Hapat për të siguruar VPS-në tonë

Ky udhëzues tregon mënyrën e përgatitjes dhe sigurimit të një serveri privat virtual (VPS) me Debian GNU / Linux. Para se të fillojmë, disa gjëra supozohen:

1. Ju keni një nivel të ndërmjetëm familjariteti me GNU / Linux.
2. Ekziston një VPS për përdorim personal në të cilin kemi qasje përmes SSH.
3. VPS ka ipv4 të jashtme të dedikuar 250.250.250.155 dhe ofruesi ynë zotëron bllokun 250.250.0.0/16. (1)
4. Në VPS tonë do të kemi vetëm http, https dhe shërbimet ssh të aktivizuara për qasje nga jashtë.
5. DNS-ja e jashtme nuk do të aktivizohet pasi që zakonisht bëhet në panelin e ofruesit tonë. (2)
6. Do të funksionojë si superpërdorues.

instalim

Si hap i parë, le të azhurnojmë serverin dhe të instalojmë disa paketa që do të na duhen:

# azhurnimi i aftësive dhe azhurnimi i sigurt i aftësive # aftësi -RvW instaloni dropbear gesftpserver sslh iptables-ulogd këmbëngulës fail2ban nginx-light apache2-utils dnsutils telnet ghostscript poppler-utils zip unzip unrar-free p7zip-free më shumë multitail tee m

konfiguracion

Tani do të krijojmë një përdorues të punës. Puna si root në një server është e pasigurt, kështu që së pari do të krijojmë një përdorues të veçantë:

Operatori i përdoruesit usermod -aG sudo operator

Komanda e parë krijon përdoruesin e operatorit, e dyta e shton atë në grup sudo, e cila do t'ju lejojë të ekzekutoni aplikacione si root.

Rregullo lejet për super përdoruesit

Për të punuar rregullisht, ne do ta përdorim përdoruesin operator krijuar më parë, ne duhet të rregullojmë opsionet e ekzekutimit të komandës si superpërdorues, për të cilin ekzekutojmë komandën e mëposhtme:

vizë

Kjo komandë në thelb ju lejon të modifikoni skedarin / etj / sudoers; në të cilën duhet të përmbajmë këto rreshta:

Parazgjedhjet env_reset, timestamp_timeout = 0% sudo ALL = (ALL: ALL) ALL

Në rreshtin e parë opsioni u shtohet vlerave të paracaktuara koha e stampimit e cila ju lejon të vendosni kohën e skadimit (në minuta) të fjalëkalimit kur ekzekutohet komanda sudo. Default është 5, por kjo ndonjëherë është e pasigurt për dy arsye:

1. Nëse dashje pa dashje e lëmë kompjuterin tonë të regjistruar përpara se të skadojë fjalëkalimi, dikush mund të ekzekutojë një komandë si root pa asnjë kufizim.
2. Nëse përmes injorancës ne ekzekutojmë një aplikacion ose skript që përmban kod të dëmshëm para se të skadojë fjalëkalimi, aplikacioni mund të ketë qasje në sistemin tonë si superpërdorues, pa miratimin tonë të qartë.

Pra, për të shmangur rreziqet, ne kemi vendosur vlerën në zero, domethënë, sa herë që ekzekutohet komanda sudo, fjalëkalimi do të duhet të futet. Nëse një vlerë negative vendoset si -1, efekti është që fjalëkalimi nuk skadon kurrë, gjë që do të prodhonte rezultatin e kundërt të asaj që duam.

Në rreshtin e dytë sqarohet se grupi sudo mund të ekzekutojë çdo komandë në çdo kompjuter, e cila është e zakonshme, megjithëse mund të rregullohet. (3) Ka nga ata që për lehtësi vendosin vijën si më poshtë për të shmangur shtypjen e fjalëkalimit:

% sudo GJITHA = (ALL: ALL) NOPASSWD: ALL

Sidoqoftë, siç e kemi shpjeguar më parë, kjo është e rrezikshme, dhe për këtë arsye nuk rekomandohet.

Çaktivizo rinisjen

Për arsye sigurie, ne gjithashtu do të çaktivizojmë rindezjen duke përdorur kombinimin e çelësave Ctrl + Alt + Del, për të cilën duhet ta shtojmë këtë rresht në skedar / etj / inittab:

ca: 12345: ctrlaltdel: / bin / echo "Ctrl + Alt + Del është çaktivizuar."

Zëvendësoni OpenSSH me DropBear

Shumica e VPS-ve vijnë me OpenSSH të instaluar, që është sigurisht shumë i dobishëm, por nëse nuk kemi nevojë të shfrytëzojmë të gjithë funksionalitetin e OpenSSH, ka alternativa më të lehta për një VPS, të tilla si dropbear, e cila zakonisht është e mjaftueshme për përdorim të rregullt. Sidoqoftë, një pengesë e këtij aplikacioni është se nuk vjen me një server të integruar SFTP, dhe kjo është arsyeja pse në fillim kemi instaluar paketën gesftpserver.

Për të konfiguruar Dropbear, ne do të modifikojmë skedarin / etc / default / dropbear në mënyrë që të përmbajë këto dy rreshta:

NO_START = 0 DROPBEAR_EXTRA_ARGS = "- w-f 127.0.0.1:22 -I 1200-m"

Linja e parë thjesht mundëson shërbimin, dhe e dyta bën disa gjëra:

1. Shmangni hyrjen në rrënjë.
2. Kjo e bën shërbimin të dëgjojë në portin 22 të ndërfaqes lokale (ne do ta shpjegojmë pse më vonë).
3. Vendos kohën e pritjes (20 minuta).

SSLH

Porti 22 (SSH) është i njohur mirë dhe zakonisht është një nga të parët që hakerat përpiqen të shkelin, kështu që ne do të përdorim portin 443 (SSL) në vend të tij. Ndodh që kjo portë të përdoret për shfletim të sigurt përmes HTTPS.

Për këtë arsye ne do të përdorim paketën sslh, e cila nuk është asgjë më shumë se një multiplekser që analizon paketat që arrijnë në portin 443, dhe i drejton ato brenda në një shërbim ose në një tjetër në varësi të llojit të trafikut është SSH ose SSL.

SSLH nuk mund të dëgjojë në një ndërfaqe ku një shërbim tjetër tashmë po dëgjon, për këtë arsye më parë e bëmë Dropbear të dëgjonte në ndërfaqen lokale.

Tani ajo që duhet të bëjmë është të tregojmë në sslh ndërfaqen dhe portën përmes së cilës duhet të dëgjojë dhe ku të ridrejtoni paketat në varësi të llojit të shërbimit, dhe për këtë ne do të modifikojmë skedarin e konfigurimit / etc / default / sslh:

DAEMON = / usr / sbin / sslh DAEMON_OPTS = "- përdoruesi sslh - dëgjo 250.250.250.155:443 --ssh 127.0.0.1:22 - skl 127.0.0.1:443 --pidfile / var / ekzekutoj / sslh / sslh. pid "RUN = po

Më në fund, ne rifillojmë shërbimet:

shërbimi ndalimi i ssh & & shërbimi fillimi i rënies && shërbimi sslh rinisni

Pas komandës së mëparshme, sesioni ynë i sigurt ndoshta do të ndërpritet, në këtë rast mjafton të hyni përsëri, por këtë herë me përdoruesin e punës dhe duke përdorur portin 443. Nëse seanca nuk ndërpritet, këshillohet që ta mbyllni atë dhe filloni përsëri. me vlerat e duhura.

Nëse gjithçka funksionon si duhet, ne mund të vazhdojmë të punojmë si root dhe nëse dëshirojmë, çinstaloni OpenSSH:

sudo su - aftësi -r spastrim openssh-server

firewalls

Gjëja tjetër që do të bëjmë është të ndajmë shkrimet nga firewall në skedarin e veçantë /var/log/firewall.log për të lehtësuar analizat e mëtejshme, e cila është arsyeja pse ne instaluam paketën ulogd gjatë fillimit. Për këtë ne do të editojmë skedarin /etj/logd.conf për të rregulluar seksionin përkatës:

[LOGEMU] skedari = "/ var / log / firewall.log" sinkronizimi = 1

Tjetra, ne do të modifikojmë skedarin e rrotullimit të rekordit / etj / logrotate / ulogd për të mbajtur një rotacion ditor (me datë) dhe për të ruajtur salvo të kompresuara në direktori / var / log / ulog /:

/var/log/ulog/*.log /var/log/firewall.log {dita e përditshme e ardhshme e humbjes së kompresimit vonesa e ngjeshjes shtypni shkrimet e përbashkëta krijoni 640 rrënjë adm postrotate /etc/init.d/ulogd ringarkoni mv /var/log/firewall.log-* .gz / var / regjist / ulog / skriptet e fundit}

Pastaj ne do të krijojmë rregullat e filtrit duke ekzekutuar sa vijon:

IPT = $ (cilat iptable) IPEXT = 250.250.250.155 IPEXTBLK = 250.250.0.0 / 16 IPBCAST = 255.255.255.255 $ IPT -F $ IPT -X $ IPT -Z $ IPT -A INPUT -i lo -j PRANIMI $ IPT - P INPUT DROP $ IPT -P FORWARD DROP $ IPT -P OUTPUT PRANO $ IPT -A INPUT -m gjendje - shtet INVALID -j ULOG --ulog-prefiksi IN_INVALID $ IPT -A INPUT -p igmp -j ULOG --ulog -prefiksi IN_IGMP $ IPT -A INPUT -m pkttype - transmetim i tipit pkt -j ULOG --ulog-prefiksi IN_BCAST $ IPT -A INPUT -m pkttype - tipi pkt multicast -j ULOG --ulog-prefiksi IN_MCAST $ IPT -A PWRPARA -j ULOG --ulog-prefiksi PWRPARA $ IPT -N ICMP_IN $ IPT -A INPUT!  -i lo -p icmp -j ICMP_IN $ IPT -A ICMP_IN -p icmp -f -j ULOG --ulog-prefiksi IN_ICMP_FRAGMENTED $ IPT -A ICMP_IN -p icmp -m icmp -m gjatësi!  --gjatësia 28: 1322 -j ULOG - prefiksi ogulog IN_ICMP_INVALIDSIZE $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-sipër 4 / sek - modaliteti hashlimit srcip --hashlimit-srcmask 24 - -hashlimit-name icmpflood -j ULOG --ulog-prefix IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-deri në 64kb / min --hashlimit-mode srcip --hashlimit-srcmask 24 - hashlimit -emri icmpattack -j ULOG --ulog-prefiksi IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m u32!  --u32 "0x4 & 0x3fff = 0x0" -j ULOG - prefiksiulogogul IN_ICMP_ATTACK $ IPT -A ICMP_IN -p icmp -m icmp!  - tip iicmp-echo-request -m shtet - shtet NEW -j ULOG --ulog-prefix IN_ICMP_INVALID $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type echo-request -j ULOG --ulog- prefiksi IN_ICMP $ IPT -A ICMP_IN -p icmp -m icmp - lloji i ik-kërkesë-kufiri m - kufiri 1 / sek - kufiri-shpërthimi 4 -j PRANIMI $ IPT -A ICMP_IN -p icmp -m icmp - kufiri i echo-përgjigjes së tipit ipmp - kufiri 2 / sek - kufiri i shpërthimit të kufirit 4 -j PRANO $ IPT -A ICMP_IN -p icmp-m icmp - destinacioni i tipit ipmp - kufiri i pakapshëm - m - kufiri 2 / sek --plasja e kufijve 4 -J PRANO $ IPT -A ICMP_IN -p icmp -m icmp - lloji i ikmp-tejkaluar kohën -m limit - kufiri 2 / sek --britja e kufijve 4 -j PRANO $ IPT -A ICMP_IN -p icmp -m icmp - parametër i tipit ipmp-problem -m limit --kufiri 2 / sek --kufizimi i kufirit 4 -j PRANO $ IPT -A ICMP_IN -j KTHIM $ IPT -N UDP_IN $ IPT -A INPUT!  -i lo -p udp -j UDP_IN $ IPT -A UDP_IN!  -i ja!  -p udp -f -j ULOG --ulog-prefiksi IN_UDP_FRAGMENTED $ IPT -A UDP_IN -p udp -m udp --port 53 -m gjatësi!  --gjatësia 28: 576 -j ULOG - prefiksiulog-ING_UDP_DNS_INVALIDSIZE $ IPT -A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j ULOG --ulog-prefix IN_UDP_DNSREQUEST $ IPT - Një UDP_IN -p udp -m udp --dport 53 -m-shtet - shtet SHTETI -J REJEKTIM - refuzo-me icmp-port-i paarritshëm $ IPT -A UDP_IN -p udp -m udp!  --port 53!  -s $ IPEXTBLK!  -d $ IPBCAST -m gjendje - shtet NEW -j ULOG --ulog-prefiksi IN_UDP $ IPT -A UDP_IN -p udp -m udp -m shtet - shteti I THEMELUAR, I LIDHUR -j PRANOJ $ IPT -A UDP_IN -j KTHIMI $ IPT -N TCP_IN $ IPT -A INPUT!  -i lo -p tcp -j TCP_IN $ IPT -A TCP_IN!  -i ja!  -p tcp -f -j ULOG --ulog-prefiksi IN_TCP_FRAGMENTED $ IPT -A TCP_IN -p tcp -m tcp - sport 53 -m shtet - shteti I THEMELUAR, I LIDHUR -m gjatësi!  --gjatësia 513: 1500 -j ULOG - prefiksiulog-INOTCP_DNS_INVALIDSIZE $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m shtet - gjendja NEW -j ULOG - prefiksiulog-INOTCP_DNS $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m shtet - shteti NEW -J REJECT --reject-with icmp-port-i paarritshëm $ IPT -A TCP_IN -p tcp -m tcp -m multiport!  --dportet 80,443 -m shtet --state NEW -j ULOG --ulog-prefix IN_TCP $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dportet 80,443 -m shteti - shteti NEW -m hashlimit - hashlimit -upto 4 / sek --hashlimit-breshëri 16 --hashlimit-mode srcip --hashlimit-name navreq -j PRANO $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dport 80,443 -m shtet - shteti I themeluar -m konlimit!  --connlimit-sipër 16 -j PRANO $ IPT -A TCP_IN -p tcp -m tcp -m multiport! 

Me konfigurimin e mëparshëm, VPS-ja jonë duhet të sigurohet në mënyrë të arsyeshme, por nëse dëshirojmë mund ta sigurojmë pak më shumë, për të cilën mund të përdorim disa rregulla më të përparuara.

Jo të gjitha VPS lejojnë instalimin e moduleve shtesë për filtrin netfil, por një shumë i dobishëm është PSD, e cila ju lejon të shmangni skanimet e portit. Fatkeqësisht ky modul nuk është i integruar në filtër netfal si parazgjedhje, prandaj është e nevojshme të instaloni paketa të caktuara dhe më pas të ndërtoni modulin:

aftësi -RvW instalo iptables-dev xtables-addons-burim modul-asistent modul-asistent --verbose - modaliteti i tekstit instalo automatikisht xtables-addons-burim

Sapo të bëhet më lart, ne mund të shtojmë një rregull si ky:

iptables -A INPUT -m psd --psd-pesha-pragu 15 --psd-vonesa-pragu 2000 --psd-lo-port-pesha 3 --psd-hi-portet-pesha 1 -j ULOG --ulog- parashtesa IN_PORTSCAN

Rregulli i mëparshëm në thelb do të thotë që ne do të krijojmë një numërues që do të rritet me 3 sa herë që bëhet një përpjekje për të hyrë në një port më të ulët se 1024 dhe me 1 sa herë që bëhet një përpjekje për të hyrë në një port më të lartë se 1023, dhe kur ky numërues arrin 15 në një periudhë prej më pak se 20 sekonda, paketat do të regjistrohen nga ulog si një përpjekje në portscan. Paketat përsëri mund të hidhen menjëherë, por në këtë rast ne synojmë t'i përdorim dështoj2ban, të cilën do ta konfigurojmë më vonë.

Sapo të krijohen rregullat, ne duhet të marrim masa të caktuara paraprake për t'i bërë ato këmbëngulëse, përndryshe do t'i humbasim gjatë rindezjes së serverit. Ka disa mënyra për ta arritur këtë; Në këtë udhëzues do të përdorim paketën e vazhdueshme iptables që kemi instaluar në fillim, e cila ruan rregullat në të /etj/iptables/rules.v4 y /etj/iptables/rules.v6 për ipv6.

iptables-save> /etc/iptables/rules.v4

Në fakt, megjithëse përdorimi i ipv6 në Kubë nuk është ende i përhapur, ne mund të krijojmë disa rregulla themelore:

IPT = $ (cilat tabela ip6) $ IPT -P INPUT R DNI $ IPT -P PRORPARA RRONI $ IPT -P dalje PRANO $ IPT -A INPUT -i lo -j PRANO $ IPT -A INPUT! -i gjendje - gjendja e themeluar, e lidhur - j PRANIMI i pavendosur IPT

Këto rregulla gjithashtu mund të bëhen të qëndrueshme:

ip6tables-save> /etc/iptables/rules.v6

Më në fund për një siguri më të madhe, ne pastrojmë regjistrin e murit të zjarrit dhe rifillojmë shërbimet:

echo -n> /var/log/firewall.log shërbimi logrotate restart shërbimi ulogd restart shërbimi iptables-rinisja e vazhdueshme

nginx

Ne do të përdorim Nginx si një server në internet, sepse VPS-të kanë tendencë të kenë një sasi RAM të reduktuar në krahasim me një server të vërtetë, kështu që përgjithësisht është një ide e mirë të keni diçka më të lehtë se Apache.

Para se të konfigurojmë Nginx, ne do të krijojmë një certifikatë (pa fjalëkalim) për përdorim mbi HTTPS:

cd / etc / nginx openssl genrsa -des3 -out cert.key 4096 cp -v cert.key cert.key.original openssl req -i ri -key cert.key -out cert.csr openssl rsa -in cert.key.original - out cert.key openssl x509 -req -ditë 365 -in cert.csr -signkey cert.key-out cert.crt

Pasi të jetë bërë kjo, ne do të krijojmë një skedar fjalëkalimi për përdoruesin "elusuario":

htpasswd -c .htpasswd përdoruesin

Tjetra, ne do të modifikojmë skedarin / etj / nginx / faqet-në dispozicion / parazgjedhur për të vendosur preferencat e paracaktuara të faqes. Mund të duket kështu:

serveri {server_name localhost; indeksi indeks.html indeksi.htm parazgjedhur.html parazgjedhur.htm; rrënjë / var / www; vendndodhja / {# caktoni rendin e verifikimit dhe faqen që do të ngarkohet, nëse URI nuk gjendet, provo_files $ uri $ uri / /index.html; }} server {degjo 127.0.0.1:443; emri i serverit localhost; indeksi i indeksit.html indeksi.htm parazgjedhur.html i paracaktuar.htm; root / var / www; ssl ndezur; çertifikata ssl_cert.crt; ssl_certificate_key cert.key; ssl_session_timeout 5m; # Aktivizo HTTPS vetëm mbi TLS (më e sigurt se SSL) ssl_protokollet TLSv1 TLSv1.1 TLSv1.2; # jep përparësi shifrave me forcë të lartë [HIGH], # zhvendos shifra me forcë të mesme [MEDIUM] deri në fund të listës, # çaktivizo shifra me forcë të ulët [LOW] (40 dhe 56 bit) # shifra me çaktivizim me algoritme eksporti [ EXP] # çaktivizoni shifrat null [eNULL], pa vërtetim [aNULL], SSL (versionet 2 dhe 3) dhe DSS (lejoni vetëm çelësa deri në 1024 bit) ssl_ciphers LART:: + MESIM:! E UL :T:! EXP:! ANULL :! eNULL:! SSLv3:! SSLv2:! DSS; # Preferoni metodat e kriptimit të serverit (si parazgjedhje përdoren klientët) ssl_prefer_server_ciphers aktive; vendndodhja / {# aktivizo vërtetimin auth_basic "Login"; auth_basic_user_file /etc/nginx/.htpasswd; # vendosni rendin e verifikimit dhe kodin e faqes për të ngarkuar, nëse URI try_files $ uri $ uri / = 404 nuk u gjet; # lejojnë krijimin e një indeksi për përdoruesit e autentifikuar të autoindex; autoindex_exact_size e fikur; autoindex_localt kohë në; }}

Ne kontrollojmë që konfigurimi është i saktë:

nginx -t

Më në fund, ne rifillojmë shërbimin:

shërbimi nginx restart

Fail2Ban

Para se të fillojmë të konfigurojmë Fail2Ban, për siguri më të madhe ne ndalojmë shërbimin dhe pastrojmë regjistrin:

fail2ban-klient ndaloj echo -n> /var/log/fail2ban.log

Tjetra, ne krijojmë skedarin e konfigurimit /etc/fail2ban/jail.lokale me përmbajtjen e mëposhtme të personalizuar:

# Skedar i konfigurimit të personalizuar /etc/fail2ban/jail.local # [DEFAULT] findtime = 43200; 12 orë banim = 86400; 1 ditë maksretri = 3; ndalimi do të hyjë në fuqi pas përpjekjes së 4-të [ssh] aktivizuar = false [nginx-auth] aktivizuar = filtër i vërtetë = veprim nginx-auth = iptables-multiport [name = NoAuthFailures, port = "http, https"] logpath = / var / log / nginx * / * error * .log [nginx-badbots] aktivizuar = filtër i vërtetë = veprim apache-badbots = iptables-multiport [name = BadBots, port = "http, https"] logpath = / var / log / nginx * /*access*.log bantime = 604800; 1 javë maxretry = 0 [nginx-login] aktivizuar = filter i vërtetë = veprim nginx-login = iptables-multiport [name = NoLoginFailures, port = "http, https"] logpath = / var / log / nginx * / * akses *. koha e regjistrimit = 1800; 30 minuta [nginx-noscript] aktivizuar = veprim i vërtetë = iptables-multiport [name = NoScript, port = "http, https"] filtër = nginx-noscript logpath = /var/log/nginx*/*access*.log maxretry = 0 [nginx-proxy] aktivizuar = veprim i vërtetë = iptables-multiport [name = NoProxy, port = "http, https"] filtër = nginx-proxy logpath = /var/log/nginx*/*access*.log bantime = 604800 ; 1 javë maxretry = 0 [firewall] i aktivizuar = veprim i vërtetë = iptables-multiport [name = Firewall] filtër = firewall logpath = /var/log/firewall.log maxretry = 0

Pasi të jetë bërë kjo, ne krijojmë në direktori /etc/fail2ban/filters.d/ skedarët e mëposhtëm:

. përdoruesi. * nuk u gjet në. * klienti: përdoruesi. * mospërputhja e fjalëkalimit. * klienti: injoroj regex =

# /etc/fail2ban/filter.d/nginx-login.conf # Filtri i hyrjes # Bllokon IP-të që nuk arrijnë të vërtetohen duke përdorur faqen e hyrjes së aplikacionit në internet # Skanoni hyrjen e hyrjes për HTTP 200 + POST / seancat => hyrja e dështuar # [Përkufizimi ] failregex = ^ -. * POST / seancat HTTP / 1 \ .. "200 injoreregex =

# /etc/fail2ban/filter.d/nginx-noscript.conf # Filtri Noscript # Bllokoni IP-të që përpiqen të ekzekutojnë skenarë të tillë si .php, .pl, .exe dhe skenare të tjerë qesharakë. # Ndeshje p.sh. # 192.168.1.1 - - "GET /something.php # [Definition] failregex = ^ -. * GET. * (\. Php | \ .asp | \ .exe | \ .pl | \ .cgi | \ scgi) injoreregex =

# /etc/fail2ban/filter.d/proxy.conf # Filtri i përfaqësuesit # Bllokoni IP-të që përpiqen të përdorin serverin si përfaqësues. # Ndeshje p.sh. # 192.168.1.1 - - "GET http://www.something.com/ # [Definition] failregex = ^ -. * GET http. * Ignoreregex =

# /etc/fail2ban/filter.d/firewall.conf # Filtri i Firewall # [Përkufizimi] failregex = ^. * IN_ (INVALID | PORTSCAN | UDP | TCP |). * SRC = . * $ injoreregex =

Më në fund, ne fillojmë shërbimin dhe ngarkojmë konfigurimin:

rimbushja e fail2ban-service -b fail2ban-klient

Verifikimi

Si hap i fundit, ne mund t'i shohim regjistrimet me bisht -f o multitail - ndiqni të gjitha. Në fakt, aplikacioni i fundit ofron avantazhin që ju lejon të shihni shumë skedarë në të njëjtën kohë dhe siguron theksimin bazë të sintaksës.

Në rast se një llogari email nuk është konfiguruar në VPS, këshillohet të çaktivizoni një mesazh paralajmërues që shfaqet kur filloni multitail, për të cilin do të ekzekutojmë komandën e mëposhtme:

echo "check_mail: 0"> ~ / .multitailrc

Në fakt, ne mund të krijojmë një pseudonim (4) për të parë shkrimet shpejt me një komandë të shkurtër, për shembull, "fshikullim":

alias flog = 'multitail - follow-all /var/log/firewall.log /var/log/fail2ban.log'

1) Këto janë vlera fiktive.
2) Mundësimi i shërbimeve të tjera është i lehtë pasi të kuptoni se si funksionon.
3) Për më shumë detaje, drejto burrat sudo.
4) Opsionale mund të shtohet në skedarin ~ / .bash_aliases