Здраво пријатељи из DesdeLinux, lo prometido es deuda y aquí va un post de како максимизирати заштиту Линук система и остати такав сигурно од уљеза, као и заштиту података на вашим серверима, рачунарима или преносним рачунарима !!!!
Цомензандо
Фаил2бан: је апликација написана на Питхону да би спречила упад у систем који делује кажњавањем или блокирањем удаљених веза које покушавају приступ грубом силом.
Инсталација:
Федора, РХЕЛ, ЦентОС:
yum install fail2ban
Дебиан, Убунту:
apt-get install fail2ban
Подешавање:
цп /етц/фаил2бан/јаил.цонф /етц/фаил2бан/јаил.лоцал нано /етц/фаил2бан/јаил.лоцал
У делу под називом [ДЕФАУЛТ] ми коментаришемо и модификујемо #бантиме = 3600 остављајући га овако:
#бантиме = 3600 бантиме = 604800
У [ссхд] део уводимо енаблед = труе остављајући га овако:
#енаблед = труе омогућено = труе
Штедимо са ЦТРЛ + О и затварамо са ЦТРЛ + Кс
Услугу започињемо:
Федора, РХЕЛ, ЦентОС:
системцтл омогући фаил2бан.сервице системцтл старт фаил2бан.сервице
Дебиан, Убунту:
сервис фаил2бан старт
Забранити роот приступ помоћу ссх:
Да бисмо заштитили нашу машину, одбацићемо ссх преко роот корисника. Да бисмо то урадили, уређујемо датотеку / етц / ссх / ссхд_цонфиг на следећи начин:
цп ссхд_цонфиг ссхд_цонфиг.бцк нано / етц / ссх / ссхд_цонфиг
Ми се коментаришемо и мењамо
# Протокол 2 протокол 2
Ми се коментаришемо и мењамо
#ПермитРоотЛогин да ПермитРоотЛогин не
Штедимо са ЦТРЛ + О и затварамо са ЦТРЛ + Кс
Услугу започињемо:
Федора, РХЕЛ, ЦентОС:
системцтл омогући ссхд.сервице системцтл покрени ссхд.сервице
Дебиан, Убунту:
сервис ссхд старт
Забраните приступ ссх серверу помоћу лозинке и дозволите ссх само са РСА кључевима
Ако желимо да се повежемо са ПЦ1 на Сервер1, прво што треба урадити је генерисање нашег кључа на ПЦ1. Са нашим корисником и без роот-а на ПЦ1 извршавамо:
ссх-кеиген -т рса -б 8192 (ово генерише више него сигуран кључ јер се обично користе кључеви од 1024 до 2048)
Када добијемо лозинку, отпремимо је на Сервер1:
ссх-цопи-ид корисник @ сервер_ип
Једном када се то уради, повезаћемо се са нашим сервером1 и изменити датотеку нано / етц / ссх / ссхд_цонфиг са роот дозволама:
ссх корисник @ Сервер1 нано / етц / ссх / ссхд_цонфиг
Мењамо ред који каже #ПассвордАутхентицатион да на ово:
#ПассвордАутхентицатион да
ПассвордАутхентицатион бр
Штедимо са ЦТРЛ + О и затварамо са ЦТРЛ + Кс
Поново покрећемо ссх услугу:
Федора, РХЕЛ, ЦентОС:
системцтл рестарт ссхд.сервице
Дебиан, Убунту:
сервис ссхд рестарт
Промените ссх порт за слушање
Поново уређујемо / етц / ссх / ссхд_цонфиг и у делу који се односи на порт остављамо га овако:
# Порт 22 Порт 2000 (или било који други број већи од 2000. У нашим примерима ћемо користити ово.)
Штедимо са ЦТРЛ + О и затварамо са ЦТРЛ + Кс
Поново покрећемо ссх услугу:
Федора, РХЕЛ, ЦентОС:
системцтл рестарт ссхд.сервице
Дебиан, Убунту:
сервис ссхд рестарт
Ако користе фаил2бан потребно је променити конфигурацију у вези ссхд подешавања порта.
nano /etc/fail2ban/jail.local [sshd] port = ssh, 2000 [sshd-ddos] port = ssh, 2000 [dropbear] port = ssh, 2000 [selinux-ssh] port = ssh, 2000
Штедимо са ЦТРЛ + О и затварамо са ЦТРЛ + Кс
Обнављамо услугу:
Федора, РХЕЛ, ЦентОС:
рестарт системцтл фаил2бан.сервице
Дебиан, Убунту:
услуга фаил2бан рестарт
заштитни зид
Федора, РХЕЛ, ЦентОС:
Селинук и Иптаблес су подразумевано активирани на овим системима и препоручујем да наставите овим путем. Како отворити порт помоћу иптаблес-а? Погледајмо како отворити нови порт 2000 ссх порта који смо претходно променили:
Отворено:
нано / етц / сисцонфиг / иптаблес
и ми модификујемо линију која се односи на подразумевани ссх порт 22 и остављамо је овако:
# -А УЛАЗ -м стање - стање НОВО -м тцп -п тцп --дпорт 22 -ј ПРИХВАТИ -А УЛАЗ -п тцп -м стање - стање НОВО -м тцп --дпорт 2000 -ј ПРИХВАТИ
Штедимо са ЦТРЛ + О и затварамо са ЦТРЛ + Кс
Поново покрећемо услугу:
системцтл рестарт иптаблес
Дебиан, Убунту:
У Дебиану или Убунтуу и изведеницама имамо УФВ заштитни зид који ће нам олакшати живот јер врло лако управља Нетфилтером.
Инсталација:
апт-гет инсталл уфв уфв омогући
Да бисмо видели статус отворених портова које извршавамо:
статус уфв
Да бисте отворили порт (у нашем примеру то ће бити нови ссх порт 2000):
уфв дозволи 2000
Да одбијете порт (у нашем случају то ће бити подразумевани порт 22 од ссх):
уфв дени 22 уфв делете дени 22
И спремни пријатељи. На овај начин ће заштитити ваше машине. Не заборавите да коментаришете и до следећег пута: Д.
и систем шифрирања као што су: https://www.dyne.org/software/tomb/
А такође и кориснике у кавезу у вашем дому ако се повежу путем тти:
http://olivier.sessink.nl/jailkit/index.html#intro
https://operativoslinux.wordpress.com/2015/02/21/enjaular-usuarios-en-linux/ (једноставан начин)
Много је боље и сигурније шифровати читав систем датотека.
За следећи водич у вези са сигурношћу у Линуку узећу га у обзир: Д.
Такође би било добро разговарати о учвршћивању језгра помоћу сисцтл-а, активирању случајне хрпе и Екец-Схиелд-а у језгру који га подржавају, омогућавању приступа дмесг-у и / проц датотечном систему, покретању демона ревизије, омогућавању ТЦП заштите СИН , ограничите приступ / дев / мем, онемогућите ТЦП / ИП стек опције које могу бити опасне или небезбедне за систем (преусмеравање, ехо, рутирање извора), користите пам_црацклиб за кориснике да генеришу јаке лозинке, важност употребе МАЦ система као што је Томоио , АппАрмор и СЕЛинук.
Веома корисно!!!! управо оно што сам тражио хвала 🙂
Добродошао си пријатељу :).
Ако користите апацхе, не смета додавање правила са мод_реврите како бисте избегли ботове. Веома корисно
http://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
а за нгинк постоји неки трик или конфигурација?
У дебиану 8 датотека / етц / ссх / ссхд_цонфиг већ има протокол 2 активан, а функција ПермитРоотЛогин има опцију без лозинке (роот можете унети само помоћу кључа за потврду идентитета и са рачунара који има приватни кључ)
стигао је пд у дебиан 8 фиреваллд који га оставља малим до уфв
Јесте ли видели Ферм? Свиђа ми се како су правила дефинисана.
http://ferm.foo-projects.org/download/examples/webserver.ferm
Па, драго ми је што Дебиан 8 користи заштитни зид јер је врло јако добар ...
Пазите се фаил2бан-а који нападач производи пакете помоћу ип-а локалног рачунара и чини ДОС врло једноставним.
Човек, локални ИП рачунара и лоопбацк ИП изузети су са листе Фаил2бан.
Ако не, могли бисмо имати лажне позитивне резултате.
Добре и врло ефикасне препоруке ... Наравно, у окружењу сервера и ако хостујемо веб локацију, то укључује додатне кораке ... Тренутно одржавамо пројекат под називом ЈацкТхеСтриппер који није ништа друго до басх скрипта која припрема и обезбеђује сервер са ГНУ / Линуком пратећи најбоље сигурносне праксе, за веб апликације ... http://www.jsitech.com/jackthestripper ....
Лепа скрипта иако волим да задржим вредност кернел.рандомизе_ва_спаце = 2
Добра ствар је што га пре покретања можете мало прилагодити својим потребама ..... А Здраво ...
Поздрав, наравно да се мој пост бави осигураном базом и свака се мора заштитити више или мање у зависности од услуга које је инсталирала у своје системе као што су ЛАМП или ФТП, СФТП, БИНД и дуга итд.
У следећем посту о безбедности позабавићу се овим питањима.
Хвала на позитивним повратним информацијама :).
@петерцхецо, ваши водичи су одлични, било би добро водич за шифровање за систем ФреееБСД, не знам када ћете радити други део о ФрееБСД-у, о конфигурацији и прилагођавању радне површине, о заштитном зиду, о стварању и конфигурисање бежичне мреже.
Здраво пријатељу,
Помало сам заузет како показују ретка објављивања, али имаћу то на уму за следећи ФрееБСД пост.
Поздрав :).
То се поравнало у коментарима, немам појма о чему причате, нико кД
Одличан чланак!
Ова сигурносна радња подразумева ограничавање опреме на било који начин?
Не ... Уобичајена употреба система уопште није ограничена.
Смешна (трагична) ствар је у томе што, као што смо управо видели код Леново машина, ако се фирмваре биоса петља са малвером, ништа што радите није важно.
Све док користите Виндовс који је унапред инсталирао произвођач ...
грешка: имајте на уму да су га инсталирали у фирмваре биоса, односно започиње системом при сваком поновном покретању, пре оперативног система, пре демона, пре свега, и не дозвољава вам да учините било шта против њега. напада мало може да се уради, због чега је идеја уефи у принципу добра.
Занимљив чланак, пажљивије ћу га прочитати данас поподне. Хвала вам.
Нема проблема :). Драго ми је.
Одличан чланак, забављао сам се читаво поподне читајући га. Ценимо време које вам треба да све пажљиво објасните,
Поздрав из Чилеа
Карлос
Здраво Царлос,
Хвала пуно :).
Леново машине, ако се чини да је биос фирмвер интервенисан са злонамерним софтвером, машине (преносни рачунар-радни рачунар) произвођач увек инсталира са Виндовсом, с обзиром на горе наведено ... да ли пост ... .петерцхецо?
Чак и без чињења свега овога, то функционише, јер је злонамерни софтвер направљен за Виндовс, а не за Линук.
Много ствари и трикова недостаје у иптаблес-има, попут вртоглаве нмап-е, тако да од свих отворених портова лаже да се ради о Виндовс рачунару који користи ттл и величину прозора, сцанлогд, апацхе мод сецурити, грсец, селинук или нешто слично . Замените фтп сфтп, ограничите број веза по ИП-у на сваку услугу у Кс порту како бисте избегли да нас пре ДДоС-а оставе без услуга, као и блокирајте ИП-ове који шаљу више од толико УДП-а током толико секунди.
Уз примере које сте представили, нови корисник би полудео читајући га ... Не можете све ставити у један пост. Направићу неколико уноса :).
У овом тренутку добивам грешку у арцхлинук-у приликом давања услуге покретања, дајем јој статус и ово излази:
судо системцтл статус фаил2бан
● фаил2бан.сервице - услуга Фаил2Бан
Учитана: учитана (/уср/либ/системд/систем/фаил2бан.сервице; омогућено; унапред подешено добављача: онемогућено)
Активан: није успео (Резултат: старт-лимит) од петка 2015-03-20 01:10:01 ЦЛСТ; Пре 1с
Документи: ман: фаил2бан (1)
Процес: 1695 ЕкецСтарт = / уср / бин / фаил2бан-цлиент -к старт (код = изашао, статус = 255)
20. марта 01:10:01 Гундам системд [1]: Није успело покретање услуге Фаил2Бан.
20. марта 01:10:01 Гундам системд [1]: Јединица фаил2бан.сервице ушла је у неуспело стање.
20. мар. 01:10:01 Гундам системд [1]: фаил2бан.сервице није успео.
20. марта 01:10:01 Гундам системд [1]: захтев за покретање пребрзо поновљен за фаил2бан… лед
20. марта 01:10:01 Гундам системд [1]: Није успело покретање услуге Фаил2Бан.
20. марта 01:10:01 Гундам системд [1]: Јединица фаил2бан.сервице ушла је у неуспело стање.
20. мар. 01:10:01 Гундам системд [1]: фаил2бан.сервице није успео.
Савет: Неке линије су елипсисане, користите -л за приказ у целини.
нека помоћ? Д:
Здраво, ако сте омогућили фаил2бан са системцтл енабле фаил2бан.сервице и системцтл старт фаил2бан.сервице, проблем ће бити у конфигурацији затвора коју сте направили. Молимо вас да проверите свој затвор и проверите да ли је све у реду.
поздрави
Петерцхецо
Пре свега добар водич. Много ствари недостаје, али усредсредили сте се на основе.
схини-кире, проверите свој /вар/лог/фаил2бан.лог
Поздрав.
Хвала ти @Маикел Францо :).
добро,
фаил2бан да ли да га инсталирају на кућни рачунар или је то више за сервере ???
Хвала.
Уместо за сервере, али ако сте на ВиФи мрежи којој приступа више људи од вас, добро је ...
Здраво пријатељу, мислим да је то добар сигурносни пост у делу кратког пожара у Гну / Линук дистрибуцијама, пишем овај коментар јер то радим у дистрибуцији Убунту 14.04 знајући да је то већ у 15.04 шта се дешава следећи проблем уносим нано /етц/фаил2бан/јаил.лоцал као роот и немам визуализацију у делу ссхд и чувам У делу који се зове [ДЕФАУЛТ] ми коментаришемо и мењамо #бантиме = 3600 и
У [ссхд] део уводимо енаблед = труе остављајући га овако:
#енаблед = тачно
омогућено = тачно
Не чини се да би ссхд могао бити зато што радим на претходној верзији, хвала