Kaip nustatyti neprižiūrimus atnaujinimus Debian 9 (Stretch)
Naudojate kitą sistemą? Jei perkate Debian serverį, visada turėtumėte turėti naujausius saugos pataisymus ir naujinimus, nesvarbu, ar miegate, ar ne
Kaip nustatyti „Fail2ban“ „Debian 9“.
„Fail2ban“, kaip rodo jo pavadinimas, yra programa, skirta apsaugoti „Linux“ mašinas nuo žiaurios jėgos atakų prieš pasirinktus atvirus prievadus, ypač SSH prievadą. Sistemos funkcionalumo ir valdymo sumetimais šių prievadų negalima uždaryti naudojant ugniasienę. Esant tokioms aplinkybėms, gera idėja naudoti Fail2ban kaip papildomą užkardos apsaugos priemonę, siekiant apriboti žiaurios jėgos atakų srautą šiuose prievaduose.
Šiame straipsnyje parodysiu, kaip įdiegti ir sukonfigūruoti „Fail2ban“, kad apsaugotų SSH prievadą, dažniausiai pasitaikantį atakos tikslą, „Vultr Debian 9“ serverio egzemplioriuje.
Būtinos sąlygos
- Naujas Debian 9 (Stretch) x64 serverio egzempliorius.
- Prisijungęs kaip
root. - Visi nenaudojami prievadai buvo užblokuoti pagal tinkamas IPTables taisykles.
1 veiksmas: atnaujinkite sistemą
apt update && apt upgrade -y
shutdown -r now
Kai sistema paleidžiama, vėl prisijunkite kaip root.
2 veiksmas: pakeiskite SSH prievadą (neprivaloma)
Kadangi numatytasis SSH prievado numeris 22yra per populiarus, kad jį būtų galima ignoruoti, pakeisti jį į mažiau žinomą prievado numerį, tarkime, 38752būtų protingas sprendimas.
sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service
Po pakeitimo turite atitinkamai atnaujinti IPTables taisykles:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT
Išsaugokite atnaujintas IPTables taisykles į failą, kad būtų išlaikytas:
iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables
Tokiu būdu IPTables taisyklės išliks net ir po sistemos perkrovimo. Nuo šiol jums reikės prisijungti iš 38752uosto.
3 veiksmas: įdiekite ir sukonfigūruokite fail2ban, kad apsaugotumėte SSH
Naudokite aptnorėdami įdiegti stabilią Fail2ban versiją, kuri šiuo metu yra 0.9.x:
apt install fail2ban -y
Po įdiegimo Fail2ban paslauga bus paleista automatiškai. Norėdami parodyti jos būseną, galite naudoti šią komandą:
service fail2ban status
Debian'e numatytieji Fail2ban filtro nustatymai bus saugomi ir /etc/fail2ban/jail.conffaile, ir /etc/fail2ban/jail.d/defaults-debian.conffaile. Atminkite, kad pastarojo failo nustatymai pakeis atitinkamus ankstesnio failo nustatymus.
Norėdami pamatyti daugiau informacijos, naudokite šias komandas:
cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd
Jūsų informacijai toliau pateikiamos kodo ištraukos apie SSH:
į /etc/fail2ban/jail.conf:
[DEFAULT]
bantime = 600
...
maxentry = 5
[sshd]
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
į /etc/fail2ban/jail.d/defaults-debian.conf:
[sshd]
enabled = true
Kadangi dviejų anksčiau pateiktų konfigūracijos failų turinys gali pasikeisti atnaujinant sistemą, turėtumėte sukurti vietinį konfigūracijos failą, kuriame būtų saugomos jūsų fail2ban filtro taisyklės. Vėlgi, šio failo nustatymai nepaisys atitinkamų dviejų pirmiau minėtų failų parametrų.
vi /etc/fail2ban/jail.d/jail-debian.local
Įveskite šias eilutes:
[sshd]
port = 38752
maxentry = 3
Pastaba: būtinai naudokite savo SSH prievadą. Išskyrus portir maxentryminėta, visi kiti nustatymai bus naudoti numatytąsias vertes.
Išsaugoti ir išeiti:
:wq
Iš naujo paleiskite Fail2ban paslaugą, kad įkeltumėte naują konfigūraciją:
service fail2ban restart
Mūsų sąranka baigta. Nuo šiol, jei kuris nors kompiuteris siųs neteisingus SSH kredencialus į Debian serverio pasirinktinį SSH prievadą ( 38752) daugiau nei tris kartus, šios galimai kenkėjiškos mašinos IP bus uždraustas 600 sekundžių.
Nustatykite savo DNS serverį Debian / Ubuntu
Šiame vadove paaiškinama, kaip nustatyti DNS serverį naudojant Bind9 sistemoje Debian arba Ubuntu. Visame straipsnyje atitinkamai pakeiskite savo-domeno-vardas.com. Prie th
Sukompiliuokite ir įdiekite „Nginx“ naudodami „PageSpeed“ modulį „Debian 8“.
Šiame straipsnyje pamatysime, kaip sukompiliuoti ir įdiegti pagrindinę Nginx liniją iš oficialių Nginx šaltinių naudojant PageSpeed modulį, kuris leidžia
Kaip įdiegti „Kanboard“ „Debian 9“.
Naudojate kitą sistemą? Įvadas Kanboard yra nemokama atvirojo kodo projektų valdymo programinė įranga, skirta palengvinti ir vizualizuoti
Kaip įdiegti Gitea Debian 9
Naudojate kitą sistemą? Gitea yra alternatyvi atvirojo kodo, savarankiškai priglobta versijų valdymo sistema, kurią maitina Git. Gitea parašyta golangu ir yra
Įdiekite „Lynis“ „Debian 8“.
Įvadas Lynis yra nemokama atvirojo kodo sistemos audito priemonė, kurią naudoja daugelis sistemų administratorių, kad patikrintų vientisumą ir sustiprintų savo sistemas. aš
Kaip įdiegti Thelia 2.3 Debian 9
Naudojate kitą sistemą? Thelia yra atvirojo kodo įrankis, skirtas kurti el. verslo svetaines ir valdyti PHP parašytą internetinį turinį. Thelia šaltinio kodas i
„Minecraft“ serverių tinklo sukūrimas naudojant „BungeeCord“ „Debian 8“, „Debian 9“ arba „CentOS 7“
Ko jums reikia Vultr VPS su mažiausiai 1 GB RAM. SSH prieiga (su root / administratoriaus teisėmis). 1 veiksmas: „BungeeCord“ diegimas Pirmiausia
Kaip įdiegti Golang 1.8.3 CentOS 7, Ubuntu 16.04 ir Debian 9
Golang yra programavimo kalba, kurią sukūrė Google. Dėl savo universalumo, paprastumo ir patikimumo Golangas tapo vienu populiariausių
Iš naujo nustatykite „MySQL“ pagrindinį slaptažodį „Debian“ / „Ubuntu“.
Jei pamiršote savo MySQL root slaptažodį, galite jį nustatyti iš naujo atlikdami šiame straipsnyje nurodytus veiksmus. Procesas yra gana paprastas ir veikia su jais
Tinklo bendrinimų kūrimas naudojant „Samba“ sistemoje „Debian“.
Kartais mums reikia bendrinti failus, kuriuos turi matyti „Windows“ klientai. Kadangi saugikliais pagrįstos sistemos veikia tik „Linux“, prisistatykite
„Counter Strike“ nustatymas: šaltinis „Debian“.
Šiame vadove mes nustatysime Counter Strike: Source žaidimų serverį Debian 7. Šios komandos buvo išbandytos Debian 7, tačiau jos taip pat turėtų veikti.
Kaip įdiegti Cachet Debian 8
Šiame vadove sužinosite, kaip įdiegti Cachet Debian 8. Cachet yra galinga atvirojo kodo būsenos puslapių sistema. Diegimas Ši pamoka vyksta
Automatiškai kurkite atsargines kelių MySQL arba MariaDB duomenų bazes
Įvadas Šiame rašte gerai apžvelkite, kaip sukurti kelių MySQL arba MariaDB duomenų bazių, esančių tame pačiame kompiuteryje, atsargines kopijas naudojant pasirinktinį bash scenarijų.
Chroot nustatymas Debiane
Šis straipsnis išmokys jus, kaip nustatyti chroot kalėjimą Debian'e. Manau, kad naudojate Debian 7.x. Jei naudojate Debian 6 arba 8, tai gali veikti, bu
Kaip įdiegti Reader Self 3.5 RSS Reader Debian 9 LAMP VPS
Naudojate kitą sistemą? „Reader Self 3.5“ yra paprasta ir lanksti, nemokama ir atvirojo kodo, savarankiškai priglobta RSS skaitytuvo ir „Google“ skaitytojo alternatyva. Skaitytojas Sel
Kaip įdiegti Backdrop CMS 1.8.0 Debian 9 LAMP VPS
Naudojate kitą sistemą? Backdrop CMS 1.8.0 yra paprasta ir lanksti, mobiliesiems pritaikyta nemokama ir atvirojo kodo turinio valdymo sistema (TVS), kuri leidžia mums
Atnaujinkite Python sistemoje Debian
Kaip tikriausiai žinote, Debian saugyklos atnaujinamos labai lėtai. Rašymo metu „Python“ leidimo versijos buvo 2.7.12 ir 3.5.2, tačiau „Debian 8“ saugykloje
Kaip nustatyti „Samba“ naudojant blokinę saugyklą „Debian 9“.
„Samba“ yra atvirojo kodo sprendimas, leidžiantis vartotojams greitai ir saugiai nustatyti failus ir spausdinti bendrinamus failus. Šiame straipsnyje aprašysiu, kaip nustatyti „Samba Wit“.
Nustatykite SNI tarpinį serverį „Debian 7 x64“.
SNI tarpinis serveris gali perduoti tiek gaunamus HTTP, tiek TLS ryšius pagal pagrindinio kompiuterio pavadinimą, kuris yra pradinėje tos TCP seanso užklausoje. Ši savybė
Mašinų augimas: AI pritaikymas realiame pasaulyje
Dirbtinis intelektas nėra ateityje, jis čia, dabartyje Šiame tinklaraštyje Skaitykite, kaip dirbtinio intelekto programos paveikė įvairius sektorius.
DDOS atakos: trumpa apžvalga
Ar taip pat esate DDOS atakų auka ir esate sumišęs dėl prevencijos metodų? Perskaitykite šį straipsnį, kad išspręstumėte savo užklausas.
Ar kada nors susimąstėte, kaip įsilaužėliai uždirba pinigų?
Galbūt girdėjote, kad įsilaužėliai uždirba daug pinigų, bet ar kada susimąstėte, kaip jie uždirba tokius pinigus? padiskutuokime.
Revoliuciniai „Google“ išradimai, kurie palengvins jūsų gyvenimą.
Ar norite pamatyti revoliucinius „Google“ išradimus ir kaip šie išradimai pakeitė kiekvieno žmogaus gyvenimą šiandien? Tada skaitykite tinklaraštį, kad pamatytumėte „Google“ išradimus.
Penktadienio esminiai dalykai: kas atsitiko AI varomiems automobiliams?
Savavaledžių automobilių koncepcija, kuri išvažiuotų į kelius su dirbtinio intelekto pagalba, yra svajonė, kurią jau kurį laiką svajojame. Tačiau nepaisant kelių pažadų, jų niekur nematyti. Skaitykite šį tinklaraštį, kad sužinotumėte daugiau…
Technologinis išskirtinumas: tolima žmogaus civilizacijos ateitis?
Kadangi mokslas sparčiai vystosi, perimdamas daug mūsų pastangų, taip pat didėja rizika, kad pateksime į nepaaiškinamą singuliarumą. Skaitykite, ką mums gali reikšti išskirtinumas.
Duomenų saugojimo raida – infografika
Duomenų saugojimo metodai gali būti tobulinami nuo pat Duomenų gimimo. Šiame tinklaraštyje, remiantis infografika, aprašoma duomenų saugojimo raida.
Didžiųjų duomenų atskaitos architektūros sluoksnių funkcijos
Skaitykite tinklaraštį, kad paprasčiausiai sužinotumėte apie skirtingus didžiųjų duomenų architektūros sluoksnius ir jų funkcijas.
6 nuostabūs išmaniųjų namų įrenginių privalumai
Šiame skaitmeniniu būdu pagrįstame pasaulyje išmanieji namų įrenginiai tapo svarbia gyvenimo dalimi. Štai keletas nuostabių išmaniųjų namų įrenginių privalumų, kaip jie daro mūsų gyvenimą vertą gyventi ir paprastesnį.
„macOS Catalina 10.15.4“ priedo atnaujinimas kelia daugiau problemų, nei sprendžia
Neseniai „Apple“ išleido „macOS Catalina 10.15.4“ priedą, skirtą problemoms išspręsti, tačiau atrodo, kad dėl atnaujinimo kyla daugiau problemų, dėl kurių „Mac“ įrenginiai blokuojami. Norėdami sužinoti daugiau, perskaitykite šį straipsnį
