زموږ د VPS خوندي کولو لپاره ګامونه

دا ټیوټوریل ښیې چې څنګه دیوبین GNU / لینکس سره یو مجازی خصوصي سرور (VPS) چمتو او خوندي کړئ. د پیل کولو دمخه ، یو څو شیان فرض کیږي:

  1. تاسو د GNU / لینکس سره د مینځنۍ کچې پیژندنې لرئ.
  2. د شخصي کارونې لپاره VPS شتون لري چیرې چې موږ د SSH له لارې لاسرسی لرو.
  3. VPS وقف شوی بهرني ipv4 250.250.250.155 لري او زموږ چمتو کونکي د 250.250.0.0/16 بلاک لري. (1)
  4. زموږ په VPS کې به موږ یوازې له بهر څخه لاسرسي لپاره د http ، https او ssh خدمتونه فعال کړو.
  5. خارجي DNS به نشي فعال کیدی ځکه چې دا معمولا زموږ د چمتو کونکي پینل کې ترسره کیږي. ())
  6. دا به د سوپرسر په توګه کار وکړي.

لګول

د لومړي ګام په توګه ، راځئ چې سرور تازه او یو څه کڅوړې نصب کړو چې موږ ورته اړتیا لرو:

د # وړتیا تازه کول او د قصد سیف اپ گریډ # ظرفیت -RvW نصب ډراپ بیئر gesftpserver sslh iptables-लगातार Ulogd fail2ban nginx-light apache2-utils dnsutils telnet ghostscript poppler-utils zip unzip unrar-free p7zip-full لږ ملټي ټیک

تنظیم کول

اوس موږ د کار کاروونکي رامینځته کوو. په سرور کې د ریښې په توګه کار کول غیر محفوظ دي ، نو موږ به لومړی یو ځانګړی کاروونکی رامینځته کړو:

د اضافو کاروونکی کاروونکی کاروونکی --aG sudo چلوونکی

لومړۍ کمانډ د چلونکي کارونکي رامینځته کوي ، دوهم یې دې ډلې ته اضافه کوي سوډو، کوم چې به د ریښی په توګه غوښتنلیکونه چلولو ته اجازه ورکړي.

د عالي کاروونکو لپاره اجازه تنظیم کړئ

لکه څنګه چې په منظمه توګه کار کوو موږ به کارونکي وکاروو چلونکی مخکې رامینځته شوی ، موږ اړتیا لرو د کمانډ اجرا کولو اختیارونه د سوپرسر په توګه تنظیم کړئ ، د کوم لپاره چې موږ لاندې کمانډ اجرا کوو:

ویډودو

دا قومانده اساسا د فایل ترمیم کولو ته اجازه ورکوي / etc / sudoers؛ په کومو کې چې موږ باید دا کرښې ولرو:

اصلي ټیمونه env_reset ، د وخت ټیم_ وخت = 0٪ sudo ALL = (ALL: ALL) All

په لومړۍ کرښه کې اختیار په ډیفالټ ارزښتونو کې اضافه شوی د وخت ټیم_ وخت کوم چې تاسو ته اجازه درکوي د پاسورډ د ختمیدو وخت (دقیقو کې) تنظیم کړئ کله چې د sudo قوماندې اجرا کیږي. ډیفالټ 5 دی ، مګر دا ځینې وختونه د دوه دلایلو لپاره غیر محفوظ وي:

  1. که چیرې په ناڅاپي ډول موږ خپل کمپیوټر ته د رمز پای ته رسیدو دمخه لاګ ان پریږدو ، نو یو څوک کولی شي پرته له کوم محدودیت څخه د ریښې په توګه قوماندې اجرا کړي.
  2. که چیرې د ناپوهۍ له لارې موږ یو غوښتنلیک یا سکریپټ اجرا کړو چې د پټنوم له پای ته رسیدو دمخه غلط کوډ لري ، غوښتنلیک کولی شي زموږ د روښانه رضایت پرته زموږ د سیسټم لاسرسي ته لاسرسی ولري.

نو د خطرونو څخه مخنیوي لپاره ، موږ ارزښت صفر ته ټاکلی ، دا دی ، هرځله چې د sudo کمانډ اجرا شي ، نو پټنوم باید داخل شي. که منفي ارزښت د 1 په توګه ټاکل شوی وي ، تاثیر یې دا دی چې پټنوم هیڅکله هم نه ختمیږي ، کوم چې موږ د هغه څه مخالف عکس العمل تولیدوي.

په دوهمه کرښه کې دا روښانه شوې چې د sudo ډله کولی شي په کوم کمپیوټر کې کوم قوماندانی اجرا کړي ، کوم چې معمول دی ، که څه هم دا تنظیم کیدی شي. ()) داسې کسان شتون لري چې د اسانتیا لپاره لاندې لیک په کېږدي ترڅو د پټنوم له لیکلو ډډه وشي:

٪ sudo ALL = (ټول: ټول) NOPASSWD: ALL

په هرصورت ، لکه څنګه چې موږ دمخه څرګنده کړې چې دا خطرناک دی ، او له همدې امله دا وړاندیز نه کیږي.

له سره چالانول نافعال کړئ

د امنیت دلایلو لپاره ، موږ به د کلیدي ترکیب په کارولو سره له سره پیوستون هم غیر فعال کړو Ctrl + Alt + Del، د دې لپاره چې موږ باید په فایل کې دا لاین اضافه کړو / etc / inittab:

ca: 12345: ctrlaltdel: / bin / echo "Ctrl + Alt + Del غیر فعال شوی دی."

OpenSSH د DropBear سره بدل کړئ

ډیری VPS د OpenSSH نصب سره راځي ، کوم چې البته خورا ګټور دی ، مګر غیر لدې چې موږ د OpenSSH ټول فعالیت ګټې اخیستو ته اړتیا نلرو ، د VPS لپاره سپک بدیل شتون لري ، لکه څنګه چې ډراپ بير، کوم چې معمولا د منظم استعمال لپاره کافي وي. په هرصورت ، د دې غوښتنلیک نیمګړتیا دا ده چې دا د مدغم SFTP سرور سره نه راځي ، او له همدې امله موږ په پیل کې بسته نصب کړه gesftpserver.

د ډراپ بییر تنظیم کولو لپاره ، موږ به فایل بدل کړو / etc / default / dropbear نو دا دا دوه خطونه لري:

NO_START = 0 DROPBEAR_EXTRA_ARGS = "- w -p 127.0.0.1:22 -I 1200 -m"

لومړۍ کرښه په ساده ډول خدمت وړوي ، او دوهمه یې څو کارونه کوي:

  1. د ریښی لاسرسی څخه مخنیوی وکړئ.
  2. دا خدمت د ځایی انٹرفیس 22 بندر کې اوري (موږ به یې وروسته تشریح کړو).
  3. د انتظار وخت (20 دقیقې) ټاکي.

SSLH

پورټ 22 (SSH) ښه پیژندل شوی او په عموم کې یو له لومړي څخه دی چې هیکرز د ماتولو هڅه کوي ، نو موږ به یې پرځای د 443 (SSL) بندر وکاروو. داسې پیښیږي چې دا بندر د HTTPS له لارې د خوندي لټون لپاره کارول کیږي.

د دې دلیل لپاره به موږ د sslh کڅوړه وکاروو ، کوم چې له ملټي پلسټر پرته بل څه ندي چې هغه پاکټونه تحلیل کوي چې 443 پورټ ته رسیدلي ، او په داخلي توګه یې یو خدمت یا بل ته لیږدوي پدې پورې اړه لري چې ایا د ترافیک ډول SSH یا SSL دی.

SSLH نشي کولی په داسې یوه انټرفیس کې غوږ ونیسي چیرې چې بل خدمت دمخه غوږ نیسي ، له همدې امله موږ دمخه په ډراپ بییر سیمه ایز انټرنیټ کې اوریدلی و.

اوس هغه څه چې موږ یې کولو ته اړتیا لرو د انٹرفیس او بندر sslh نښه ده چې له لارې یې باید اوریدلی شي او چیرې چې د خدمت ډول پورې اړه لرونکي پاکټونه له سره ځای په ځای کړي ، او د دې لپاره به موږ د تشکیل فایل ترمیم کړو / etc / default / sslh:

DAEMON = / usr / sbin / sslh DAEMON_OPTS = "- کارونکي sslh --listen 250.250.250.155:443 --ss 127.0.0.1:22 --ssl 127.0.0.1:443 - پیډفیل / var / چلول / sslh / sslh .pid "RUN = هو

په نهایت کې ، موږ خدمات بیا پیل کوو:

د خدمت Ssh بند && خدمت پرېښودل & د خدمت Sslh بیاچالانول

د پخوانۍ قوماندې وروسته ، زموږ خوندي ناسته به شاید مداخله شي ، پدې حالت کې بیا د ننوتلو لپاره کافي دی ، مګر دا ځل د کار کارونکي سره او د 443 پورټ کارولو سره. که ناسته مداخله ونلري ، په هر حالت کې باید وتړل شي او بیا پیل شي. د مناسب ارزښتونو سره.

که هرڅه په سمه توګه کار وکړي ، موږ کولی شو د ریښې په توګه کار کولو ته دوام ورکړو او که موږ وغواړو نو د OpenSSH غیر نصب کړئ:

sudo su - وړتیا --r خالص خلاصی - سرور

اور وژنه

راتلونکی شی چې موږ به یې وکړو هغه د اور له وال څخه جلا فایل ته جلا کول دي /var/log/firewall.log د نورو تحلیلونو اسانه کولو لپاره ، له همدې امله موږ په پیل کې غیر رسمي بسته نصب کړه. د دې لپاره موږ به فایل سم کړو /etc/logd.conf اړونده برخه تنظیم کړئ:

[LOGEMU] فایل = "/ var / log / firewall.log" sync = 1

بل ، موږ به د ریکارډ گردش فایل بدل کړو / etc / لوګروټ / Ulogd د ورځني دورې ساتلو لپاره (د نیټې سره) او په ډایریکټر کې د فشار شوي سیلواو خوندي کول / var / log / ulog /:

/var/log/ulog/*.log /var/log/firewall.log {ورځني نیټه نیټه ورک یادښت کمپرس شریسکریپټس 640 روټ اډم پوسټروټ /etc/init.d/ulogd reload mv /var/log/firewall.log-* جوړوي .gz / var / log / ulog / endcript}

بیا به موږ د لاندې پلي کولو سره د نیټ فیلټر قواعد رامینځته کړو:

IPT = $ (کوم چې iptables) IPEXT = 250.250.250.155 IPEXTBLK = 250.250.0.0 / 16 IPBCAST = 255.255.255.255 $ IPT -F $ IPT -X $ IPT -Z $ IPT -A INPUT -i lo -j ACCEPT $ IPT - د P INPUT DROP $ IPT -P فورډ ډراپ $ IPT -P اپټوټ ACEPT $ IPT -A INPUT -m ایالت - سټیټ INVALID -j ULOG --ulog-prefix IN.gVALID $ IPT -A INPUT -p igmp -j ULOG --ulog -prefix IN_IGMP $ IPT -A INPUT -m pkত্তিpe --pkt-ډول نشر -j ULOG --ulog-prefix IN_BCAST $ IPT -A INPUT -m pkত্তিpe --pkt- ډول ملټيکاسټ -j ULOG --ulog-prefix IN_MCAST IPT -A فارورډ - j ULOG --ulog-prefix FORWARD $ IPT -N ICMP_IN $ IPT -A INPUT!  -i lo -p icmp -j ICMP_IN $ IPT -A ICMP_IN -p icmp -f -j ULOG --ulog-prefix IN_ICMP_FRAGMENTED $ IPT -A ICMP_IN -p icmp -m icmp -m اوږدوالی!  - اوږدوالی 28: 1322 -j ULOG --ulog-prefix IN_ICMP_INVALIDSIZE $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-above 4 / sec --hashlimit-mode srcip --hashlimit-srcmask 24 - -hashlimit-نوم icmpflood -j ULOG --ulog-prefix IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-up to 64kb / min --hashlimit- حالت srcip --hashlimit-srcmask 24 - د hashlimit-name icmpattack -j ULOG --ulog-prefix IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m u32!  --u32 "0x4 & 0x3fff = 0x0" -j ULOG --ulog-prefix IN_ICMP_ATTACK $ IPT -A ICMP_IN -p icmp -m icmp!  --icmp-type ایکو-غوښتنه -m ایالت - سټیټ NEW -j ULOG --ulog-prefix IN_ICMP.gVALID $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type ایکو-غوښتنه -j ULOG --ulog- مختاړی IN_ICMP $ IPT -A ICMP_IN -p icmp -m icmp --icmp-ډول د ایکو غوښتنه --m حد --limit 1 / ثانیه - لیمټ-برټ 4 -j ACCEPT $ IPT -A ICMPDP -p icmp -m icmp --icmp-type ایکو - غبرګون - حد - د لیږد 2 / ثانیه --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp - ډول منزل مقصود - لاسرسي -m حد - حد 2 / ثانیه - لیمټ-برټ 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp - ډول وخت - تجاوز -m حد --limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-ډول پیرامیټر - ستونزه -m حد --limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -j راستنول $ IPT -N UDP_IN $ IPT -A ننوتنه!  -i lo -p udp -j UDP_IN $ IPT -A UDP_IN!  -i لو!  -p udp -f -j ULOG --ulog-prefix IN_UDP_FRAGMENTED $ IPT -A UDP_IN -p udp -m udp --sport 53 -m اوږدوالی!  - اوږدوالی 28: 576 -j ULOG --ulog-prefix IN_UDP_DNS_INVALIDSIZE $ IPT -A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j ULOG --ulog-prefix IN_UDP_DNSREQUEST $ IPT - A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j REJECT --reject-with icmp-port-unreachable $ IPT -A UDPDP -p udp -m udp!  --sport 53!  -s $ IPEXTBLK!  -d $ IPBCAST -m ایالت - سټیټ NEW -j ULOG --ulog-prefix IN_UDP $ IPT -A UDPDP -p udp -m udp -m ایالت - سټیټ ESTABLISHED ، اړوند - ج ACCEPT $ IPT -A UDP_IN -j بیرته راوړل $ IPT -N TCP_IN _IN IPT -A INPUT!  -i lo -p tcp -j TCP_IN $ IPT -A TCP_IN!  -i لو!  -p tcp -f -j ULOG --ulog-prefix IN_TCP_FRAGMENTED $ IPT -A TCP_IN -p tcp -m tcp --sport 53 -m state --state ESTABLISHED ، اړوند - اوږدوالی اوږدوالی!  - اوږدوالی 513: 1500 -j ULOG --ulog-prefix IN_TCP_DNS_INVALIDSIZE $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m state --state NEW -j ULOG --ulog-prefix IN_TCP_DNS $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable $ IPT -A TCP_IN -p tcp -m tcp -m ملټي پورټ!  --dport 80,443،80,443 -m state --state NEW -j ULOG --ulog-prefix IN_TCP $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dport 4،16 -m state --state NEW -m hashlimit - hashlimit-up to 80,443 / sec --hashlimit-burst XNUMX --hashlimit-mode srcip --hashlimit-نوم navreq -j ACCEPT $ IPT -A TCP_IN -p tcp -m tcp -m ملټي پورټ --dport XNUMX،XNUMX -m ریاست - ایټابلیش شوی - میتر ریاست!  --connlimit-پورته 16 -j ACCEPT $ IPT -A TCP_IN -p tcp -m tcp -m multiport! 

د تیرو ترتیباتو سره ، زموږ VPS باید په مناسب ډول خوندي شي ، مګر که موږ وغواړو موږ دا یو څه ډیر خوندي کولی شو ، د دې لپاره چې موږ وکولی شو ځینې نور پرمختللي مقررات وکاروو.

ټول VPS د شبکې لپاره د اضافي ماډلونو نصبولو ته اجازه نه ورکوي ، مګر یو خورا ګټور دی PSD، کوم چې تاسو ته اجازه درکوي د پورټ سکینونو مخه ونیسئ. بدبختانه دا ماډل په ډیفالټ په خالص فلټر کې ندي مدغم شوی ، نو د دې لپاره اړین دي چې ځینې کڅوړې نصب او بیا موډل جوړ کړئ:

وړتیا -RvW نصب iptables-dev xtables-addons-source ماډل-مرستیال ماډل-معاون --verbose --text-حالت Auto-install xtables-addons-source

یوځل چې پورته سرته رسیدلی ، نو موږ کولی شو پدې ډول یو قانون اضافه کړو:

iptables -A INPUT -m psd --psd-وزن-threshold 15 --psd - ځنډ - حد 2000 --psd-lo-Port-وزن 3 --psd - ها - پورټز وزن 1 -j ULOG --ulog- مختاړی IN_PORTSCAN

پخوانۍ قاعده اساسا پدې معنی ده چې موږ به یو کاونټ رامینځته کړو چې هر ځل به د 3 څخه ښکته بندر ته د لاسرسي هڅه کیږي او 1024 ځله به زیاتوالی ومومي او هرځل د 1 څخه لوړ بندر ته د لاسرسي لپاره هڅه کیږي ، او کله چې دا کاونټر وي د 1023 ثانیو څخه لږ وخت کې 15 ته رسي ، کڅوړې به د لخوا راجستر شي اولوګ په بندرګاه کې د یوې هڅې په توګه. پاکټونه لاهم په یوځل تخفیف کیدی شي ، مګر پدې حالت کې موږ د کارولو اراده لرو fail2ban، کوم چې موږ به وروسته ترتیب کړو.

یوځل چې مقررات رامینځته شي ، موږ باید ځینې دوامدار احتیاطونه ونیسو ترڅو دوی دوامداره کړي ، که نه نو موږ به یې له لاسه ورکړو کله چې سرور بیا چالان کیږي. د دې ترسره کولو لپاره ډیری لارې شتون لري؛ پدې لارښود کې به موږ د iptables - دوام لرونکي بسته وکاروو چې موږ یې په پیل کې نصب کړی ، کوم چې په کې قواعد ذخیره کوي /etc/iptables/rules.v4 y /etc/iptables/rules.v6 ipv6 لپاره.

iptables-save> /etc/iptables/rules.v4

په حقیقت کې ، که څه هم په کیوبا کې د ipv6 کارول لاهم پراخه ندي ، موږ کولی شو یو څه اساسي مقررات په ښه ډول پیدا کړو:

IPT = $ (کوم چې ip6tables) $ IPT -P INPUT DROP $ IPT -P فارورډ DROP $ IPT -P OUTPUT ACEPT $ IPT -A INPUT -i lo -j ACCEPT $ IPT -A INPUT! -i lo -m ایالت - سیسټم ESTABLISHED ، اړوند - د ACEPT غیر منحصر IPT

دا مقررات هم دوامداره کیدی شي:

ip6tables-save> /etc/iptables/rules.v6

په نهایت کې ، د لا ډیر امنیت لپاره ، موږ د اوردیوال راجستر پاک کوو او خدمات بیا پیل کوو:

echo -n> /var/log/firewall.log د خدمت لوګوټریټ ری ارټټ خدمت ulogd د بیا پیل خدمت خدمت iptables- دوامداره بیا پیل

نګینکس

موږ به نګینکس د ویب سرور په توګه وکاروو ، ځکه چې VPSs د ریښتیني سرور په پرتله د رام اندازه لږ مقدار لري ، نو دا عموما یو ښه نظر دی چې د اپاچ څخه لږ څه ولرئ.

د نګینکس تنظیم کولو دمخه ، موږ به د HTTPS کارولو لپاره یو سند (پاسورډ ونه لرو):

سي ډي / وغيره / نګينکس اوپنسال جنرسسا -des3 -out cert.key 4096 cp -v cert.key cert.key.original openssl req -new -key cert.key -out cert.csr openssl RSSa -in cert.key.original - د cert.key openssl x509 -req -days 365 -in cert.csr -signkey cert.key -out cert.crt

یوځل چې دا سرته ورسي ، نو موږ به د کارونکي "ایلسواریو" لپاره د رمز فایل رامینځته کړو:

htpasswd -c .htpasswd کارونکی

بل ، موږ به فایل بدل کړو / etc / nginx / sites-available / default د ډیفالټ سایټ غوره توبونه ټاکل. دا کیدی شي ښکاري:

سرور {سرور_ نوم محلي هوسټ؛ index index.html index.htm default.html default.htm؛ روټ / وار / www؛ ځای / {# د تایید او پا loadې د جوړولو امر ترتیب کړئ ، که چېرې URI ونه موندل شي _ هڅه وکړئ_فایلونه $ uri $ uri / /index.html؛ }} سرور {127.0.0.1:443 واورئ؛ سرور_ نوم ځايي هوټل؛ index index.html index.htm default.html default.htm؛ روټ / وار / www؛ په ssl باندې؛ ssl_certificate cert.crt؛ ssl_certificate_key cert.key؛ ssl_session_timeout 5m؛ # یوازې د TLS له لارې HTTPS فعال کړئ (له SSL څخه ډیر خوندي) ssl_protocols TLSv1 TLSv1.1 TLSv1.2؛ # د لوړ ځواک شفرونو ته لومړیتوب ورکړئ [لوړ] ، # د منځنۍ قوې شفرونه [MEDIUM] د لیست پای ته ورشئ ، # د ټیټ ځواک ځواک شفرونه بند کړئ [LOW] (40 او 56 بټونه) # غیر فعال سایفر سره د الګوریتم صادر کړئ [EXP] # غیر منفي شفرونه غیر فعال کړئ [eNULL] پرته له تصدیق [ANULL] ، SSL (نسخې 2 او 3) او DSS (یوازې د 1024 بټونو ته کیلي ته اجازه ورکړئ) ssl_ciphers HIGH: + MEDIUM:! LOW:! EXP: ! یوونل:! eNULL:! SSLv3:! SSLv2:! DSS؛ # د سرور د کوډ کولو میتودونو ته ترجیح ورکړئ (د ډیفالټ لخوا د پیرودونکي کارول شوي دي) ssl_prefer_server_ciphers on؛ ځای / {# د اعتبار تصدیق کول "لاگین" کړئ؛ auth_basic_user_file /etc/nginx/.htpasswd؛ # د تایید کولو امر او د پا codeې کوډ د پورته کولو لپاره تنظیم کړئ ، که د URI هڅه_ فایلونه $ uri $ uri / = 404 ونه موندل شي؛ # د اعتبار وړ کاروونکو اتوماتیک لپاره د شاخص رامینځته کولو ته اجازه ورکوي؛ Autoindex_exact_size بند؛ Autoindex_localtime په؛ }}

موږ ګورو چې تشکیلات سم دي:

nginx -t

په نهایت کې ، موږ خدمت بیا پیل کوو:

خدمت نینګکس بیا پیلول

فیل 2 بین

د فیل 2 بین تنظیم کولو پیل کولو دمخه ، د لا ډیر امنیت لپاره موږ خدمت ودروو او راجستر یې پاکوو:

د فیل2ban-مؤکل ودریدلو اکو --n> /var/log/fail2ban.log

بل ، موږ د تشکیل فایل رامینځته کوو /etc/fail2ban/jail.local د لاندې دودیز مینځپانګې سره:

# د ګمرکي تشکیلاتو فایل /etc/fail2ban/jail.local # [دفاع] د موندلو وخت = 43200؛ 12 ساعته بندیز = 86400؛ 1 ورځ مکسریري = 3؛ بندیز به د څلورمې هڅې وروسته پلي شي [ssh] فعال = غلط [nginx-auth] فعال شوی = ریښتینی فلټر = nginx-auth عمل = iptables-multiport [نوم = NoAuthFailures ، بندر = "http ، https"] logpath = / var / log / nginx * / * تېروتنه. .log [nginx-Badbots] فعال = ریښتینی فلټر = apache-Badbots کړنه = iptables-multiport [نوم = BadBots ، بندر = "http ، https"] logpath = / var / log / nginx * /*access*.log بنټیم = 4؛ 604800 اونۍ مکسریټری = 1 [نګینکس - ننوتل] فعال شوی = ریښتینی فلټر = نینګینګ - ننوتل عمل = iptables-multiport [نوم = NoLoginFailures ، بندر = "http ، https"] لاګ پیټ = / var / log / nginx * / * لاسرسی *. ویز بینینټیم = 0؛ 1800 دقیقې [nginx-noscript] فعال = ریښتینی عمل = iptables-multiport [نوم = NoScript ، بندر = "http ، https"] فلټر = nginx-noscript logpath = /var/log/nginx*/*access*.log میکریټری = 30 [نګینیکس - پراکسي] فعال شوی = ریښتیني عمل = iptables-multiport [نوم = NoProxy ، بندر = "http ، https"] فلټر = nginx-proxy logpath = /var/log/nginx*/*access*.log بنټیم = 0 ؛ 604800 اونۍ مکسریټری = 1 [فایر وال] فعال = ریښتینی عمل = iptables-multiport [نوم = فایر وال] فلټر = د اور وژنې لاګ پیت = /var/log/firewall.log میکریټری = 0

یوځل چې دا ترسره شي ، موږ په ډایرکټرۍ کې رامینځته کوو /etc/fail2ban/filters.d/ لاندې دوتنې:

# /etc/fail2ban/filter.d/nginx-auth.conf # د باور فلټر # د بلاک IPs چې د لومړني اعتبار په کارولو سره تصدیق کولو کې پاتې راځي # [تعریف] ناکامregex = د اصلي تصدیق لپاره هیڅ کارن / رمز نه دی چمتو شوی. * پیرودونکی: کارن * ونه موندل شو. * مراجع: کارن. * د رمز سره سمون نه خوري. * مؤکل: غفلت کول =
# /etc/fail2ban/filter.d/nginx-login.conf # د ننوت فلټر ] فیلرجیکس = ^ -. * پوسټ / سیشنونه HTTP / 200 \ .. "1 غفلت کول =
# /etc/fail2ban/filter.d/nginx-noscript.conf # د نوسکریپټ فلټر # د IP. بلاک IPs هڅه کوي د سکریپټونو اجرا کولو هڅه وکړي لکه. php ، .pl ، .exe او نور په زړه پورې سکریپټونه. # میچونه د مثال په توګه # 192.168.1.1 - - "GET /something.php # [تعریف] فیلرجیکس = ^ -. * GET. * (\. Php | \ .asp | ex .exe | \ .pl | \ .cgi | gi scgi) غفلت کول
# /etc/fail2ban/filter.d/proxy.conf # د پراکسي فلټر # هغه IPs بلاک کوي چې د پراکسي په توګه د سرور کارولو هڅه کوي. # میچونه د مثال په توګه # 192.168.1.1 - - "ترلاسه کړئ http://www.something.com/ # [تعریف] فیلرجیکس = ^ -. * GET http. * سترګې پټې کړئ
# /etc/fail2ban/filter.d/firewall.conf # د فائر وال فلټر # [تعریف] ناکامregex = ^. * IN_ (INVALID | پورټسکن | UDP | TCP |). * SRC = . * $ غفلت کول =

په نهایت کې ، موږ خدمت پیل کوو او تنظیمات مو پورته کوو:

ناکامي 2 مراجع بیا راولئ

تصدیقول

د وروستي ګام په توګه ، موږ کولی شو سره ریکارډونه وګورو tail -f o ملټیل - ټول. په حقیقت کې ، وروستی غوښتنلیک د ورته فایلونو ته په ورته وخت کې د لیدو اجازه ورکولو او لومړني ترکیب روښانه کولو چمتو کولو ګټه وړاندې کوي.

که چیرې په VPS کې د بریښنالیک حساب نه وي تنظیم شوی ، نو دا به مشوره کیږي چې د خبرتیا پیغام غیر فعال کړي چې د ملټيټیل پیل کولو پر مهال څرګندیږي ، د کوم لپاره چې موږ به لاندې کمانډ اجرا کړو:

echo "check_mail: 0"> ~ / .multitailrc

په حقیقت کې ، موږ کولی شو یو سم ()) جوړ کړو چې د لنډو کمانډونو سره ګړندۍ ګړندۍ ګورو ، د مثال په توګه ، "وهل":

عرف فلوګ = 'ملټيټیل --follow-all /var/log/firewall.log /var/log/fail2ban.log'

1) دا جعلي ارزښتونه دي.
2) د نورو خدماتو فعال کول یوځل اسانه دي کله چې تاسو پوه شئ چې دا څنګه کار کوي.
3) د نورو جزیاتو لپاره ، سړي سوډرز چل کړئ.
4) په اختیاري توګه د ~ / .bash_aliases فایل کې اضافه کیدی شي


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

6 نظرونه ، خپل پریږدئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.

  1.   msx dijo

    دلته یو په زړه پورې شیان دي ، +1

  2.   یوکیټورو dijo

    @ هنګو کې په ترتیب کې:

    ssl_protocols SSLv3 TLSv1؛

    زه به له دې څخه SSLv3 لرې کړم ځکه چې دا پروتوکول نور خوندي نه دی ، حتی په دبیان جیسسي کې ، ډیری خدمات ترتیب شوي ترڅو د دې دلیل لپاره د دې پروتوکول کارولو څخه مخنیوی وشي.

    دلته د موضوع په اړه معلومات:

    https://www.linode.com/docs/security/security-patches/disabling-sslv3-for-poodle
    http://disablessl3.com/

    1.    هوګو dijo

      نظر واقعیا نه و چې د HTTPS په اوږدو کې اصلي خدمات وړاندې کړي ، مګر د SSH لپاره د 443 پورټ کارولو څرنګوالي توضیح کولو لپاره پرته له دې چې د HTTPS لپاره د دې کارولو امکان له لاسه ورکړ ، مګر د خبرتیا لپاره مننه.

      په هرصورت ، ما مقاله تازه کړې ترڅو د نینګینکس ترتیب یو څه ترمیم کړم او په ناڅاپي ډول ځینې نظریات پکې شامل کړم ترڅو د دې کوډ کولو میکانیزمونو سره یو څه نور شیان روښانه کړئ ، او یو څه کوچنۍ غلطي یې حل کړئ.

  3.   ډینیل PZ dijo

    د دې عالي ښوونې لپاره ډیره مننه ، اوس زه به یې عملي کړم! : ډي ، دا د لینکس څخه لرې وساتئ ، تاسو تل ما حیران کوئ ، له پیرو څخه سلام.

  4.   سند ښکاره کړی dijo

    د شریکولو لپاره ډیره مننه.

  5.   Fernando dijo

    خورا ښه لارښود او دا اوس د موتیانو څخه راځي چې ما پدې بلاګ کې پیل کړی مګر حتی نور اوس چې زه د خپل لومړي vps چلوونکي په اړه یم او حتی د ډیری ستونزو سره مخ یم مګر دا مقاله ما له ډیری شکونو ، مننه او سلامونو څخه لرې کړې.