Кораци за осигурање нашег ВПС-а

Ово упутство приказује како припремити и осигурати виртуелни приватни сервер (ВПС) са Дебиан ГНУ / Линуком. Пре почетка претпоставља се неколико ствари:

1. Имате средњи ниво познавања ГНУ / Линука.
2. Постоји ВПС за личну употребу којем имамо приступ путем ССХ-а.
3. ВПС има наменски спољни ипв4 250.250.250.155, а наш добављач поседује блок 250.250.0.0/16. (1)
4. У нашем ВПС-у имаћемо само хттп, хттпс и ссх услуге омогућене за приступ споља.
5. Спољни ДНС неће бити омогућен јер се то обично ради на табли нашег добављача. (2)
6. Радиће као суперкорисник.

инсталација

Као први корак, ажурирајмо сервер и инсталирајмо неке пакете који ће нам требати:

# аптитуде упдате & аптитуде сафе-упграде # аптитуде -РвВ инсталл дропбеар гесфтпсервер сслх иптаблес-персистент улогд фаил2бан нгинк-лигхт апацхе2-утилс днсутилс телнет гхостсцрипт попплер-утилс зип унзип унрар-фрее п7зип-фулл мултитаил тее мц

конфигурација

Сада ћемо створити корисничког корисника. Рад као роот на серверу није сигуран, па ћемо прво створити посебног корисника:

аддусер оператор усермод -аГ судо оператор

Прва наредба креира корисника оператора, друга га додаје у групу судо, што ће омогућити покретање апликација као роот.

Прилагодите дозволе за супер кориснике

За редован рад користићемо корисника оператор претходно створене, потребно је да подесимо опције извршавања наредбе као суперусер, за шта извршавамо следећу наредбу:

висудо

Ова наредба у основи омогућава измјену датотеке / етц / судоерс; у којој треба да садржимо ове редове:

Задано енв_ресет, тиместамп_тимеоут = 0% судо АЛЛ = (АЛЛ: АЛЛ) АЛЛ

У првом реду опција се додаје подразумеваним вредностима тиместамп_тимеоут што вам омогућава да подесите време истека (у минутима) лозинке када се изврши судо команда. Подразумевано је 5, али то понекад није сигурно из два разлога:

1. Ако нехотице оставимо рачунар пријављеним пре истека лозинке, неко може извршити наредбу као суперкорисник без икаквих ограничења.
2. Ако из незнања извршимо апликацију или скрипту која садржи злонамерни код пре истека лозинке, апликација би могла да има приступ нашем систему као суперкорисник, без нашег изричитог пристанка.

Дакле, да бисмо избегли ризике, вредност смо поставили на нулу, то јест, сваки пут када се изврши судо наредба, мораће се унети лозинка. Ако је негативна вредност постављена на -1, ефекат је да лозинка никада не истиче, што би произвело супротан резултат од онога што желимо.

У другом реду је појашњено да судо група може да изврши било коју наредбу на било ком рачунару, што је уобичајено, иако се може прилагодити. (3) Постоје они који због погодности стављају ред на следећи начин да не би морали да укуцају лозинку:

% судо АЛЛ = (АЛЛ: АЛЛ) НОПАССВД: АЛЛ

Међутим, као што смо раније објаснили, ово је ризично и стога се не препоручује.

Онемогући поновно покретање

Из безбедносних разлога онемогућићемо и поновно покретање помоћу комбинације тастера Цтрл + Алт + Дел, за који морамо додати овај ред у датотеку / етц / иниттаб:

ца: 12345: цтрлалтдел: / бин / ецхо "Цтрл + Алт + Дел је онемогућен."

Замените ОпенССХ са ДропБеар

Већина ВПС-а долази са инсталираним ОпенССХ-ом, што је свакако врло корисно, али осим ако не морамо искористити сву функционалност ОпенССХ-а, постоје лакше верзије за ВПС, попут Дропбеар, што је обично довољно за редовну употребу. Међутим, недостатак ове апликације је што се не испоручује са интегрисаним СФТП сервером и зато смо пакет инсталирали на почетку гесфтпсервер.

Да бисмо конфигурисали Дропбеар, модификоваћемо датотеку / етц / дефаулт / дропбеар тако да садржи ове две линије:

НО_СТАРТ = 0 ДРОПБЕАР_ЕКСТРА_АРГС = "- в -п 127.0.0.1:22 -И 1200 -м"

Прва линија једноставно омогућава услугу, а друга чини неколико ствари:

1. Избегавајте роот приступ.
2. Слушање услуге ставља на порт 22 локалног интерфејса (објаснићемо зашто касније).
3. Подешава време чекања (20 минута).

ССЛХ

Порт 22 (ССХ) је добро познат и генерално је један од првих који хакери покушавају да прекрше, па ћемо уместо тога користити порт 443 (ССЛ). Дешава се да се овај порт користи за сигурно прегледање преко ХТТПС-а.

Из тог разлога ћемо користити сслх пакет, који је ништа више него мултиплексер који анализира пакете који стижу на порт 443 и интерно их усмерава на једну или другу услугу, у зависности од тога да ли је врста саобраћаја ССХ или ССЛ.

ССЛХ не може да слуша на интерфејсу где друга услуга већ слуша, због чега смо претходно натерали Дропбеар да слуша на локалном интерфејсу.

Сада оно што треба да урадимо је да назначимо сслх интерфејс и порт кроз који треба да преслушава и где да преусмеримо пакете у зависности од врсте услуге, а за то ћемо изменити конфигурациону датотеку / етц / дефаулт / сслх:

ДАЕМОН = / уср / сбин / сслх ДАЕМОН_ОПТС = "- корисник сслх --слушај 250.250.250.155:443 --ссх 127.0.0.1:22 --ссл 127.0.0.1:443 --пидфиле / вар / рун / сслх / сслх. пид "РУН = да

На крају, поново покрећемо услуге:

сервице ссх стоп && сервице дропбеар старт && сервице сслх рестарт

Након претходне наредбе, наша сигурна сесија ће вероватно бити прекинута, у том случају је довољно да се поново пријавите, али овај пут са корисничким корисником и коришћењем порта 443. Ако сесија није прекинута, препоручљиво је да је затворите и започните поново. са одговарајућим вредностима.

Ако све функционише исправно, можемо наставити да радимо као роот и ако желимо, деинсталирајте ОпенССХ:

судо су - аптитуде -р пурге опенссх-сервер

Фиревалл

Следеће што ћемо урадити је раздвајање евиденција са заштитног зида у засебну датотеку /вар/лог/фиревалл.лог да бисмо олакшали даљу анализу, због чега смо улогд пакет инсталирали приликом покретања. Због тога ћемо уредити датотеку /етц/логд.цонф да бисте прилагодили одговарајући одељак:

[ЛОГЕМУ] филе = "/ вар / лог / фиревалл.лог" синц = 1

Даље ћемо изменити датотеку ротације записа / етц / логротате / улогд да бисте задржали дневну ротацију (са датумом) и сачували компримоване салве у директоријуму / вар / лог / улог /:

/вар/лог/улог/*.лог /вар/лог/фиревалл.лог {свакодневно датеект миссингок компресије делаицомпресс схаредсцриптс креира 640 роот адм постротате /етц/инит.д/улогд релоад мв /вар/лог/фиревалл.лог-* .гз / вар / лог / улог / ендсцрипт}

Тако ћемо створити правила за нетфилтер извршавајући следеће:

ИПТ = $ (који се могу прилагодити) ИПЕКСТ = 250.250.250.155 ИПЕКСТБЛК = 250.250.0.0 / 16 ИПБЦАСТ = 255.255.255.255 $ ИПТ -Ф $ ИПТ -Кс $ ИПТ -З $ ИПТ -А ИНПУТ -и ло -ј АЦЦЕПТ $ ИПТ - П ИНПУТ ДРОП $ ИПТ -П ФОРВАРД ДРОП $ ИПТ -П ОУТПУТ АЦЦЕПТ $ ИПТ -А ИНПУТ -м стате --стате ИНВАЛИД -ј УЛОГ --улог-префик ИН_ИНВАЛИД $ ИПТ -А ИНПУТ -п игмп -ј УЛОГ --улог -префикс ИН_ИГМП $ ИПТ -А УЛАЗ -м пкттипе -пкт-тип емитовање -ј УЛОГ --улог-префикс ИН_БЦАСТ $ ИПТ -А ИНПУТ -м пкттипе -пкт-типе мултицаст -ј УЛОГ --улог-префикс ИН_МЦАСТ $ ИПТ -А НАПРЕД -ј УЛОГ --улог-префикс НАПРЕД $ ИПТ -Н ИЦМП_ИН $ ИПТ -А УЛАЗ!  -и ло -п ицмп -ј ИЦМП_ИН $ ИПТ -А ИЦМП_ИН -п ицмп -ф -ј УЛОГ --улог-префикс ИН_ИЦМП_ФРАГМЕНТЕД $ ИПТ -А ИЦМП_ИН -п ицмп -м ицмп -м ленгтх!  --дужина 28: 1322 -ј УЛОГ --улог-префикс ИН_ИЦМП_ИНВАЛИДСИЗЕ $ ИПТ -А ИЦМП_ИН -п ицмп -м ицмп -м хасхлимит --хасхлимит-изнад 4 / сец --хасхлимит-моде срцип --хасхлимит-срцмаск 24 - -хасхлимит-наме ицмпфлоод -ј УЛОГ --улог-префикс ИН_ИЦМП_ФЛООД $ ИПТ -А ИЦМП_ИН -п ицмп -м ицмп -м хасхлимит --хасхлимит-упто 64кб / мин --хасхлимит-моде срцип --хасхлимит-срцмаск 24 - хасхлимит -име ицмпаттацк -ј УЛОГ --улог-префикс ИН_ИЦМП_ФЛООД $ ИПТ -А ИЦМП_ИН -п ицмп -м ицмп -м у32!  --у32 "0к4 & 0к3ффф = 0к0" -ј УЛОГ --улог-префикс ИН_ИЦМП_АТТАЦК $ ИПТ -А ИЦМП_ИН -п ицмп -м ицмп!  - ецхо-рекуест -м стате -ммп стање - стате НОВО -ј УЛОГ --улог-префикс ИН_ИЦМП_ИНВАЛИД $ ИПТ -А ИЦМП_ИН -п ицмп -м ицмп - емп-типе -мпмп -ј УЛОГ --улог- префикс ИН_ИЦМП $ ИПТ -А ИЦМП_ИН -п ицмп -м ицмп --ицмп-типе ецхо-рекуест -м лимит --лимит 1 / сец --лимит-бурст 4 -ј АЦЦЕПТ $ ИПТ -А ИЦМП_ИН -п ицмп -м ицмп - емп-типе ецхо-репли -м лимит --лимит 2 / сец --лимит-бурст 4 -ј АЦЦЕПТ $ ИПТ -А ИЦМП_ИН -п ицмп -м ицмп --ицмп-типе дестинатион-унреацхабле -м лимит - лимит 2 / сец --лимит-бурст 4 -ј ПРИХВАТИТЕ $ ИПТ -А ИЦМП_ИН -п ицмп -м ицмп - временски прекорачен лимит -ицмп-типе -лимит 2 / сец --лимит-бурст 4 -ј АЦЦЕПТ $ ИПТ -А ИЦМП_ИН -п ицмп -м ицмп --ицмп-типе параметер-проблем -м лимит --лимит 2 / сец --лимит-бурст 4 -ј АЦЦЕПТ $ ИПТ -А ИЦМП_ИН -ј РЕТУРН $ ИПТ -Н УДП_ИН $ ИПТ -А УЛАЗ!  -и ло -п удп -ј УДП_ИН $ ИПТ -А УДП_ИН!  -и гле!  -п удп -ф -ј УЛОГ --улог-префикс ИН_УДП_ФРАГМЕНТЕД $ ИПТ -А УДП_ИН -п удп -м удп --спорт 53 -м ленгтх!  --ленгтх 28: 576 -ј УЛОГ --улог-префикс ИН_УДП_ДНС_ИНВАЛИДСИЗЕ $ ИПТ -А УДП_ИН -п удп -м удп --дпорт 53 -м -стате --стате НОВО -ј УЛОГ --улог-префикс ИН_УДП_ДНСРЕКУЕСТ $ ИПТ - А УДП_ИН -п удп -м удп --дпорт 53 -м -стате --стате НЕВ -ј РЕЈЕЦТ --рејецт-витх ицмп-порт-унреацхабле $ ИПТ -А УДП_ИН -п удп -м удп!  - спорт 53!  -с $ ИПЕКСТБЛК!  -д $ ИПБЦАСТ -м стање - стање НОВО -ј УЛОГ --улог-префикс ИН_УДП $ ИПТ -А УДП_ИН -п удп -м удп -м стање - стање ОСНОВАНО, ПОВЕЗАНО -ј ПРИХВАТИ $ ИПТ -А УДП_ИН -ј ВРАТИТЕ $ ИПТ -Н ТЦП_ИН $ ИПТ -А УЛАЗ!  -и ло -п тцп -ј ТЦП_ИН $ ИПТ -А ТЦП_ИН!  -и гле!  -п тцп -ф -ј УЛОГ --улог-префикс ИН_ТЦП_ФРАГМЕНТЕД $ ИПТ -А ТЦП_ИН -п тцп -м тцп --спорт 53 -м стате --стате ОСНОВАНО, ПОВЕЗАНО -м дужине!  --дужина 513: 1500 -ј УЛОГ --улог-префикс ИН_ТЦП_ДНС_ИНВАЛИДСИЗЕ $ ИПТ -А ТЦП_ИН -п тцп -м тцп --дпорт 53 -м стање - стање НОВО -ј УЛОГ --улог-префикс ИН_ТЦП_ДНС $ ИПТ -А ТЦП_ИН -п тцп -м тцп --дпорт 53 -м стање - стање НОВО -ј ОДБИЈАЊЕ --рејецт-витх ицмп-порт-унреацхабле $ ИПТ -А ТЦП_ИН -п тцп -м тцп -м мултипорт!  --дпортс 80,443 -м стате --стате НЕВ -ј УЛОГ --улог-префик ИН_ТЦП $ ИПТ -А ТЦП_ИН -п тцп -м тцп -м мултипорт --дпортс 80,443 -м стате --стате НЕВ -м хасхлимит - хасхлимит -до 4 / сец --хасхлимит-бурст 16 --хасхлимит-моде срцип --хасхлимит-наме наврек -ј ПРИХВАТИ $ ИПТ -А ТЦП_ИН -п тцп -м тцп -м мултипорт --дпортс 80,443 -м стате - стате УСТАНОВЉЕН -м ограничити!  --цоннлимит-овер 16 -ј АЦЦЕПТ $ ИПТ -А ТЦП_ИН -п тцп -м тцп -м мултипорт! 

Са претходном конфигурацијом, наш ВПС би требало да буде разумно осигуран, али ако желимо можемо га осигурати мало више, за шта можемо користити нека напреднија правила.

Нису сви ВПС дозвољени за инсталирање додатних модула за нетфилтер, али врло користан је pSD, који вам омогућава да избегнете скенирање порта. Нажалост, овај модул по дефаулту није интегрисан у нетфилтер, па је потребно инсталирати одређене пакете, а затим изградити модул:

аптитуде -РвВ инсталл иптаблес-дев ктаблес-аддонс-соурце модул-помоћник модуле-ассистант --вербосе --тект-моде ауто-инсталл ктаблес-аддонс-соурце

Једном када се горенаведе, можемо додати овакво правило:

иптаблес -А ИНПУТ -м псд --псд-праг тежине 15 --псд-праг одлагања 2000 --псд-ло-порт-веигхт 3 --псд-хи-портс-веигхт 1 -ј УЛОГ --улог- префикс ИН_ПОРТСЦАН

Горње правило у основи значи да ћемо створити бројач који ће се увећавати за 3 сваки пут када се покуша приступити порту нижем од 1024 и за 1 сваки пут када се покуша приступити порту вишем од 1023, и када је ово бројач достигне 15 у периоду краћем од 20 секунди, пакете ће регистровати улог као покушај лучког скенирања. Пакети би и даље могли бити одбачени одједном, али у овом случају намеравамо да користимо фаил2бан, коју ћемо конфигурисати касније.

Једном када се правила креирају, морамо предузети одређене мере предострожности да би били постојани, у противном ћемо их изгубити када се сервер поново покрене. Постоји неколико начина да се то постигне; У овом упутству ћемо користити иптаблес-персистент пакет који смо инсталирали на почетку, а који чува правила у /етц/иптаблес/рулес.в4 y /етц/иптаблес/рулес.в6 за ипв6.

иптаблес-саве> /етц/иптаблес/рулес.в4

У ствари, иако употреба ипв6 на Куби још није широко распрострањена, могли бисмо створити нека основна правила:

ИПТ = $ (који ип6таблес) $ ИПТ -П ИНПУТ ДРОП $ ИПТ -П ФОРВАРД ДРОП $ ИПТ -П ОУТПУТ АЦЦЕПТ $ ИПТ -А ИНПУТ -и ло -ј АЦЦЕПТ $ ИПТ -А ИНПУТ! -и ло -м стате --стате УСТАНОВЉЕНО, ПОВЕЗАНО -ј ПРИХВАТАТИ поништено ИПТ

Ова правила такође могу бити постојана:

ип6таблес-саве> /етц/иптаблес/рулес.в6

На крају, ради веће сигурности, очистимо регистар заштитног зида и поново покрећемо услуге:

ецхо -н> /вар/лог/фиревалл.лог сервис логротате рестарт сервице улогд рестарт сервице иптаблес-персистент рестарт

Нгинк

Користићемо Нгинк као веб сервер, јер ВПС-ови имају смањену количину РАМ-а у поређењу са стварним сервером, па је генерално добра идеја имати нешто лакше од Апацхе-а.

Пре конфигурисања Нгинка, креираћемо сертификат (без лозинке) за употребу преко ХТТПС-а:

цд / етц / нгинк опенссл генрса -дес3 -оут церт.кеи 4096 цп -в церт.кеи церт.кеи.оригинал опенссл рек -нев -кеи церт.кеи -оут церт.цср опенссл рса -ин церт.кеи.оригинал - оут церт.кеи опенссл к509 -рек -даис 365 -ин церт.цср -сигнкеи церт.кеи -оут церт.црт

Када се то уради, креираћемо датотеку лозинке за корисника „елусуарио“:

хтпассвд -ц .хтпассвд корисника

Даље ћемо изменити датотеку / етц / нгинк / ситес-аваилабле / дефаулт да бисте поставили подразумеване поставке локације. Могло би изгледати овако:

сервер {сервер_наме лоцалхост; индек индек.хтмл индек.хтм дефаулт.хтмл дефаулт.хтм; роот / вар / ввв; лоцатион / {# поставите редослед верификације и страницу за учитавање, ако УРИ није пронађен три_филес $ ури $ ури / /индек.хтмл; }} сервер {преслушати 127.0.0.1:443; сервер_наме лоцалхост; индек индек.хтмл индек.хтм дефаулт.хтмл дефаулт.хтм; роот / вар / ввв; ссл он; ссл_цертифицате церт.црт; ссл_цертифицате_кеи церт.кеи; ссл_сессион_тимеоут 5м; # Омогући ХТТПС само преко ТЛС-а (сигурније од ССЛ-а) ссл_протоцолс ТЛСв1 ТЛСв1.1 ТЛСв1.2; # дајте предност шифрама високе чврстоће [ХИГХ], # преместите шифре средње јачине [СРЕДЊЕ] на крај листе, # онемогућите шифре ниске чврстоће [ЛОВ] (40 и 56 битова) # онемогућите шифре алгоритмима за извоз [ ЕКСП] # онемогући нулл шифре [еНУЛЛ], без потврде идентитета [аНУЛЛ], ССЛ (верзије 2 и 3) и ДСС (дозвољавају само кључеве до 1024 бита) ссл_ципхерс ХИГХ: + СРЕДЊИ :! ЛОВ :! ЕКСП:! АНУЛЛ :! еНУЛЛ :! ССЛв3 :! ССЛв2 :! ДСС; # Дајте предност методама шифровања сервера (подразумевано се користе клијентови) ссл_префер_сервер_ципхерс он; лоцатион / {# енабле аутхентицатион аутх_басиц "Логин"; аутх_басиц_усер_филе /етц/нгинк/.хтпассвд; # подесите редослед верификације и учитавање кода странице, ако УРИ три_филес $ ури $ ури / = 404 није пронађен; # дозволити стварање индекса за ауторизоване кориснике са аутентикацијом; аутоиндек_екацт_сизе офф; аутоиндек_лоцалтиме укључен; }}

Проверавамо да ли је конфигурација тачна:

нгинк -т

На крају, поново покрећемо услугу:

сервис нгинк рестарт

Фаил2Бан

Пре него што почнемо да конфигуришемо Фаил2Бан, ради веће сигурности заустављамо услугу и чистимо регистар:

фаил2бан-цлиент стоп ецхо -н> /вар/лог/фаил2бан.лог

Даље креирамо датотеку за конфигурацију /етц/фаил2бан/јаил.лоцал са следећим прилагођеним садржајем:

# Прилагођена конфигурациона датотека /етц/фаил2бан/јаил.лоцал # [ДЕФАУЛТ] финдтиме = 43200; 12 сати бантиме = 86400; 1 дан макретри = 3; забрана ступа на снагу након 4. покушаја [ссх] енаблед = фалсе [нгинк-аутх] енаблед = труе филтер = нгинк-аутх ацтион = иптаблес-мултипорт [наме = НоАутхФаилурес, порт = "хттп, хттпс"] логпатх = / вар / лог / нгинк * / * еррор * .лог [нгинк-бадботс] енаблед = труе филтер = апацхе-бадботс ацтион = иптаблес-мултипорт [наме = БадБотс, порт = "хттп, хттпс"] логпатх = / вар / лог / нгинк * /*аццесс*.лог бантиме = 604800; 1 недеља макретри = 0 [нгинк-логин] омогућено = труе филтер = нгинк-логин ацтион = иптаблес-мултипорт [наме = НоЛогинФаилурес, порт = "хттп, хттпс"] логпатх = / вар / лог / нгинк * / * аццесс *. лог бантиме = 1800; 30 минута [нгинк-носцрипт] омогућено = истинита акција = иптаблес-мултипорт [наме = НоСцрипт, порт = "хттп, хттпс"] филтер = нгинк-носцрипт логпатх = /вар/лог/нгинк*/*аццесс*.лог макретри = 0 [нгинк-проки] омогућено = труе ацтион = иптаблес-мултипорт [наме = НоПроки, порт = "хттп, хттпс"] филтер = нгинк-проки логпатх = /вар/лог/нгинк*/*аццесс*.лог бантиме = 604800 ; 1 недеља макретри = 0 [фиревалл] омогућено = труе ацтион = иптаблес-мултипорт [наме = Фиревалл] филтер = логпатх фиревалл = /вар/лог/фиревалл.лог макретри = 0

Једном када се то уради, креирамо у директоријуму /етц/фаил2бан/филтерс.д/ следеће датотеке:

# /етц/фаил2бан/филтер.д/нгинк-аутх.цонф # Аутх филтер # Блокира ИП адресе које не успевају да се аутентификују помоћу основне аутентификације # [Дефиниција] фаилрегек = није дат корисник / лозинка за основну аутентификацију. * клијент: усер. * није пронађен у. * цлиент: корисник. * неусклађеност лозинке. * клијент: игноререгек =

# /етц/фаил2бан/филтер.д/нгинк-логин.цонф # Филтер за пријављивање # Блокира ИП адресе које не успевају да се аутентификују помоћу странице за пријављивање веб апликације # Скенирај евиденцију приступа за ХТТП 200 + ПОСТ / сессион => неуспешно пријављивање # [Дефиниција ] фаилрегек = ^ -. * ПОСТ / сесије ХТТП / 1 \ .. "200 игноререгек =

# /етц/фаил2бан/филтер.д/нгинк-носцрипт.цонф # Носцрипт филтер # Блокирај ИП адресе које покушавају да изврше скрипте као што су .пхп, .пл, .еке и друге смешне скрипте. # Подудара се нпр. # 192.168.1.1 - - "ГЕТ /сометхинг.пхп # [Дефиниција] фаилрегек = ^ -. * ГЕТ. * (\. Пхп | \ .асп | \ .еке | \ .пл | \ .цги | \ сцги) игноререгек =

# /етц/фаил2бан/филтер.д/проки.цонф # Проки филтер # Блокирај ИП адресе које покушавају да користе сервер као проки. # Подудара се нпр. # 192.168.1.1 - - "ГЕТ хттп://ввв.сометхинг.цом/ # [Дефиниција] фаилрегек = ^ -. * ГЕТ хттп. * Игноререгек =

# /етц/фаил2бан/филтер.д/фиревалл.цонф # Филтер заштитног зида # [Дефиниција] фаилрегек = ^. * ИН_ (ИНВАЛИД | ПОРТСЦАН | УДП | ТЦП |). * СРЦ = . * $ игноререгек =

Коначно, покрећемо услугу и учитавамо конфигурацију:

фаил2бан-сервице -б фаил2бан-цлиент поновно учитавање

Верификација

Као последњи корак, можемо прегледати записе помоћу реп -ф o мултитаил –следи-свима. У ствари, последња апликација нуди предност у томе што омогућава истовремено гледање више датотека и пружа основно истицање синтаксе.

У случају да налог е-поште није конфигурисан у ВПС-у, препоручљиво је онемогућити поруку упозорења која се појављује приликом покретања мултитаила, за коју ћемо извршити следећу команду:

ецхо "цхецк_маил: 0"> ~ / .мултитаилрц

У ствари, могли бисмо направити псеудоним (4) за брзи преглед дневника кратком командом, на пример, „флог“:

алиас флог = 'мултитаил --фоллов-алл /вар/лог/фиревалл.лог /вар/лог/фаил2бан.лог'

1) То су фиктивне вредности.
2) Омогућавање других услуга је лако када схватите како то функционише.
3) За више детаља покрените ман судоерс.
4) По жељи се може додати у датотеку ~ / .басх_алиасес