Linux palvelimen perusturvallisuus

1.0Lassi's homepagehttps://lassinsivut.eu/enLinux palvelimen perusturvallisuus - Lassin kotisivutrich600338<blockquote class="wp-embedded-content" data-secret="f3QYY3Nrbh"><a href="https://lassinsivut.eu/en/palvelimen-perusturvallisuus/">Linux palvelimen perusturvallisuus</a></blockquote><iframe sandbox="allow-scripts" security="restricted" src="https://lassinsivut.eu/en/palvelimen-perusturvallisuus/embed/#?secret=f3QYY3Nrbh" width="600" height="338" title="“Linux palvelimen perusturvallisuus” — Lassin kotisivut" data-secret="f3QYY3Nrbh" frameborder="0" marginwidth="0" marginheight="0" scrolling="no" class="wp-embedded-content"></iframe><script> /*! This file is auto-generated */ !function(d,l){"use strict";l.querySelector&&d.addEventListener&&"undefined"!=typeof URL&&(d.wp=d.wp||{},d.wp.receiveEmbedMessage||(d.wp.receiveEmbedMessage=function(e){var t=e.data;if((t||t.secret||t.message||t.value)&&!/[^a-zA-Z0-9]/.test(t.secret)){for(var s,r,n,a=l.querySelectorAll('iframe[data-secret="'+t.secret+'"]'),o=l.querySelectorAll('blockquote[data-secret="'+t.secret+'"]'),c=new RegExp("^https?:$","i"),i=0;i<o.length;i++)o[i].style.display="none";for(i=0;i<a.length;i++)s=a[i],e.source===s.contentWindow&&(s.removeAttribute("style"),"height"===t.message?(1e3<(r=parseInt(t.value,10))?r=1e3:~~r<200&&(r=200),s.height=r):"link"===t.message&&(r=new URL(s.getAttribute("src")),n=new URL(t.value),c.test(n.protocol))&&n.host===r.host&&l.activeElement===s&&(d.top.location.href=t.value))}},d.addEventListener("message",d.wp.receiveEmbedMessage,!1),l.addEventListener("DOMContentLoaded",function(){for(var e,t,s=l.querySelectorAll("iframe.wp-embedded-content"),r=0;r<s.length;r++)(t=(e=s[r]).getAttribute("data-secret"))||(t=Math.random().toString(36).substring(2,12),e.src+="#?secret="+t,e.setAttribute("data-secret",t)),e.contentWindow.postMessage({message:"ready",secret:t},"*")},!1)))}(window,document); //# sourceURL=https://lassinsivut.eu/wp-includes/js/wp-embed.min.js </script>https://lassinsivut.eu/wp-content/uploads/2023/03/Linuxsecurity.jpg1280720Linux palvelimen perusturvallisuuden takaaminen LOGIEN TARKISTUS #tarkistetaan kirjautumisyritykset palvelimelle reaaliaikaisesti tail -f /var/log/auth.log #LOGIEN VÄRITYS apt install grc grc tail -f /var/log/auth.log (multitail myös useammalle logille kerralla) FAIL2BAN apt-get update apt-get install fail2ban systemctl status fail2ban nano /etc/fail2ban/jail.conf #ignoraa lokaalin koneen ignoreip = 127.0.0.1/8 #määritellään bannin kesto bantime = 600 #määritellään monta yritystä kirjautumisessa on maxretry = 3 #tämä lähettää postia root käyttäjälle että joku on bannattu destemail = root@localhost sendername = Fail2Ban banned user! mta = sendmail action = %(action_mwl)s #tällä saadaan postiin logitedot kätevästi action_mw #tällä kuitenkin saa eniten action_mwl #tällä komennolla pysäytetään fail2ban systemctl fail2ban stop #tällä aloitetaan systemctl fail2ban start #tällä tarkistetaan nykyinen tilanne systemctl status fail2ban # tarkistetaan jaili sekä estetyt ipt sekä niiden määrä fail2ban-client status sshd UFW PALOMUURI apt install ufw systemctl enable ufw systemctl start ufw systemctl status ufw #avataan palomuuriin portti ufw allow ”portti” #avataan portti 80 ufw allow 80 OPENSSH #Asennetaan ssh apt install openssh-server #Otetaan ssh käyttöön samalla myös koneen startuppiin systemctl enable ssh #Tarkistetaan nykyinen tilanne ssh systemctl status sshd #Pysäytetään ssh systemctl stop sshd nano /etc/ssh/sshd_config #vaihdetaan oletus portti toiseen #Port22 port222 #Kielletään roottina kirjautuminen #PermitRootLogin PermitRootLogin no #Annetaan lassi käyttäjälle lupa kirjautua AllowUsers lassi #käynnistetään ssh uudestaan systemctl restart sshd netstat -tulpn netstat -tulpn | grep 22 ufw allow ssh ufw allow 22 SSH PARANTELU #Asenntaan moduulit ja sovellukset jotka yhdistävät hyökkääjän ip-osoitteen maahan apt-get install geoip-bin geoip-database #Luodaan scripti joka hallitsee pääsyn nano /usr/local/bin/ipfilter.sh #!/bin/bash ALLOW_COUNTRIES=”IN US” LOGDENY_FACILITY=”authpriv.notice” if [ $# -ne 1 ]; then echo ”Usage: `basename $0` ” 1>&2 exit 0 # return true in case of config issue fi if [[ ”`echo $1 | grep ’:’`” != ”” ]] ; then COUNTRY=`/usr/bin/geoiplookup6 ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1` else COUNTRY=`/usr/bin/geoiplookup ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1` fi [[ $COUNTRY = ”IP Address not found” || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE=”ALLOW” || RESPONSE=”DENY” if [[ ”$RESPONSE” == ”ALLOW” ]] ; then logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)” exit 0 else logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)” exit 1 fi #Tämä muutos pitää tehdä jos halutaan että scripti juoksee! chmod +x /usr/local/bin/ipfilter.sh #Lisätään ssh listalle omat muutokset jotta järjestelmää ohjaa tuo uusi scripti ja muut asennetut ohjelmat. nano /etc/hosts.deny sshd: ALL vsftpd: ALL #Määritellään vielä mistä scripti löytyy. nano /etc/hosts.allow sshd: ALL: spawn /usr/local/bin/ipfilter.sh %a vsftp: ALL: spawn /usr/local/bin/ipfilter.sh %a