I mendoj njerëzit që ngasin makinën Serverat Linux ata dinë dhe dinë për të DenyHOSTS y fail2ban. Për ata që nuk e njohin do ta njoh shpjegoj pak për këta të dy aplikimet. |
Ne do të instalojmë dhe konfigurojmë këto dy aplikacione për të shmangur dhimbjet e mëpasshme të kokës. Së pari do të shpjegojmë se cilat janë këto dy aplikacione dhe cili është funksioni i tyre:
Fail2Ban
Shtë një analizues regjistri që kërkon përpjekje të dështuara të regjistrimit dhe bllokon IP-të nga vijnë këto përpjekje. Shpërndahet nën licencën GNU dhe zakonisht punon në të gjitha sistemet që ndërfaqen me një sistem kontrolli sulmi ose një firewall lokal.
Fail2Ban ka një konfigurim të shkëlqyeshëm dhe gjithashtu mund të krijojë rregulla për programet
të vetat ose palët e treta.
DenyHOSTS
Shtë një mjet sigurie i shkruar në python që monitoron regjistrat e serverit të aksesit për të parandaluar sulmet e forcës brutale në një server virtual. Programi punon duke ndaluar adresat IP që tejkalojnë një numër të caktuar të përpjekjeve të dështuara të lidhjes.
Këto aplikacione Linux - DenyHosts dhe Fail2ban - mund të përdoren veçmas ose së bashku. Në rastin tim, i kam të dy duke punuar së bashku.
Instalimi dhe konfigurimi i secilës varet nga shpërndarja që përdorni. Ky post është i orientuar drejt CentOS 6.3, megjithëse ndryshimet midis distros tjera nuk janë shumë të dukshme.
Epo atëherë, le të shkojmë në punë.
Instalimi dhe Konfigurimi i Fail2Ban
Ky aplikacion gjeneron rregulla dinamike në vetë firewall-in Linux dhe është përgjegjës për krijimin e rregullave të drejtpërdrejta në IpTabelat.
instalim
Për instalimin a:
yum instalo fail2ban
Nëse paketa nuk shfaqet, ne duhet të shtojmë depon e nevojshme:
rpm -Uvh http://mirror.metrocast.net/fedora/epel/6/i386/epel-release-6-7.noarch.rpm
Me këtë duhet të filloni të instaloni aplikacionin së bashku me varësitë e tij.
Tani ne duhet të konfigurojmë Fail2Ban për të analizuar regjistrat që duam dhe bllokojmë
IP-të, duke dërguar njoftime përmes postës elektronike. Për këtë ne duhet të modifikojmë skedarin jail.conf që e gjejmë në / etc / fail2ban
cd / etc / fail2ban
burgu nano.konf
Më poshtë duhet të bëhet në këtë skedar:
- Modifikimi është vlera e kohës së lirë, kjo vlerë përcakton kohën në sekonda kur IP-ja e sulmuesit do të bllokohet, në mënyrë të paracaktuar vlera vjen në 600 sekonda.
- Gjeni vlerën e maksimumit që do të jetë numri i herëve që një IP mund të ketë një vërtetim të dështuar para se të bllokohet.
- Shtoni ip-et tona në parametrin e injorimit. Këtu aplikacioni do të injorojë IP-të tona të vërtetuara në atë parametër.
[PARASHIKIM]
# "injorimi" mund të jetë një adresë IP, një maskë CIDR ose një host DNS. Fail2ban nuk do
# ndalo një host që përputhet me një adresë në këtë listë. Mund të jenë disa adresa
# përcaktohet duke përdorur ndarësin e hapësirës.
injoroj = 127.0.0.1
# "bantime" është numri i sekondave që një host është i ndaluar.
kohë e zgjatur = 600
# Një host është i ndaluar nëse ka gjeneruar "maxretry" gjatë "gjetjes" së fundit
# sekonda.
koha e gjetjes = 600
# "maxretry" është numri i dështimeve para se një host të ndalohet.
makshetri = 3
Një shembull se si mund të jetë është si më poshtë:
injoroj = 127.0.0.1 190.25.242.75 192.168.1.0/24
kohë e zgjatur = 800
makshetri = 2
Konfiguroni Fail2Ban dhe SSH
Për të kërkuar përpjekje të dështuara të hyrjes në SSH, ne modifikojmë skedarin derisa të duket si më poshtë:
[ssh-iptables]
aktivizuar = e vërtetë
filtri = sshd
veprim = iptables [name = SSH, port = 22, protokol = tcp] sendmail-whois [name = SSH, dest=FredySnake@outlook.com, dërgues = fail2ban @ localhost] logpath = / var / log / sigurt # Kjo është log që do të analizojë fail2ban
maxretry = 3 # çdo IP që ka tre ose më shumë përpjekje të dështuara do të bllokohet.
bantime = 86400 # 24 orë kohë ndalimi e shprehur në sekonda
Mos harroni se nëse modifikoni portin ku dëgjon SSH, duhet të modifikoni edhe parametrin e portës.
Ky aplikacion jo vetëm që punon për qasje të paautorizuar në SSH, por edhe për apache, për të lexuar regjistrat e yjeve, etj.
DenyHOSTS Instalimi dhe Konfigurimi
Funksionimi i tij bazohet në përdorimin e skedarit /etc/hosts.deny, domethënë në bllokimin e adresave të hostëve "sulmues", duke krijuar një listë të hostëve të mohuar.
Instalimi nga depot mund të merret me komandën e mëposhtme:
yum instalo denyhosts
Skedari i konfigurimit ndodhet në /etc/denyhosts.conf
Para se të vazhdojmë, pasi që si njerëz ne mund të bëjmë gabime dhe të bëjmë tipike "Shtresa 8" kur kemi qasje në ndonjë prej shërbimeve dhe bllokojmë veten. Për ta shmangur atë, ne editojmë skedarin /etc/hosts.allow dhe shtojmë IP-të e makinave nga të cilat nuk duam të kufizohemi për shkak të një dështimi të hyrjes.
Modifikoni skedarin denyhosts.conf
Për të mos shkuar aq larg në cilësimet, në këtë skedar do të modifikojmë dhe ç'komentojmë vetëm disa parametra. Këto janë:
SYNC_SERVER = http://xmlrpc.denyhosts.net:9911
SYNC_INTERVAL = 1 orë
SYNC_UPLOAD = po
SYNC_DOWNLOAD = po
SYNC_DOWNLOAD_THRESHOLD = 3
SYNC_DOWNLOAD_RESILIENCY = 5 orë
Kështu, ne do të lëmë një konfigurim praktikisht si parazgjedhje, por me siguri të madhe ndaj sulmeve të SSH.
nano / etj / shtëpi.lë
Shembull:
sshd: 127.0.0.1
sshd: 192.168.1.10
sshd: 192.168.0. *
Pas kësaj, ne rifillojmë shërbimin:
/etc/init.d/denyhosts rinisin
Me këtë ne po japim leje për një IP, një gamë IP dhe natyrisht për ndërfaqen tonë loopback. Diçka që nuk e kam provuar - prandaj nuk e di nëse funksionon - është të shtoj DNS në këtë skedar; domethënë me shërbime si DynDNS. Nëse e bëj, do t'ju tregoj si shkoi.
Me disa opsione dhe cilësime, ne gjithashtu do të sigurohemi që pas periudhës kohore që tregojmë në konfigurimin DenyHOSTS, adresat e ruajtura të pastrohen dhe ato të azhurnohen me listat e tjera të bëra nga të tjerët - nëse ne e tregojmë atë - duke i dhënë leje hyrjeje serveri i DenyHOSTS.
Për të pastruar adresat e ruajtura herë pas here, siç është konfiguruar, daemoni duhet të ekzekutohet me parametrin –pastrim:
/etc/init.d/denyhosts fillojnë - shfryj
Përveç kësaj, ne duhet ta përfshijmë atë në fillim të sistemit:
mohimet e chkconfig aktive