Исходя из моих основных знаний, iptablesя собрал следующую установку, предназначенную для запуска ретранслятора Tor... вот она примерно через 6 часов. Обратите внимание, я не хочу обсуждать какие-либо операции Tor, и поэтому на меня не будут ссылатьсяhttps://tor.stackexchange.com/Спасибо.
Была крупная атака на порт 22, которую я заметил, когда проснулся, поэтому я изменил ее, аутентификация по паролю уже была отключена, но человек/бот все равно пытался взломать. У меня есть открытый/закрытый ключ RSA длиной 8192 бита, так что я надеюсь, что этого будет достаточно.
# iptables -L -v --line-numbers
выходы:
Chain INPUT (policy DROP 8242 packets, 735K bytes)
num pkts bytes target prot opt in out source destination
1 0 0 DROP tcp -- any any anywhere anywhere ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2 10 452 DROP all -- any any anywhere anywhere ctstate INVALID /* protection: malformed packets */
3 20 1000 ACCEPT all -- lo any anywhere anywhere /* loopback: compulsory */
4 3 98 ACCEPT icmp -- any any anywhere anywhere icmp echo-request limit: avg 2/sec burst 5 /* ICMP: ping only */
5 16625 9388K ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED /* traffic */
6 7 420 ACCEPT tcp -- any any anywhere anywhere ctstate NEW,ESTABLISHED tcp dpt:xxyyzz /* SSH: global obfuscated */ <-- CENSORED
7 438 26080 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9001 /* Tor: OR */
8 558 30828 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9030 /* Tor: Dir */
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 16969 packets, 6369K bytes)
num pkts bytes target prot opt in out source destination
Я хотел бы развернуть fail2ban, но я никогда им не пользовался, поэтому я нашел несколькогидычтобы настроить его, но я считаю, что на этом сайте должен быть какой-то пример, я нашел слишком много результатов для fail2banодного, однако только ничего релевантного дляfail2banНачальная настройка
решение1
Установка f2b на deb довольно проста. Я уже писал об этом в посте ранее (https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban).
Сначала вы устанавливаете f2b
apt install fail2ban -y
Копировать конфигурацию на локальный компьютер
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
и внесите изменения в локальный файл
nano /etc/fail2ban/jail.local
обновить значения по умолчанию (порт 22 предварительно включен на f2b)
[DEFAULT]
...
# MISCELLANEOUS OPTIONS...
bantime = 86400
findtime = 86400
maxretry = 2`
Перезапустить f2b
/etc/init.d/fail2ban restart
Проверьте статус sshd 22
fail2ban-client status sshd
Кроме этого, использование ключа с парольной фразой должно быть достаточно. Вы всегда можете настроить f2b.
Обновлять:
Fail2ban в основном проверяет журналы на наличие IP-адресов, используя фильтры регулярных выражений, и блокирует соответствующие IP-адреса с помощью iptables.
Чтобы вывести список включенных джейлов (фильтры регулярных выражений для службы в f2b)
fail2ban-client status
Чтобы защитить пользовательский порт или услугу,
Проверьте, присутствуют ли фильтры регулярных выражений для этой службы.
ls /etc/fail2ban/filter.d
Если они присутствуют, скажем jail-name.conf, просто включите их в локальном файле f2b
nano /etc/fail2ban/jail.local
Под синтаксисом
[jail-name]
..options..
скажем, если sshd не был включен, добавьте enabled = trueв sshd jail
[sshd]
enabled = true
....
Для проверки джейлов по вашим журналам и обновления регулярных выражений, если они отсутствуют
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Если для службы или порта не существует джейлов, проверьте наличие этих фильтров в Интернете, добавьте их /etc/fail2ban/filter.dи включите в локальном файле конфигурации.