत करतो आणि सीटीआरएल + एक्स सह बंद करतो
आम्ही ssh सेवा रीस्टार्ट करतोः
फेडोरा, आरएचईएल, सेंटोस:
systemctl रीस्टार्ट sshd.service
डेबियन, उबंटू:
सर्व्हिस sshd रीस्टार्ट
एसएस ऐकण्याचे पोर्ट बदला
पुन्हा आम्ही / etc / ssh / sshd_config संपादित करतो आणि पोर्टचा संदर्भ घेत असलेल्या भागात आम्ही हे असे सोडतो:
# पोर्ट 22 पोर्ट 2000 (किंवा 2000 पेक्षा इतर कोणतीही संख्या. आमच्या उदाहरणांमध्ये आम्ही याचा वापर करू.)
आम्ही सीटीआरएल + ओ सह बचत करतो आणि सीटीआरएल + एक्स सह बंद करतो
आम्ही ssh सेवा रीस्टार्ट करतोः
फेडोरा, आरएचईएल, सेंटोस:
systemctl रीस्टार्ट sshd.service
डेबियन, उबंटू:
सर्व्हिस sshd रीस्टार्ट
ते फेल 2 बॅन वापरत असल्यास sshd पोर्ट समायोजित करण्याविषयी कॉन्फिगरेशन बदलणे आवश्यक आहे.
nano /etc/fail2ban/jail.local [sshd] port = ssh, 2000 [sshd-ddos] port = ssh, 2000 [dropbear] port = ssh, 2000 [selinux-ssh] port = ssh, 2000
आम्ही सीटीआरएल + ओ सह बचत करतो आणि सीटीआरएल + एक्स सह बंद करतो
आम्ही सेवेचे नूतनीकरण करतोः
फेडोरा, आरएचईएल, सेंटोस:
systemctl रीस्टार्ट अयशस्वी 2ban.service
डेबियन, उबंटू:
सेवा अयशस्वी 2 रीस्टार्ट
फायरवॉल
फेडोरा, आरएचईएल, सेंटोस:
सेलिनुक्स आणि इप्तेबल्स या सिस्टमवर डीफॉल्टनुसार सक्रिय केल्या जातात आणि मी शिफारस करतो की आपण या मार्गाने सुरू ठेवा. इप्टेबल्ससह पोर्ट कसे उघडावे? आपण पूर्वी बदललेल्या ssh पोर्टचे नवीन पोर्ट 2000 कसे उघडावे ते पाहू:
उघडा:
नॅनो / इत्यादी / सिस्कोन्फिग / इप्टेबल्स
आणि आम्ही डीफॉल्ट ssh पोर्ट 22 चा संदर्भ देत लाइन सुधारित केली आणि त्यास असे सोडले:
# -ए इनपुट-मी राज्य - नवीन नवी-टीसीपी-पी टीसीपी --dport 22 -j एसीसीपीटी -ए इनपुट -पी टीसीपी-एम राज्य -स्टेट नवीन-मी टीसीपी --dport 2000 -j एसीसीपीटी
आम्ही सीटीआरएल + ओ सह बचत करतो आणि सीटीआरएल + एक्स सह बंद करतो
आम्ही सेवा रीस्टार्ट करतोः
systemctl रीस्टार्ट iptables
डेबियन, उबंटू:
डेबियन किंवा उबंटू आणि डेरिव्हेटिव्ह्जमध्ये आमच्याकडे एक यूएफडब्ल्यू फायरवॉल आहे ज्यामुळे आपले जीवन सुलभ होईल कारण हे नेटफिल्टरचे व्यवस्थापन अतिशय सुलभ करते.
स्थापना:
apt-get प्रतिष्ठापन ufw ufw सक्षम
आम्ही कार्यान्वित केलेल्या खुल्या बंदरांची स्थिती पाहण्यासाठीः
यूएफडब्ल्यू स्थिती
पोर्ट उघडण्यासाठी (आमच्या उदाहरणात ते नवीन ssh पोर्ट 2000 असेल):
ufw 2000 ला परवानगी द्या
बंदर नाकारण्यासाठी (आमच्या बाबतीत ते ssh चे डीफॉल्ट पोर्ट 22 असेल):
ufw 22 नाकारू नका
आणि तयार मित्र. अशा प्रकारे ते आपली मशीन्स सुरक्षित ठेवतील. टिप्पणी देण्यास विसरू नका आणि पुढच्या वेळेपर्यंत: डी.
आणि एनक्रिप्शन सिस्टम जसे की: https://www.dyne.org/software/tomb/
आणि जर टीटी द्वारे कनेक्ट केले असेल तर आपल्या घरात पिंजरा देखील द्याः
http://olivier.sessink.nl/jailkit/index.html#intro
https://operativoslinux.wordpress.com/2015/02/21/enjaular-usuarios-en-linux/ (सोपा मार्ग)
संपूर्ण फाइल सिस्टमला एन्क्रिप्ट करणे हे बरेच चांगले आणि अधिक सुरक्षित आहे.
लिनक्समधील सुरक्षिततेसंबंधित पुढील ट्यूटोरियलसाठी मी हे ध्यानात घेईन: डी.
सिस्टीकलच्या सहाय्याने कर्नल कडक करणे, समर्थन करणारे कर्नलमधील यादृच्छिक ढीग आणि एक्झिक-शील्ड सक्रिय करणे, डीएमएसजी व / सीओआर फाइल सिस्टममध्ये प्रवेश सक्षम करणे, ऑडिट डिमन चालवणे, टीसीपी संरक्षण एसवायएन सक्षम करणे याविषयी देखील चर्चा करणे चांगले आहे. , / देव / मेम पर्यंत प्रवेश प्रतिबंधित करा, टीसीपी / आयपी स्टॅक पर्याय अक्षम करा जे धोकादायक किंवा सिस्टम असुरक्षित असू शकतात (पुनर्निर्देशित, प्रतिध्वनी, स्त्रोत मार्ग), मजबूत संकेतशब्द व्युत्पन्न करण्यासाठी पॅम_क्रॅकलिब वापरा, टॉम्यो सारख्या मॅक सिस्टमचा वापर महत्त्व. , अॅपआर्मोर आणि सेईलिनक्स.
खूप उपयुक्त !!!! फक्त मी आभार शोधत होतो 🙂
आपण स्वागत आहे मित्र :).
आपण अपाचे वापरत असल्यास, बॉटस टाळण्यासाठी मोड_ब्रॉईटसह नियम जोडल्यास दुखापत होणार नाही. खूप उपयुक्त
http://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
आणि एनजीन्क्ससाठी काही युक्ती किंवा कॉन्फिगरेशन आहे का?
डिबियन 8 मध्ये / etc / ssh / sshd_config फाईलमध्ये आधीपासून प्रोटोकॉल 2 सक्रिय आहे आणि परमिटरूटलॉगिन फंक्शन विना-संकेतशब्दासह आहे (आपण केवळ प्रमाणीकरण कीसह आणि खासगी की असलेल्या संगणकावरून मूळ प्रविष्ट करू शकता)
पीडी इन डेबियन 8 फायरवॉल्ट आला आहे ज्यामुळे त्याचे आयुष्य लहान होईल
आपण फरम पाहिले आहे का? मला नियम कसे परिभाषित केले जातात ते आवडते.
http://ferm.foo-projects.org/download/examples/webserver.ferm
बरं, मला आनंद आहे की डेबियन 8 फायरवॉल्ड वापरतो कारण तो खूप चांगला आहे ...
अपयशी लोकांविषयी सावधगिरी बाळगा की एखादा आक्रमणकर्ता स्थानिक पीसीच्या आयपीसह पॅकेट तयार करतो आणि डॉस अगदी सुलभ करतो.
मॅन, स्थानिक पीसी आयपी आणि लूपबॅक एक फेल2बॅन सूचीमधून वगळलेले आहे.
तसे नसल्यास आपल्याकडे चुकीचे सकारात्मक मत असू शकतात.
चांगल्या आणि अत्यंत प्रभावी शिफारसी… नक्कीच सर्व्हर वातावरणात आणि आम्ही वेबसाइट होस्ट करत असल्यास त्यात अतिरिक्त चरणे समाविष्ट आहेत…. आम्ही सध्या जॅक दस्ट्राइपर नावाचा प्रोजेक्ट ठेवतो जो बॅश स्क्रिप्टशिवाय काहीच नाही जो वेब सिक्युरिटीजसाठी, जीएनयू / लिनक्ससह सर्व्हर तयार करतो आणि सुरक्षित करतो, वेब अॅप्लिकेशन्ससाठी ... तुम्हाला प्रोजेक्ट माहित आहे. http://www.jsitech.com/jackthestripper ....
छान स्क्रिप्ट मला कर्नल.राँडोमाइझ_वा_स्पेस = 2 ठेवणे आवडत असले तरी
चांगली गोष्ट म्हणजे ती चालवण्यापूर्वी, आपण त्यास आपल्या गरजेनुसार थोडेसे सुधारित करू शकता… .. ग्रीटिंग्ज…
हॅलो, अर्थातच माझे पोस्ट मूलभूत विमाधारकाशी संबंधित आहे आणि प्रत्येकाने आपल्या सिस्टममध्ये एलएएमपी किंवा एफटीपी, एसएफटीपी, बीआयएनडी आणि एक दीर्घ एसेटेरा स्थापित केलेल्या सेवांवर अवलंबून कमीतकमी स्वत: चे संरक्षण केले पाहिजे:)…
सुरक्षेच्या पुढील पोस्टमध्ये मी या समस्यांकडे लक्ष देईन.
सकारात्मक प्रतिक्रिया दिल्याबद्दल धन्यवाद :)
@ पेटरचेको, आपले मार्गदर्शक उत्कृष्ट आहेत, फ्री बीबीएसडी सिस्टमसाठी हे एक एन्क्रिप्शन मार्गदर्शक असेल, जेव्हा आपण फ्रीबीएसडीबद्दल, डेस्कटॉपचे कॉन्फिगरेशन आणि सानुकूलित करणे, फायरवॉल बद्दल, तयार करणे आणि याबद्दल वायरलेस नेटवर्क संरचीत करणे.
नमस्कार मित्रा,
मी पोस्टिंग शोच्या अनियमिततेबद्दल थोडा व्यस्त आहे, परंतु मी हे पुढील फ्रीबीएसडी पोस्टसाठी लक्षात ठेवेल.
शुभेच्छा :).
हे टिप्पण्यांमध्ये समतल केले, मला कल्पना नाही किंवा आपण कशाबद्दल बोलत आहात, कोणीही एक्सडी नाही
मस्त लेख!
ही सुरक्षा क्रिया म्हणजे एखाद्या प्रकारे उपकरणे मर्यादित ठेवणे?
नाही ... प्रणालीचा सामान्य वापर अजिबात मर्यादित नाही.
आणि मजेदार (दुःखद) गोष्ट म्हणजे आपण लेनोवो मशीनद्वारे नुकतीच पाहिली आहे, जर बायो फर्मवेअर मालवेयरसह छेडछाड करीत असेल तर आपण काहीही करत नाही.
जोपर्यंत आपण निर्मात्याद्वारे पूर्व स्थापित Windows वापरत नाही ...
त्रुटी: लक्षात ठेवा की त्यांनी ते बायोस फर्मवेअरमध्ये स्थापित केले आहे, म्हणजेच हे प्रत्येक रीबूटमध्ये सिस्टमपासून सुरू होते, ऑपरेटिंग सिस्टमच्या आधी, सर्व प्रथम, आधी, आणि हे आपल्याला त्या विरूद्ध काहीही करू देत नाही. थोडे हल्ले करतात. केले जाऊ शकते, म्हणून युफेची कल्पना तत्वतः चांगली आहे.
मजेशीर लेख, मी आज दुपारी अधिक काळजीपूर्वक वाचू. धन्यवाद.
आपले स्वागत आहे :). मला आनंद झाला
मस्त लेख, मी हे वाचून दुपारचे मनोरंजन केले. आपण सर्व काही अतिशय काळजीपूर्वक समजावून सांगण्यासाठी घेतलेल्या वेळेचे कौतुक केले जाते,
चिली पासून ग्रीटिंग्ज
कार्लोस
हाय कार्लोस,
खूप खूप धन्यवाद :).
लेनोवो मशीन्स, जर बायोस फर्मवेअर मालवेयरने हस्तक्षेप केल्याचे दिसत असेल तर, मशीन्स (लॅपटॉप पीसी-डेस्कटॉप कॉम्प्यूटर) नेहमी निर्मात्यांद्वारे विंडोजसह स्थापित केल्या जातात, वरील गोष्टी लक्षात घेता… पोस्ट… .पीटरचेको आहे?
हे सर्व न करता देखील हे कार्य करते, कारण मालवेयर विंडोजसाठी बनवले गेले आहे, लिनक्सवर नाही.
आयपटेबल्समधून बर्याच गोष्टी आणि युक्त्या गहाळ आहेत, जसे की चक्कर आलेले एनएमएप जेणेकरून सर्व उघड्या बंदरांमध्ये टीटीएलचा वापर करून विंडोज पीसी आहे आणि विंडोचा आकार, स्कॅनलॉग्ड, अपाचे मोड सिक्युरिटी, ग्रॅसेक, सेलिनक्स किंवा असे काहीतरी आहे. एसटीपीने एफटीपी बदला, एक्स पोर्टमधील प्रत्येक सेवेवर प्रति आयपी कनेक्शनची संख्या मर्यादित करा म्हणजे डीडीओएसच्या आधी ते आम्हाला सेवाशिवाय सोडतात, तसेच इतके सेकंदांकरिता यूडीपीपेक्षा जास्त पाठविणारे आयपी अवरोधित करतात.
आपण सादर केलेल्या उदाहरणांसह, एक नवीन वापरकर्ता ते वाचण्यात वेडा होईल ... आपण सर्व पोस्ट एका पोस्टमध्ये ठेवू शकत नाही. मी बर्याच नोंदी करेन :).
प्रारंभ सेवा देताना मला या क्षणी आर्लक्लिनक्समध्ये त्रुटी आढळली, मी त्याला स्थिती देतो आणि हे स्पष्ट होते:
sudo systemctl स्थिती अयशस्वी
● fail2ban.service - Fail2Ban सेवा
लोड केलेले: लोड केलेले (/usr/lib/systemd/system/fail2ban.service; सक्षम; विक्रेता प्रीसेट: अक्षम)
सक्रिय: अयशस्वी (निकाल: प्रारंभ-मर्यादा) शुक्र 2015-03-20 01:10:01 सीएलएसटी; 1 एस पूर्वी
दस्तऐवज: माणूस: अयशस्वी 2 (1)
प्रक्रियाः १1695 2 Exec एक्झिकस्टार्ट = / यूएसआर / बिन / फेल २ban-क्लायंट -एक्स प्रारंभ (कोड = बाहेर पडला, स्थिती = २255)
मार्च 20 01:10:01 गुंडम सिस्टमड [1]: फेल 2 बँक सेवा प्रारंभ करण्यात अयशस्वी.
मार्च 20 01:10:01 गुंडम सिस्टमड [1]: युनिट फेल 2 बॅन. सर्व्हिस अयशस्वी स्थितीत प्रवेश केला.
मार्च 20 01:10:01 गुंडम सिस्टमड [1]: ফেল2ban.service अयशस्वी.
मार्च 20 01:10:01 गुंडम प्रणालीबद्ध [1]: अयशस्वी 2… बर्फासाठी वारंवार विनंती पुन्हा पुन्हा सुरू करा
मार्च 20 01:10:01 गुंडम सिस्टमड [1]: फेल 2 बँक सेवा प्रारंभ करण्यात अयशस्वी.
मार्च 20 01:10:01 गुंडम सिस्टमड [1]: युनिट फेल 2 बॅन. सर्व्हिस अयशस्वी स्थितीत प्रवेश केला.
मार्च 20 01:10:01 गुंडम सिस्टमड [1]: ফেল2ban.service अयशस्वी.
इशाराः काही ओळी इलीस्साइज्ड केल्या होत्या, पूर्णतः दर्शविण्यासाठी -l वापरा.
काही मदत? डी:
नमस्कार, जर आपण सिस्टमटीटीएलसह फेल 2 ला सक्षम केले तर ناکام2ban.service आणि systemctl start fail2ban.service सुरू केल्यास, आपण केलेल्या जेल कॉन्फिगरेशनमध्ये समस्या उद्भवेल. कृपया आपले जेल तपासा आणि सर्व काही ठीक आहे हे सत्यापित करा.
धन्यवाद!
पीटरचेको
सर्व चांगले ट्यूटोरियल. बर्याच गोष्टी गहाळ आहेत परंतु आपण मूलभूत गोष्टींवर लक्ष केंद्रित केले आहे.
shini-kire, आपले /var/log/fail2ban.log तपासा
ग्रीटिंग्ज
धन्यवाद @ मायकेल फ्रेंको :).
शुभ प्रभात,
fail2ban त्यांनी ते होम पीसी वर स्थापित करावे की सर्व्हर्ससाठी हे अधिक आहे ???
धन्यवाद.
त्याऐवजी सर्व्हरसाठी परंतु आपण आपल्यापेक्षा जास्त लोकांद्वारे प्रवेश करण्यायोग्य WiFi वर असल्यास ते चांगले आहे ...
नमस्कार मित्रा, ग्नू / लिनक्स डिस्ट्रॉसच्या शॉर्ट फायरच्या भागातील ही एक चांगली सुरक्षा पोस्ट माझ्या दृष्टीने दिसते आहे. मी ही टिप्पणी लिहित आहे कारण उबंटू 14.04 च्या वितरणात मी हे करत आहे कारण हे माहित आहे की ते आधीपासूनच 15.04 मध्ये आहे काय होते पुढील समस्या मी नॅनो /etc/fail2ban/jail.local रूट म्हणून प्रविष्ट करतो आणि मला sshd भागामध्ये काहीच माहिती नाही आणि मी जतन करतो त्या भागात [डेफॉल्ट] आम्ही बिनधास्त आणि सुधारित #bantime = 3600 आणि
[एसएसडीडी] भागामध्ये आम्ही सक्षम केला आहे = ख leaving्या प्रकारे हे सोडल्यास:
# सक्षम = सत्य
सक्षम = सत्य
हे sshd दिसत नाही कारण मी आधीच्या आवृत्तीवर काम करीत आहे धन्यवाद