Jak nastavit bezobslužné upgrady na Debian 9 (Stretch)
Používáte jiný systém? Pokud si zakoupíte server Debian, měli byste mít vždy nejnovější bezpečnostní záplaty a aktualizace, ať už spíte nebo ne
Jak nastavit Fail2ban na Debianu 9
Fail2ban, jak jeho název napovídá, je nástroj navržený tak, aby pomohl chránit linuxové stroje před útoky hrubou silou na vybrané otevřené porty, zejména port SSH. Z důvodu funkčnosti a správy systému nelze tyto porty zavřít pomocí firewallu. Za těchto okolností je dobré použít Fail2ban jako doplňkové bezpečnostní opatření k firewallu, aby se omezil provoz útoků hrubou silou na tyto porty.
V tomto článku vám ukážu, jak nainstalovat a nakonfigurovat Fail2ban k ochraně portu SSH, nejběžnějšího cíle útoku, na instanci serveru Vultr Debian 9.
Předpoklady
- Nová instance serveru Debian 9 (Stretch) x64.
- Přihlášen jako
root. - Všechny nepoužívané porty byly zablokovány správnými pravidly IPTables.
Krok 1: Aktualizujte systém
apt update && apt upgrade -y
shutdown -r now
Po spuštění systému se znovu přihlaste jako root.
Krok 2: Upravte port SSH (volitelné)
Vzhledem k tomu, že výchozí číslo portu SSH 22je příliš populární na to, aby se dalo ignorovat, změnit jej na méně známé číslo portu 38752by bylo chytré rozhodnutí.
sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service
Po úpravě musíte odpovídajícím způsobem aktualizovat pravidla IPTables:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT
Uložte aktualizovaná pravidla IPTables do souboru pro účely zachování:
iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables
Tímto způsobem budou pravidla IPTables trvalá i po restartu systému. Od této chvíle se budete muset přihlásit z 38752portu.
Krok 3: Nainstalujte a nakonfigurujte fail2ban pro ochranu SSH
Použijte aptk instalaci stabilní verze Fail2ban, která je aktuálně 0.9.x:
apt install fail2ban -y
Po instalaci se služba Fail2ban automaticky spustí. K zobrazení jeho stavu můžete použít následující příkaz:
service fail2ban status
V Debianu bude výchozí nastavení filtru Fail2ban uloženo jak v /etc/fail2ban/jail.confsouboru, tak v /etc/fail2ban/jail.d/defaults-debian.confsouboru. Pamatujte, že nastavení v druhém souboru přepíše odpovídající nastavení v prvním souboru.
Chcete-li zobrazit další podrobnosti, použijte následující příkazy:
cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd
Pro vaši informaci jsou níže uvedeny úryvky kódu o SSH:
v /etc/fail2ban/jail.conf:
[DEFAULT]
bantime = 600
...
maxentry = 5
[sshd]
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
v /etc/fail2ban/jail.d/defaults-debian.conf:
[sshd]
enabled = true
Protože se obsah ve dvou výše uvedených konfiguračních souborech může v budoucích aktualizacích systému změnit, měli byste vytvořit místní konfigurační soubor pro uložení vlastních pravidel filtru fail2ban. Opět platí, že nastavení v tomto souboru přepíše odpovídající nastavení ve dvou výše uvedených souborech.
vi /etc/fail2ban/jail.d/jail-debian.local
Zadejte následující řádky:
[sshd]
port = 38752
maxentry = 3
Poznámka: Ujistěte se, že používáte svůj vlastní port SSH. S výjimkou porta maxentryje uvedeno výše, budou všechna ostatní nastavení použít výchozí hodnoty.
Uložit a ukončit:
:wq
Restartujte službu Fail2ban, abyste mohli načíst novou konfiguraci:
service fail2ban restart
Naše nastavení je dokončeno. Od této chvíle, pokud jakýkoli počítač odešle nesprávné přihlašovací údaje SSH na vlastní port SSH serveru Debian ( 38752) více než třikrát, IP tohoto potenciálně škodlivého počítače bude na 600 sekund zablokována.
Nastavte si svůj vlastní DNS server na Debian/Ubuntu
Tento tutoriál vysvětluje, jak nastavit DNS server pomocí Bind9 na Debianu nebo Ubuntu. V celém článku nahraďte odpovídajícím způsobem název-vaše-domény.com. Při čt
Zkompilujte a nainstalujte Nginx pomocí modulu PageSpeed na Debian 8
V tomto článku uvidíme, jak zkompilovat a nainstalovat hlavní řadu Nginx z oficiálních zdrojů Nginx pomocí modulu PageSpeed, který vám umožňuje
Jak nainstalovat Kanboard na Debian 9
Používáte jiný systém? Úvod Kanboard je bezplatný a otevřený softwarový program pro správu projektů, který je navržen tak, aby usnadnil a vizualizoval
Jak nainstalovat Gitea na Debian 9
Používáte jiný systém? Gitea je alternativní open source systém pro správu verzí s vlastním hostitelem poháněný systémem Git. Gitea je napsána v Golangu a je
Nainstalujte Lynis na Debian 8
Úvod Lynis je bezplatný nástroj pro audit systému s otevřeným zdrojovým kódem, který používá mnoho systémových administrátorů k ověření integrity a posílení svých systémů. já
Jak nainstalovat Thelia 2.3 na Debian 9
Používáte jiný systém? Thelia je open source nástroj pro vytváření webových stránek pro e-business a správu online obsahu napsaného v PHP. Zdrojový kód Thelia i
Vytvoření sítě serverů Minecraft pomocí BungeeCord na Debian 8, Debian 9 nebo CentOS 7
Co budete potřebovat Vultr VPS s alespoň 1 GB RAM. Přístup SSH (s oprávněními root/administrátor). Krok 1: Instalace BungeeCord První věci
Jak nainstalovat Golang 1.8.3 na CentOS 7, Ubuntu 16.04 a Debian 9
Golang je programovací jazyk vyvinutý společností Google. Díky své všestrannosti, jednoduchosti a spolehlivosti se Golang stal jedním z nejoblíbenějších
Resetujte kořenové heslo MySQL na Debian/Ubuntu
Pokud jste zapomněli své kořenové heslo MySQL, můžete ho resetovat podle kroků v tomto článku. Proces je poměrně jednoduchý a funguje na nich
Vytváření síťových sdílení pomocí Samby v Debianu
Jsou chvíle, kdy potřebujeme sdílet soubory, které musí být viditelné pro klienty Windows. Vzhledem k tomu, že systémy založené na pojistkách fungují pouze na Linuxu, představujeme vás
Nastavení Counter Strike: Source na Debianu
V této příručce nastavíme herní server Counter Strike: Source na Debianu 7. Tyto příkazy byly testovány na Debianu 7, ale měly by také fungovat
Jak nainstalovat Unturned 2.2.5 na Debian 8
V této příručce se dozvíte, jak nastavit server Unturned 2.2.5 na Vultr VPS se systémem Debian 8. Poznámka: Toto je upravená verze Unturned, která
Jak nainstalovat Cachet na Debian 8
V tomto tutoriálu se naučíte, jak nainstalovat Cachet na Debian 8. Cachet je výkonný open source systém stavových stránek. Instalace Tento tutoriál právě probíhá
Automaticky zálohujte více databází MySQL nebo MariaDB
Úvod V tomto zápisu si dobře projděte, jak zálohovat více databází MySQL nebo MariaDB, které sedí na stejném počítači pomocí vlastního bash skriptu.
Nastavení Chrootu v Debianu
Tento článek vás naučí, jak nastavit chroot jail v Debianu. Předpokládám, že používáte Debian 7.x. Pokud používáte Debian 6 nebo 8, může to fungovat, bu
Jak nainstalovat Reader Self 3.5 RSS Reader na Debian 9 LAMP VPS
Používáte jiný systém? Reader Self 3.5 je jednoduchá a flexibilní, bezplatná a open source, samostatně hostovaná RSS čtečka a alternativa Google Reader. Čtenář Sel
Jak nainstalovat Backdrop CMS 1.8.0 na Debian 9 LAMP VPS
Používáte jiný systém? Backdrop CMS 1.8.0 je jednoduchý a flexibilní, mobilní, bezplatný a open source systém správy obsahu (CMS), který nám umožňuje
Jak nainstalovat SteamCMD na váš VPS
V tomto tutoriálu nainstalujeme SteamCMD. SteamCMD lze použít ke stažení a instalaci mnoha herních serverů Steam, jako je Counter-Strike: Global Offensiv
Upgradujte Python na Debian
Jak možná víte, repozitáře Debianu se aktualizují velmi pomalu. V době psaní tohoto článku jsou verze vydání Pythonu na 2.7.12 a 3.5.2, ale v úložišti Debian 8
The Rise of Machines: Real World Applications of AI
Umělá inteligence není v budoucnosti, je zde přímo v současnosti V tomto blogu si přečtěte, jak aplikace umělé inteligence ovlivnily různé sektory.
Útoky DDOS: Stručný přehled
Jste také obětí DDOS útoků a nemáte jasno v metodách prevence? Chcete-li vyřešit své dotazy, přečtěte si tento článek.
Přemýšleli jste někdy, jak hackeři vydělávají peníze?
Možná jste slyšeli, že hackeři vydělávají spoustu peněz, ale napadlo vás někdy, jak takové peníze vydělávají? Pojďme diskutovat.
Revoluční vynálezy od Googlu, které vám usnadní život.
Chcete vidět revoluční vynálezy Google a jak tyto vynálezy změnily život každého dnešního člověka? Pak si přečtěte na blogu a podívejte se na vynálezy od Googlu.
Friday Essential: Co se stalo s auty řízenými umělou inteligencí?
Koncept aut s vlastním pohonem, která vyrazí na silnice s pomocí umělé inteligence, je snem, který už nějakou dobu máme. Ale přes několik slibů nejsou nikde vidět. Přečtěte si tento blog a dozvíte se více…
Technologická singularita: vzdálená budoucnost lidské civilizace?
Jak se věda vyvíjí rychlým tempem a přebírá mnoho našeho úsilí, stoupá také riziko, že se vystavíme nevysvětlitelné singularitě. Přečtěte si, co pro nás může znamenat singularita.
Evoluce ukládání dat – Infografika
Způsoby ukládání dat se mohou vyvíjet od narození dat. Tento blog se zabývá vývojem ukládání dat na základě infografiky.
Funkcionality vrstev referenční architektury velkých dat
Přečtěte si blog, abyste co nejjednodušším způsobem poznali různé vrstvy v architektuře velkých dat a jejich funkce.
6 úžasných výhod toho, že máme v životě zařízení pro chytrou domácnost
V tomto digitálním světě se chytrá domácí zařízení stala klíčovou součástí života. Zde je několik úžasných výhod chytrých domácích zařízení o tom, jak náš život stojí za to žít a zjednodušit jej.
Aktualizace doplňku macOS Catalina 10.15.4 způsobuje více problémů než řešení
Apple nedávno vydal doplňkovou aktualizaci macOS Catalina 10.15.4, která opravuje problémy, ale zdá se, že aktualizace způsobuje další problémy, které vedou k zablokování počítačů mac. Přečtěte si tento článek a dozvíte se více
