ProHoster > Blog > Pulega > puipuiga Linux-'au'aunaga. O le a le mea e fai muamua

puipuiga Linux-'au'aunaga. O le a le mea e fai muamua

puipuiga Linux-'au'aunaga. O le a le mea e fai muamua
Habib M'henni/Wikimedia Commons, CC BY-SA

I aso nei, o le faŹ»atulagaina o se 'auŹ»aunaga i luga o se talimalo o se mataupu o ni nai minute ma ni nai kiliki o le kiore. Ae o le taimi lava na uma ai le faŹ»alauiloaina, na te maua ai o ia lava i se siosiomaga faŹ»afefe, aua o loŹ»o tatala i luga ole Initaneti e pei o se teine ā€‹ā€‹mama i se rocker disco. O le a vave ona maua e le au suŹ»esuŹ»e ma maua le faitau afe o bots otometi faŹ»apipiŹ»iina o loŹ»o suŹ»eina le fesoŹ»otaŹ»iga i le sailiga o faŹ»afitauli ma faŹ»atonuga le saŹ»o. E i ai nai mea e tatau ona e faia vave pe a uma ona faŹ»alauiloa e faŹ»amautinoa ai le puipuiga faavae.

Mataupu

Le fa'aoga a'a

O le mea muamua e tatau ona e faia o le fatuina lea o se tagata e le o aŹ»a. O le manatu o le tagata faŹ»aoga root avanoa atoatoa i le faiga, ma afai e te faatagaina o ia pulega mamao, ona e faia lea o le afa o le galuega mo le Hacker, ma tuua ai se username aoga mo ia.

O le mea lea, e tatau ona e fatuina se isi tagata faŹ»aoga, ma faŹ»amalo le pulega mamao e ala i le SSH mo aŹ»a.

Ua faia se tagata fou ma le poloaiga useradd:

useradd [options] <username>

Ona fa'aopoopoina lea o se fa'aupuga mo lea fa'atonuga passwd:

passwd <username>

Ma le mea mulimuli, e manaŹ»omia le faŹ»aopoopoina o lenei tagata faŹ»aoga i se vaega o loŹ»o i ai le aia tatau e faŹ»atino ai faŹ»atonuga ma tulaga maualuga sudo. Fa'alagolago i le tufatufaina Linux, e mafai ona avea nei ma vaega eseese. Mo se faŹ»ataŹ»itaŹ»iga, i totonu CentOS ma ua fa'aopoopoina tagata fa'aoga Red Hat i le vaega wheel:

usermod -aG wheel <username>

Š’ Ubuntu ua faaopoopo o ia i le vaega sudo:

usermod -aG sudo <username>

Ki nai lo SSH passwords

O le malosi faŹ»amalosi poŹ»o le faŹ»aogaina o upu faŹ»amaonia o se osofaŹ»iga masani, o lea e sili ai le faŹ»amalo le faŹ»amaonia o upu faŹ»amaonia i le SSH (Secure Shell) ma faŹ»aoga le faŹ»amaoniga autu nai lo.

E iai polokalame eseese e fa'atino ai le SSH protocol, pei ole lsh Šø dropbear, ae o le sili ona lauiloa o le OpenSSH. O le fa'apipi'iina o le OpenSSH client i luga Ubuntu:

sudo apt install openssh-client

Fa'apipi'i le server:

sudo apt install openssh-server

O lo'o fa'agaoioia le SSH daemon (sshd) i luga o le 'au'aunaga i lalo o le Ubuntu:

sudo systemctl start sshd

Otometi ona amata le daemon i luga o seevae uma:

sudo systemctl enable sshd

E tatau ona maitauina o le vaega OpenSSH server e aofia ai le vaega o tagata o tausia. O lona uiga, e ala i openssh-server e mafai ona e faŹ»afesoŹ»otaŹ»i i isi 'auŹ»aunaga. E le gata i lea, mai lau masini kalani e mafai ona e faŹ»alauiloaina se SSH tunnel mai se server mamao i se isi vaega lona tolu, ona manatu ai lea o le vaega lona tolu o le server mamao e avea ma puna o talosaga. O se galuega sili ona faigofie mo le faŹ»apipiŹ»iina o lau masini. Mo nisi fa'amatalaga, va'ai le tala. "Fautuaga masani, faŹ»ataŹ»itaŹ»iga ma alalaupapa SSH".

E masani lava e leai se mea e faŹ»apipiŹ»i ai se 'auŹ»aunaga atoa i luga o le masini kalani ina ia puipuia ai le avanoa o fesoŹ»otaŹ»iga mamao i le komepiuta (mo mafuaaga saogalemu).

O lea la, mo lau tagata fou, e te manaŹ»omia muamua e faŹ»atupu SSH ki i luga o le komepiuta e te maua ai le server:

ssh-keygen -t rsa

O lo'o teuina le ki lautele i se faila .pub ma e foliga mai o se manoa o mataitusi fa'afuase'i e amata i ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

Ona, pei o le aŹ»a, fatuina se SSH directory i luga o le 'auŹ»aunaga i le fale o le tagata faŹ»aoga ma faŹ»aopopo le SSH lautele ki i le faila. authorized_keysfaŹ»aaoga se faŹ»amatalaga tusitusi e pei o Vim:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

Mulimuli ane, seti faŹ»atagaga saŹ»o mo le faila:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

ma sui le pule i lenei tagata fa'aoga:

chown -R username:username /home/username/.ssh

I le itu o le kalani, e tatau ona e faŹ»amaonia le nofoaga o le ki faalilolilo mo le faŹ»amaoni:

ssh-add DIR_PATH/keylocation

O lea e mafai ona e saini i totonu o le 'auŹ»aunaga i lalo o le igoa faŹ»aoga e faŹ»aaoga ai lenei ki:

ssh [username]@hostname

A maeŹ»a le faŹ»atagaina, e mafai ona e faŹ»aogaina le scp poloaiga e kopi faila, le aoga sshfs mo le faŹ»apipiŹ»iina mamao o se faila faila poŹ»o faŹ»amaumauga.

E fautuaina le faia o ni kopi faaleoleo o le ki tumaoti, aua afai e te faŹ»amalo le faŹ»amaonia o upu faŹ»amaonia ma leiloa, o le a leai sau auala e te ulufale ai i lau lava server.

E pei ona taŹ»ua i luga, i le SSH e te manaŹ»omia e faŹ»amalo le faŹ»amaoni mo aŹ»a (mo le mafuaŹ»aga lea na matou fatuina ai se tagata fou).

i CentOS/Pulou Mumu saili le laina PermitRootLogin yes i le faila faatulagaina /etc/ssh/sshd_config ma sui ai:

PermitRootLogin no

i Ubuntu fa'aopoopo se laina PermitRootLogin no i le faila faatulagaina 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

A maeŹ»a ona faŹ»amaonia e faŹ»amaonia le tagata fou e faŹ»aaoga ai la latou ki, e mafai ona e faŹ»amalo le faŹ»amaonia o upu faŹ»amaonia e faŹ»aumatia ai le lamatiaga o le faŹ»aogaina o upu faŹ»aulu poŹ»o le malosi. I le taimi nei, ina ia maua le 'auŹ»aunaga, e manaŹ»omia e le tagata osofaŹ»i ona maua le ki faŹ»apitoa.

i CentOS/Pulou Mumu saili le laina PasswordAuthentication yes i le faila faatulagaina /etc/ssh/sshd_config ma suia e faapea:

PasswordAuthentication no

i Ubuntu fa'aopoopo se laina PasswordAuthentication no e faila 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

Mo faŹ»atonuga ile faŹ»aogaina o faŹ»amaoniga e lua ile SSH, vaŹ»ai iinei.

Pa puipui

O le firewall e fa'amautinoa e na'o felauaiga i luga o ports e te fa'atagaina sa'o e alu i le server. O lenei mea e puipuia ai mai le faŹ»aogaina o ports e faŹ»afuaseŹ»i ona mafai e isi auaunaga, lea e matua faŹ»aitiitia ai le osofaŹ»iga.

AŹ»o leŹ»i faŹ»apipiŹ»i se pa puipui, e tatau ona e faŹ»amautinoa o loŹ»o aofia ai le SSH i le lisi faŹ»apitoa ma o le a le poloka. A leai, a uma ona amata le firewall, o le a le mafai ona matou faŹ»afesoŹ»otaŹ»i i le server.

Faatasi ai ma le tufatufaina atu Ubuntu O lo'o sau le Firewall e le faigata (talofa), ma faatasi ai ma CentOS/Pulou Mumu ā€” firewalld.

Fa'atagaina le SSH i le firewall i luga Ubuntu:

sudo ufw allow ssh

i CentOS/Red Hat fa'aaoga le poloaiga firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

A maeŹ»a lenei faiga, e mafai ona e amataina le pa puipui.

i CentOS/Red Hat amata le tautua systemd mo le firewalld:

sudo systemctl start firewalld
sudo systemctl enable firewalld

i Ubuntu matou te faŹ»aaogaina le poloaiga lenei:

sudo ufw enable

Fail2Ban

tautua Fail2Ban au'ili'ili ogalaau a le 'au'aunaga ma faitau le aofa'i o taumafaiga avanoa mai tuatusi IP ta'itasi. O faŹ»atulagaga o loŹ»o faŹ»amaoti ai tulafono mo le tele o taumafaiga avanoa e faŹ»atagaina i se vaitau faŹ»apitoa - pe a maeŹ»a ona poloka lenei tuatusi IP mo se vaitaimi faŹ»apitoa. Mo se faŹ»ataŹ»itaŹ»iga, matou te faŹ»atagaina 5 taumafaiga faŹ»amaonia le manuia e ala i le SSH i totonu o se vaitaimi o 2 itula, a maeŹ»a matou poloka lenei tuatusi IP mo 12 itula.

Fa'apipi'iina o le Fail2Ban CentOS ma le pulou mumu:

sudo yum install fail2ban

Fa'apipi'i i luga Ubuntu Šø Debian:

sudo apt install fail2ban

Fa'alauiloa:

systemctl start fail2ban
systemctl enable fail2ban

O le polokalame e lua faila fetuutuunai: /etc/fail2ban/fail2ban.conf Šø /etc/fail2ban/jail.conf. Fa'asaina tapu o lo'o fa'amaoti mai ile faila lona lua.

O le falepuipui mo le SSH e mafai ona fa'aletonu i tulaga fa'aletonu (5 taumafaiga, vaeluaga 10 minute, fa'asa mo le 10 minute).

[DEFAULT] le amana'ia le poloaiga = fa'amuta taimi = 10m taimi su'esu'e = 10m toe taumafai = 5

I le faaopoopo atu i le SSH, Fail2Ban e mafai ona puipuia isi auaunaga i luga o le nginx poŹ»o le Apache web server.

Fa'afouga saogalemu otometi

E pei ona e iloa, o faŹ»afitauli fou e maua i taimi uma i polokalame uma. A maeŹ»a ona faŹ»asalalau faŹ»amatalaga, faŹ»apipiŹ»i faŹ»aoga i pusa faŹ»aoga taŹ»utaŹ»ua, lea e masani ona faŹ»aogaina e tagata taŹ»avale ma tupulaga talavou pe a suŹ»esuŹ»eina 'auŹ»aunaga uma i se laina. O le mea lea, e taua tele le faŹ»apipiŹ»iina o faŹ»afouga saogalemu i le taimi lava e maua ai.

I luga o le server Ubuntu E fa'agaoioia fa'afouga otometi o le saogalemu i le tulaga masani i le fa'atulagaga, o lea e leai se isi gaioiga e mana'omia.

i CentOS/E manaŹ»omia e le Red Hat ona faŹ»apipiŹ»i le polokalama dnf-otometi ma ki le taimi:

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

Siaki taimi:

sudo systemctl status dnf-automatic.timer

Suia o ports e le masani ai

Na fausia le SSH i le 1995 e sui ai le telenet (taulaga 23) ma le ftp (taulaga 21), o lona uiga o le tusitala o le polokalame o Tatu Iltonen. filifili le taulaga 22 i le faaletonu, ma sa faamaonia e IANA.

E masani lava, o tagata osofaŹ»i uma latou te iloa poŹ»o fea le taulaga SSH o loŹ»o faŹ»aogaina - ma faŹ»ataŹ»itaŹ»i faŹ»atasi ma isi ports masani e suŹ»e ai le polokalama faakomepiuta, siaki faŹ»aupuga aŹ»a masani, ma isi.

Suia o ports masani - obfuscation - faŹ»aitiitia le tele o feŹ»aveaŹ»i leaga, le tele o ogalaau ma le uta i luga o le 'auŹ»aunaga i le tele o taimi, ma faŹ»aitiitia ai foi le osofaŹ»iga. E ui lava o nisi faitioina lenei auala o le "puipuiga e ala i le pogisa" (security through obscurity). O le mafuaŹ»aga o lenei metotia e faŹ»afeagai ma le faŹ»avae puipuiga faufale. O le mea lea, mo se faŹ»ataŹ»itaŹ»iga, le US National Institute of Standards and Technology "Taiala mo le Saogalemu o le Server" o loŹ»o faŹ»aalia ai le manaŹ»omia o se fausaga faŹ»apipiŹ»i tatala: "O le saogalemu o se faiga e le tatau ona faŹ»alagolago i le faalilolilo o le faŹ»atinoina o ona vaega," o le tala lea a le pepa.

I le talitonuga, o le suia o ports e le mafai ona faŹ»aaogaina e feteenai ma faiga faŹ»ataŹ»itaŹ»iga tatala. Ae i le faŹ»atinoga, o le tele o fefaŹ»atauaŹ»iga leaga e faŹ»aitiitia moni lava, o lea o se fua faigofie ma aoga.

O le numera o le taulaga e mafai ona faŹ»atulagaina e ala i le suia o le faŹ»atonuga Port 22 i le faila faatulagaina / etc / ssh / sshd_config. O loŹ»o faŹ»aalia foi e le parakalafa -p <port> Š² ssh. SSH client ma polokalame sftp lagolago foi le parakalafa -p <port>.

Parakalafa -p <port> e mafai ona faŹ»aaoga e faŹ»amaonia ai le numera o le taulaga pe a faŹ»afesoŹ»otaŹ»i faŹ»aaoga le poloaiga ssh Š² Linux. le sftp Šø scp fa'aogaina le parakalafa -P <port> (ulutala P). O le faŹ»amaonia mai le laina o le faŹ»atonuga e faŹ»afefe ai soŹ»o se tau i faila faŹ»atulagaina.

Afai e tele 'au'aunaga, toetoe lava o nei gaioiga saogalemu uma LinuxE mafai ona otometi le fa'agaoioiga o 'au'aunaga i totonu o se tusitusiga. Ae afai e na'o le tasi le 'au'aunaga, e sili atu le pulea o le fa'agasologa e ala i le lima.

I Aia Tatau o Faasalalauga

FaŹ»atonu ma amata galue vave! Fausia o le VDS soŹ»o se faŹ»atulagaga ma soŹ»o se faiga faŹ»aogaina i totonu o le minute. O le faŹ»atulagaina maualuga o le a faŹ»atagaina oe e maua se faŹ»alavelave - 128 CPU cores, 512 GB RAM, 4000 GB NVMe. Manaia tele :)

puipuiga Linux-'au'aunaga. O le a le mea e fai muamua

puna: www.habr.com

FaŹ»atau talimalo faŹ»atuatuaina mo nofoaga ma DDoS puipuiga, VPS VDS servers šŸ”„ Fa'atau le 'upega tafa'ilagi talimalo fa'atuatuaina ma le puipuiga DDoS, 'au'aunaga VPS VDS | ProHoster