{"id":2916,"date":"2023-03-22T15:55:17","date_gmt":"2023-03-22T13:55:17","guid":{"rendered":"https:\/\/www.lassinsivut.eu\/?p=2916"},"modified":"2023-08-13T22:13:05","modified_gmt":"2023-08-13T19:13:05","slug":"palvelimen-perusturvallisuus","status":"publish","type":"post","link":"https:\/\/lassinsivut.eu\/en\/palvelimen-perusturvallisuus\/","title":{"rendered":"Linux palvelimen perusturvallisuus"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Linux palvelimen perusturvallisuuden takaaminen<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

LOGIEN TARKISTUS<\/strong><\/p>

#tarkistetaan kirjautumisyritykset palvelimelle reaaliaikaisesti<\/strong>
tail -f \/var\/log\/auth.log<\/p>

#LOGIEN V\u00c4RITYS<\/strong><\/p>

apt install grc<\/p>

grc tail -f \/var\/log\/auth.log<\/p>

(multitail my\u00f6s useammalle logille kerralla)<\/strong><\/p>

FAIL2BAN<\/strong><\/p>

apt-get update
apt-get install fail2ban
systemctl status fail2ban
nano \/etc\/fail2ban\/jail.conf<\/p>

#ignoraa lokaalin koneen<\/strong>
ignoreip = 127.0.0.1\/8<\/p>

#m\u00e4\u00e4ritell\u00e4\u00e4n bannin kesto<\/strong>
bantime = 600<\/p>

#m\u00e4\u00e4ritell\u00e4\u00e4n monta yrityst\u00e4 kirjautumisessa on<\/strong>
maxretry = 3<\/p>

#t\u00e4m\u00e4 l\u00e4hett\u00e4\u00e4 postia root k\u00e4ytt\u00e4j\u00e4lle ett\u00e4 joku on bannattu<\/strong>
destemail = root@localhost
sendername = Fail2Ban banned user!
mta = sendmail
action = %(action_mwl)s<\/p>

#t\u00e4ll\u00e4 saadaan postiin logitedot k\u00e4tev\u00e4sti<\/strong>
action_mw
#t\u00e4ll\u00e4 kuitenkin saa eniten<\/strong>
action_mwl<\/p>

#t\u00e4ll\u00e4 komennolla pys\u00e4ytet\u00e4\u00e4n fail2ban<\/strong>
systemctl fail2ban stop<\/p>

#t\u00e4ll\u00e4 aloitetaan<\/strong>
systemctl fail2ban start<\/p>

#t\u00e4ll\u00e4 tarkistetaan nykyinen tilanne<\/strong>
systemctl status fail2ban<\/p>

# tarkistetaan jaili sek\u00e4 estetyt ipt sek\u00e4 niiden m\u00e4\u00e4r\u00e4<\/strong>
fail2ban-client status sshd<\/p>

UFW PALOMUURI<\/strong><\/p>

apt install ufw
systemctl enable ufw
systemctl start ufw
systemctl status ufw<\/p>

#avataan palomuuriin portti<\/strong>
ufw allow ”portti”<\/strong><\/p>

#avataan portti 80<\/strong>
ufw allow 80<\/p>

OPENSSH<\/strong><\/p>

#Asennetaan ssh<\/strong>
apt install openssh-server<\/p>

#Otetaan ssh k\u00e4ytt\u00f6\u00f6n samalla my\u00f6s koneen startuppiin<\/strong>
systemctl enable ssh<\/p>

#Tarkistetaan nykyinen tilanne ssh<\/strong>
systemctl status sshd<\/p>

#Pys\u00e4ytet\u00e4\u00e4n ssh<\/strong>
systemctl stop sshd<\/p>

nano \/etc\/ssh\/sshd_config<\/p>

#vaihdetaan oletus portti toiseen<\/strong>
#Port22<\/p>

port222<\/p>

#Kiellet\u00e4\u00e4n roottina kirjautuminen<\/strong>
#PermitRootLogin
PermitRootLogin no<\/p>

#Annetaan lassi k\u00e4ytt\u00e4j\u00e4lle lupa kirjautua<\/strong>
AllowUsers lassi<\/p>

#k\u00e4ynnistet\u00e4\u00e4n ssh uudestaan<\/strong>
systemctl restart sshd<\/p>

netstat -tulpn<\/p>

netstat -tulpn | grep 22<\/p>

ufw allow ssh<\/p>

ufw allow 22<\/p>

SSH PARANTELU<\/p>

#Asenntaan moduulit ja sovellukset jotka yhdist\u00e4v\u00e4t hy\u00f6kk\u00e4\u00e4j\u00e4n ip-osoitteen maahan<\/strong>
apt-get install geoip-bin geoip-database<\/p>

#Luodaan scripti joka hallitsee p\u00e4\u00e4syn<\/strong>
nano \/usr\/local\/bin\/ipfilter.sh<\/p>

#!\/bin\/bash
ALLOW_COUNTRIES=”IN US”
LOGDENY_FACILITY=”authpriv.notice”<\/p>

if [ $# -ne 1 ]; then
echo ”Usage: `basename $0` ” 1>&2
exit 0 # return true in case of config issue
fi<\/p>

if [[ ”`echo $1 | grep ’:’`” != ”” ]] ; then
COUNTRY=`\/usr\/bin\/geoiplookup6 ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1`
else
COUNTRY=`\/usr\/bin\/geoiplookup ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1`
fi
[[ $COUNTRY = ”IP Address not found” || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE=”ALLOW” || RESPONSE=”DENY”<\/p>

if [[ ”$RESPONSE” == ”ALLOW” ]] ; then
logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)”
exit 0
else
logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)”
exit 1
fi<\/p>

#T\u00e4m\u00e4 muutos pit\u00e4\u00e4 tehd\u00e4 jos halutaan ett\u00e4 scripti juoksee!<\/strong>
chmod +x \/usr\/local\/bin\/ipfilter.sh<\/p>

#Lis\u00e4t\u00e4\u00e4n ssh listalle omat muutokset jotta j\u00e4rjestelm\u00e4\u00e4 ohjaa tuo uusi scripti ja muut asennetut ohjelmat.<\/strong>
nano \/etc\/hosts.deny<\/p>

sshd: ALL
vsftpd: ALL<\/p>

#M\u00e4\u00e4ritell\u00e4\u00e4n viel\u00e4 mist\u00e4 scripti l\u00f6ytyy.<\/strong>
nano \/etc\/hosts.allow<\/p>

sshd: ALL: spawn \/usr\/local\/bin\/ipfilter.sh %a
vsftp: ALL: spawn \/usr\/local\/bin\/ipfilter.sh %a<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Linux palvelimen perusturvallisuuden takaaminen LOGIEN TARKISTUS #tarkistetaan kirjautumisyritykset palvelimelle reaaliaikaisesti tail -f \/var\/log\/auth.log #LOGIEN V\u00c4RITYS apt install grc grc tail -f \/var\/log\/auth.log (multitail my\u00f6s useammalle logille kerralla) FAIL2BAN apt-get update apt-get install fail2ban systemctl status fail2ban nano \/etc\/fail2ban\/jail.conf #ignoraa lokaalin koneen ignoreip = 127.0.0.1\/8 #m\u00e4\u00e4ritell\u00e4\u00e4n bannin kesto bantime = 600 #m\u00e4\u00e4ritell\u00e4\u00e4n monta yrityst\u00e4 kirjautumisessa on maxretry = 3 #t\u00e4m\u00e4 l\u00e4hett\u00e4\u00e4 postia root k\u00e4ytt\u00e4j\u00e4lle ett\u00e4 joku on bannattu destemail = root@localhost sendername = Fail2Ban banned user! mta = sendmail action = %(action_mwl)s #t\u00e4ll\u00e4 saadaan postiin logitedot k\u00e4tev\u00e4sti action_mw #t\u00e4ll\u00e4 kuitenkin saa eniten action_mwl #t\u00e4ll\u00e4 komennolla pys\u00e4ytet\u00e4\u00e4n fail2ban systemctl fail2ban stop #t\u00e4ll\u00e4 aloitetaan systemctl fail2ban start #t\u00e4ll\u00e4 tarkistetaan nykyinen tilanne systemctl status fail2ban # tarkistetaan jaili sek\u00e4 estetyt ipt sek\u00e4 niiden m\u00e4\u00e4r\u00e4 fail2ban-client status sshd UFW PALOMUURI apt install ufw systemctl enable ufw systemctl start ufw systemctl status ufw #avataan palomuuriin portti ufw allow ”portti” #avataan portti 80 ufw allow 80 OPENSSH #Asennetaan ssh apt install openssh-server #Otetaan ssh k\u00e4ytt\u00f6\u00f6n samalla my\u00f6s koneen startuppiin systemctl enable ssh #Tarkistetaan nykyinen tilanne ssh systemctl status sshd #Pys\u00e4ytet\u00e4\u00e4n ssh systemctl stop sshd nano \/etc\/ssh\/sshd_config #vaihdetaan oletus portti toiseen #Port22 port222 #Kiellet\u00e4\u00e4n roottina kirjautuminen #PermitRootLogin PermitRootLogin no #Annetaan lassi k\u00e4ytt\u00e4j\u00e4lle lupa kirjautua AllowUsers lassi #k\u00e4ynnistet\u00e4\u00e4n ssh uudestaan systemctl restart sshd netstat -tulpn netstat -tulpn | grep 22 ufw allow ssh ufw allow 22 SSH PARANTELU #Asenntaan moduulit ja sovellukset jotka yhdist\u00e4v\u00e4t hy\u00f6kk\u00e4\u00e4j\u00e4n ip-osoitteen maahan apt-get install geoip-bin geoip-database #Luodaan scripti joka hallitsee p\u00e4\u00e4syn nano \/usr\/local\/bin\/ipfilter.sh #!\/bin\/bash ALLOW_COUNTRIES=”IN US” LOGDENY_FACILITY=”authpriv.notice” if [ $# -ne 1 ]; then echo ”Usage: `basename $0` ” 1>&2 exit 0 # return true in case of config issue fi if [[ ”`echo $1 | grep ’:’`” != ”” ]] ; then COUNTRY=`\/usr\/bin\/geoiplookup6 ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1` else COUNTRY=`\/usr\/bin\/geoiplookup ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1` fi [[ $COUNTRY = ”IP Address not found” || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE=”ALLOW” || RESPONSE=”DENY” if [[ ”$RESPONSE” == ”ALLOW” ]] ; then logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)” exit 0 else logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)” exit 1 fi #T\u00e4m\u00e4 muutos pit\u00e4\u00e4 tehd\u00e4 jos halutaan ett\u00e4 scripti juoksee! chmod +x \/usr\/local\/bin\/ipfilter.sh #Lis\u00e4t\u00e4\u00e4n ssh listalle omat muutokset jotta j\u00e4rjestelm\u00e4\u00e4 ohjaa tuo uusi scripti ja muut asennetut ohjelmat. nano \/etc\/hosts.deny sshd: ALL vsftpd: ALL #M\u00e4\u00e4ritell\u00e4\u00e4n viel\u00e4 mist\u00e4 scripti l\u00f6ytyy. nano \/etc\/hosts.allow sshd: ALL: spawn \/usr\/local\/bin\/ipfilter.sh %a vsftp: ALL: spawn \/usr\/local\/bin\/ipfilter.sh %a<\/p>\n","protected":false},"author":1,"featured_media":3020,"comment_status":"closed","ping_status":"open","sticky":false,"template":"elementor_header_footer","format":"standard","meta":{"footnotes":""},"categories":[9,10,16],"tags":[],"class_list":["post-2916","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-linux","category-palvelin","category-tietoturva"],"yoast_head":"\nLinux palvelimen perusturvallisuus - Lassin kotisivut<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/lassinsivut.eu\/en\/palvelimen-perusturvallisuus\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Linux palvelimen perusturvallisuus - Lassin kotisivut\" \/>\n<meta property=\"og:description\" content=\"Linux palvelimen perusturvallisuuden takaaminen LOGIEN TARKISTUS #tarkistetaan kirjautumisyritykset palvelimelle reaaliaikaisesti tail -f \/var\/log\/auth.log #LOGIEN V\u00c4RITYS apt install grc grc tail -f \/var\/log\/auth.log (multitail my\u00f6s useammalle logille kerralla) FAIL2BAN apt-get update apt-get install fail2ban systemctl status fail2ban nano \/etc\/fail2ban\/jail.conf #ignoraa lokaalin koneen ignoreip = 127.0.0.1\/8 #m\u00e4\u00e4ritell\u00e4\u00e4n bannin kesto bantime = 600 #m\u00e4\u00e4ritell\u00e4\u00e4n monta yrityst\u00e4 kirjautumisessa on maxretry = 3 #t\u00e4m\u00e4 l\u00e4hett\u00e4\u00e4 postia root k\u00e4ytt\u00e4j\u00e4lle ett\u00e4 joku on bannattu destemail = root@localhost sendername = Fail2Ban banned user! mta = sendmail action = %(action_mwl)s #t\u00e4ll\u00e4 saadaan postiin logitedot k\u00e4tev\u00e4sti action_mw #t\u00e4ll\u00e4 kuitenkin saa eniten action_mwl #t\u00e4ll\u00e4 komennolla pys\u00e4ytet\u00e4\u00e4n fail2ban systemctl fail2ban stop #t\u00e4ll\u00e4 aloitetaan systemctl fail2ban start #t\u00e4ll\u00e4 tarkistetaan nykyinen tilanne systemctl status fail2ban # tarkistetaan jaili sek\u00e4 estetyt ipt sek\u00e4 niiden m\u00e4\u00e4r\u00e4 fail2ban-client status sshd UFW PALOMUURI apt install ufw systemctl enable ufw systemctl start ufw systemctl status ufw #avataan palomuuriin portti ufw allow ”portti” #avataan portti 80 ufw allow 80 OPENSSH #Asennetaan ssh apt install openssh-server #Otetaan ssh k\u00e4ytt\u00f6\u00f6n samalla my\u00f6s koneen startuppiin systemctl enable ssh #Tarkistetaan nykyinen tilanne ssh systemctl status sshd #Pys\u00e4ytet\u00e4\u00e4n ssh systemctl stop sshd nano \/etc\/ssh\/sshd_config #vaihdetaan oletus portti toiseen #Port22 port222 #Kiellet\u00e4\u00e4n roottina kirjautuminen #PermitRootLogin PermitRootLogin no #Annetaan lassi k\u00e4ytt\u00e4j\u00e4lle lupa kirjautua AllowUsers lassi #k\u00e4ynnistet\u00e4\u00e4n ssh uudestaan systemctl restart sshd netstat -tulpn netstat -tulpn | grep 22 ufw allow ssh ufw allow 22 SSH PARANTELU #Asenntaan moduulit ja sovellukset jotka yhdist\u00e4v\u00e4t hy\u00f6kk\u00e4\u00e4j\u00e4n ip-osoitteen maahan apt-get install geoip-bin geoip-database #Luodaan scripti joka hallitsee p\u00e4\u00e4syn nano \/usr\/local\/bin\/ipfilter.sh #!\/bin\/bash ALLOW_COUNTRIES=”IN US” LOGDENY_FACILITY=”authpriv.notice” if [ $# -ne 1 ]; then echo ”Usage: `basename $0` ” 1>&2 exit 0 # return true in case of config issue fi if [[ ”`echo $1 | grep ’:’`” != ”” ]] ; then COUNTRY=`\/usr\/bin\/geoiplookup6 ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1` else COUNTRY=`\/usr\/bin\/geoiplookup ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1` fi [[ $COUNTRY = ”IP Address not found” || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE=”ALLOW” || RESPONSE=”DENY” if [[ ”$RESPONSE” == ”ALLOW” ]] ; then logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)” exit 0 else logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)” exit 1 fi #T\u00e4m\u00e4 muutos pit\u00e4\u00e4 tehd\u00e4 jos halutaan ett\u00e4 scripti juoksee! chmod +x \/usr\/local\/bin\/ipfilter.sh #Lis\u00e4t\u00e4\u00e4n ssh listalle omat muutokset jotta j\u00e4rjestelm\u00e4\u00e4 ohjaa tuo uusi scripti ja muut asennetut ohjelmat. nano \/etc\/hosts.deny sshd: ALL vsftpd: ALL #M\u00e4\u00e4ritell\u00e4\u00e4n viel\u00e4 mist\u00e4 scripti l\u00f6ytyy. nano \/etc\/hosts.allow sshd: ALL: spawn \/usr\/local\/bin\/ipfilter.sh %a vsftp: ALL: spawn \/usr\/local\/bin\/ipfilter.sh %a\" \/>\n<meta property=\"og:url\" content=\"https:\/\/lassinsivut.eu\/en\/palvelimen-perusturvallisuus\/\" \/>\n<meta property=\"og:site_name\" content=\"Lassin kotisivut\" \/>\n<meta property=\"article:published_time\" content=\"2023-03-22T13:55:17+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2023-08-13T19:13:05+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/lassinsivut.eu\/wp-content\/uploads\/2023\/03\/Linuxsecurity.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1280\" \/>\n\t<meta property=\"og:image:height\" content=\"720\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"lassi\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"lassi\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"3 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/\"},\"author\":{\"name\":\"lassi\",\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/#\\\/schema\\\/person\\\/9246ef62dc4013651f8657d79fe2ef58\"},\"headline\":\"Linux palvelimen perusturvallisuus\",\"datePublished\":\"2023-03-22T13:55:17+00:00\",\"dateModified\":\"2023-08-13T19:13:05+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/\"},\"wordCount\":465,\"publisher\":{\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/#\\\/schema\\\/person\\\/9246ef62dc4013651f8657d79fe2ef58\"},\"image\":{\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/lassinsivut.eu\\\/wp-content\\\/uploads\\\/2023\\\/03\\\/Linuxsecurity.jpg\",\"articleSection\":[\"Linux\",\"Palvelin\",\"Tietoturva\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/\",\"url\":\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/\",\"name\":\"Linux palvelimen perusturvallisuus - Lassin kotisivut\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/lassinsivut.eu\\\/wp-content\\\/uploads\\\/2023\\\/03\\\/Linuxsecurity.jpg\",\"datePublished\":\"2023-03-22T13:55:17+00:00\",\"dateModified\":\"2023-08-13T19:13:05+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/#primaryimage\",\"url\":\"https:\\\/\\\/lassinsivut.eu\\\/wp-content\\\/uploads\\\/2023\\\/03\\\/Linuxsecurity.jpg\",\"contentUrl\":\"https:\\\/\\\/lassinsivut.eu\\\/wp-content\\\/uploads\\\/2023\\\/03\\\/Linuxsecurity.jpg\",\"width\":1280,\"height\":720},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/palvelimen-perusturvallisuus\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/lassinsivut.eu\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Linux palvelimen perusturvallisuus\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/#website\",\"url\":\"https:\\\/\\\/lassinsivut.eu\\\/\",\"name\":\"Lassin kotisivut\",\"description\":\"Blogi t\u00e4ynn\u00e4 tietotekniikan juttuja, tervetuloa!\",\"publisher\":{\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/#\\\/schema\\\/person\\\/9246ef62dc4013651f8657d79fe2ef58\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/lassinsivut.eu\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":[\"Person\",\"Organization\"],\"@id\":\"https:\\\/\\\/lassinsivut.eu\\\/#\\\/schema\\\/person\\\/9246ef62dc4013651f8657d79fe2ef58\",\"name\":\"lassi\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/5e227bfe60b98fd4b60c357bafc3f3c3b16fdee80c778359dab94e7ed3a53e6a?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/5e227bfe60b98fd4b60c357bafc3f3c3b16fdee80c778359dab94e7ed3a53e6a?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/5e227bfe60b98fd4b60c357bafc3f3c3b16fdee80c778359dab94e7ed3a53e6a?s=96&d=mm&r=g\",\"caption\":\"lassi\"},\"logo\":{\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/5e227bfe60b98fd4b60c357bafc3f3c3b16fdee80c778359dab94e7ed3a53e6a?s=96&d=mm&r=g\"},\"sameAs\":[\"https:\\\/\\\/lassinsivut.eu\"],\"url\":\"https:\\\/\\\/lassinsivut.eu\\\/en\\\/author\\\/lassi\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Linux palvelimen perusturvallisuus - Lassin kotisivut","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/lassinsivut.eu\/en\/palvelimen-perusturvallisuus\/","og_locale":"en_US","og_type":"article","og_title":"Linux palvelimen perusturvallisuus - Lassin kotisivut","og_description":"Linux palvelimen perusturvallisuuden takaaminen LOGIEN TARKISTUS #tarkistetaan kirjautumisyritykset palvelimelle reaaliaikaisesti tail -f \/var\/log\/auth.log #LOGIEN V\u00c4RITYS apt install grc grc tail -f \/var\/log\/auth.log (multitail my\u00f6s useammalle logille kerralla) FAIL2BAN apt-get update apt-get install fail2ban systemctl status fail2ban nano \/etc\/fail2ban\/jail.conf #ignoraa lokaalin koneen ignoreip = 127.0.0.1\/8 #m\u00e4\u00e4ritell\u00e4\u00e4n bannin kesto bantime = 600 #m\u00e4\u00e4ritell\u00e4\u00e4n monta yrityst\u00e4 kirjautumisessa on maxretry = 3 #t\u00e4m\u00e4 l\u00e4hett\u00e4\u00e4 postia root k\u00e4ytt\u00e4j\u00e4lle ett\u00e4 joku on bannattu destemail = root@localhost sendername = Fail2Ban banned user! mta = sendmail action = %(action_mwl)s #t\u00e4ll\u00e4 saadaan postiin logitedot k\u00e4tev\u00e4sti action_mw #t\u00e4ll\u00e4 kuitenkin saa eniten action_mwl #t\u00e4ll\u00e4 komennolla pys\u00e4ytet\u00e4\u00e4n fail2ban systemctl fail2ban stop #t\u00e4ll\u00e4 aloitetaan systemctl fail2ban start #t\u00e4ll\u00e4 tarkistetaan nykyinen tilanne systemctl status fail2ban # tarkistetaan jaili sek\u00e4 estetyt ipt sek\u00e4 niiden m\u00e4\u00e4r\u00e4 fail2ban-client status sshd UFW PALOMUURI apt install ufw systemctl enable ufw systemctl start ufw systemctl status ufw #avataan palomuuriin portti ufw allow ”portti” #avataan portti 80 ufw allow 80 OPENSSH #Asennetaan ssh apt install openssh-server #Otetaan ssh k\u00e4ytt\u00f6\u00f6n samalla my\u00f6s koneen startuppiin systemctl enable ssh #Tarkistetaan nykyinen tilanne ssh systemctl status sshd #Pys\u00e4ytet\u00e4\u00e4n ssh systemctl stop sshd nano \/etc\/ssh\/sshd_config #vaihdetaan oletus portti toiseen #Port22 port222 #Kiellet\u00e4\u00e4n roottina kirjautuminen #PermitRootLogin PermitRootLogin no #Annetaan lassi k\u00e4ytt\u00e4j\u00e4lle lupa kirjautua AllowUsers lassi #k\u00e4ynnistet\u00e4\u00e4n ssh uudestaan systemctl restart sshd netstat -tulpn netstat -tulpn | grep 22 ufw allow ssh ufw allow 22 SSH PARANTELU #Asenntaan moduulit ja sovellukset jotka yhdist\u00e4v\u00e4t hy\u00f6kk\u00e4\u00e4j\u00e4n ip-osoitteen maahan apt-get install geoip-bin geoip-database #Luodaan scripti joka hallitsee p\u00e4\u00e4syn nano \/usr\/local\/bin\/ipfilter.sh #!\/bin\/bash ALLOW_COUNTRIES=”IN US” LOGDENY_FACILITY=”authpriv.notice” if [ $# -ne 1 ]; then echo ”Usage: `basename $0` ” 1>&2 exit 0 # return true in case of config issue fi if [[ ”`echo $1 | grep ’:’`” != ”” ]] ; then COUNTRY=`\/usr\/bin\/geoiplookup6 ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1` else COUNTRY=`\/usr\/bin\/geoiplookup ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1` fi [[ $COUNTRY = ”IP Address not found” || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE=”ALLOW” || RESPONSE=”DENY” if [[ ”$RESPONSE” == ”ALLOW” ]] ; then logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)” exit 0 else logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)” exit 1 fi #T\u00e4m\u00e4 muutos pit\u00e4\u00e4 tehd\u00e4 jos halutaan ett\u00e4 scripti juoksee! chmod +x \/usr\/local\/bin\/ipfilter.sh #Lis\u00e4t\u00e4\u00e4n ssh listalle omat muutokset jotta j\u00e4rjestelm\u00e4\u00e4 ohjaa tuo uusi scripti ja muut asennetut ohjelmat. nano \/etc\/hosts.deny sshd: ALL vsftpd: ALL #M\u00e4\u00e4ritell\u00e4\u00e4n viel\u00e4 mist\u00e4 scripti l\u00f6ytyy. nano \/etc\/hosts.allow sshd: ALL: spawn \/usr\/local\/bin\/ipfilter.sh %a vsftp: ALL: spawn \/usr\/local\/bin\/ipfilter.sh %a","og_url":"https:\/\/lassinsivut.eu\/en\/palvelimen-perusturvallisuus\/","og_site_name":"Lassin kotisivut","article_published_time":"2023-03-22T13:55:17+00:00","article_modified_time":"2023-08-13T19:13:05+00:00","og_image":[{"width":1280,"height":720,"url":"https:\/\/lassinsivut.eu\/wp-content\/uploads\/2023\/03\/Linuxsecurity.jpg","type":"image\/jpeg"}],"author":"lassi","twitter_card":"summary_large_image","twitter_misc":{"Written by":"lassi","Est. reading time":"3 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/#article","isPartOf":{"@id":"https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/"},"author":{"name":"lassi","@id":"https:\/\/lassinsivut.eu\/#\/schema\/person\/9246ef62dc4013651f8657d79fe2ef58"},"headline":"Linux palvelimen perusturvallisuus","datePublished":"2023-03-22T13:55:17+00:00","dateModified":"2023-08-13T19:13:05+00:00","mainEntityOfPage":{"@id":"https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/"},"wordCount":465,"publisher":{"@id":"https:\/\/lassinsivut.eu\/#\/schema\/person\/9246ef62dc4013651f8657d79fe2ef58"},"image":{"@id":"https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/#primaryimage"},"thumbnailUrl":"https:\/\/lassinsivut.eu\/wp-content\/uploads\/2023\/03\/Linuxsecurity.jpg","articleSection":["Linux","Palvelin","Tietoturva"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/","url":"https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/","name":"Linux palvelimen perusturvallisuus - Lassin kotisivut","isPartOf":{"@id":"https:\/\/lassinsivut.eu\/#website"},"primaryImageOfPage":{"@id":"https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/#primaryimage"},"image":{"@id":"https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/#primaryimage"},"thumbnailUrl":"https:\/\/lassinsivut.eu\/wp-content\/uploads\/2023\/03\/Linuxsecurity.jpg","datePublished":"2023-03-22T13:55:17+00:00","dateModified":"2023-08-13T19:13:05+00:00","breadcrumb":{"@id":"https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/#primaryimage","url":"https:\/\/lassinsivut.eu\/wp-content\/uploads\/2023\/03\/Linuxsecurity.jpg","contentUrl":"https:\/\/lassinsivut.eu\/wp-content\/uploads\/2023\/03\/Linuxsecurity.jpg","width":1280,"height":720},{"@type":"BreadcrumbList","@id":"https:\/\/lassinsivut.eu\/palvelimen-perusturvallisuus\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/lassinsivut.eu\/"},{"@type":"ListItem","position":2,"name":"Linux palvelimen perusturvallisuus"}]},{"@type":"WebSite","@id":"https:\/\/lassinsivut.eu\/#website","url":"https:\/\/lassinsivut.eu\/","name":"Lassi's homepage","description":"Blogi t\u00e4ynn\u00e4 tietotekniikan juttuja, tervetuloa!","publisher":{"@id":"https:\/\/lassinsivut.eu\/#\/schema\/person\/9246ef62dc4013651f8657d79fe2ef58"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/lassinsivut.eu\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":["Person","Organization"],"@id":"https:\/\/lassinsivut.eu\/#\/schema\/person\/9246ef62dc4013651f8657d79fe2ef58","name":"lassi","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/secure.gravatar.com\/avatar\/5e227bfe60b98fd4b60c357bafc3f3c3b16fdee80c778359dab94e7ed3a53e6a?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/5e227bfe60b98fd4b60c357bafc3f3c3b16fdee80c778359dab94e7ed3a53e6a?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/5e227bfe60b98fd4b60c357bafc3f3c3b16fdee80c778359dab94e7ed3a53e6a?s=96&d=mm&r=g","caption":"lassi"},"logo":{"@id":"https:\/\/secure.gravatar.com\/avatar\/5e227bfe60b98fd4b60c357bafc3f3c3b16fdee80c778359dab94e7ed3a53e6a?s=96&d=mm&r=g"},"sameAs":["https:\/\/lassinsivut.eu"],"url":"https:\/\/lassinsivut.eu\/en\/author\/lassi\/"}]}},"jetpack_featured_media_url":"https:\/\/lassinsivut.eu\/wp-content\/uploads\/2023\/03\/Linuxsecurity.jpg","_links":{"self":[{"href":"https:\/\/lassinsivut.eu\/en\/wp-json\/wp\/v2\/posts\/2916","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/lassinsivut.eu\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/lassinsivut.eu\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/lassinsivut.eu\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/lassinsivut.eu\/en\/wp-json\/wp\/v2\/comments?post=2916"}],"version-history":[{"count":8,"href":"https:\/\/lassinsivut.eu\/en\/wp-json\/wp\/v2\/posts\/2916\/revisions"}],"predecessor-version":[{"id":3021,"href":"https:\/\/lassinsivut.eu\/en\/wp-json\/wp\/v2\/posts\/2916\/revisions\/3021"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/lassinsivut.eu\/en\/wp-json\/wp\/v2\/media\/3020"}],"wp:attachment":[{"href":"https:\/\/lassinsivut.eu\/en\/wp-json\/wp\/v2\/media?parent=2916"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/lassinsivut.eu\/en\/wp-json\/wp\/v2\/categories?post=2916"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/lassinsivut.eu\/en\/wp-json\/wp\/v2\/tags?post=2916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}