Перейти к содержанию
Авторизация  
MaxiDevelop

Защита сервера Linux для Lineage II

Рекомендуемые сообщения

Защита сервера Linux для Lineage II


Мы будем использовать в этом учебнике некоторые из лучших дистрибутивов Linux (CentOS 7 Minimal) Wiki: https://wiki.centos.org/ FTP Download: http://isoredirect.centos.org/centos/7/isos/x86_64/CentOS-7-x86_64-Minimal-1708.iso Я полагаю, что у вас уже установлен HTTPD на VPS / Dedicated, чья команда для установки и "yum install httpd" Установка ModSecurity и mod_evasive
Сначала вам нужно будет установить репозиторий EPEL yum на сервере. Выполните следующую команду для установки и включения репозитория EPEL: sudo rpm -ivh http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm
Теперь вы можете установить mod_security и mod_evasive, выполнив следующую команду: sudo yum --enablerepo = epel install mod_security mod_evasive
После установки этих модулей вы можете проверить их, выполнив следующие команды: sudo httpd -M | grep evasive
Если mod_evasive включен, вы увидите следующий вывод: evasive20_module (общий)
Чтобы протестировать модуль mod_security, запустите: sudo httpd -M | безопасность grep
Если mod_security включен, вы увидите следующий вывод: security2_module (общий)
Настройка ModSecurity
Теперь, когда установка завершена и проверена, вам необходимо установить набор основных правил (CRS), чтобы использовать mod_security. CRS предоставляет веб-сервер с набором правил о том, как вести себя при определенных условиях. Вы можете загрузить и установить последнюю версию OWASP CRS, выполнив следующие команды: sudo mkdir / etc / httpd / crs
sudo cd / etc / httpd / crs
sudo wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master
sudo tar -xvf master
sudo mv SpiderLabs-owasp-modsecurity-crs- * owasp-modsecurity-crs
Теперь перейдите в установленный каталог OWASP CRS: sudo cd / etc / httpd / crs / owasp-modsecurity-crs /
В каталоге OWASP CRS вы найдете пример файла с правилами modsecurity_crs_10_setup.conf.example. Вам необходимо скопировать его содержимое в новый файл с именем modsecurity_crs_10_setup.conf. sudo cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf
Теперь вам нужно сказать Apache, чтобы использовать этот файл вместе с модулем. Вы можете сделать это, отредактировав главный файл конфигурации Apache: sudo nano /etc/httpd/conf/httpd.conf
Добавьте следующие строки в конец файла: <IfModule security2_module>
    Включить /etc/httpd/crs/owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
    Включить /etc/httpd/crs/owasp-modsecurity-crs/base_rules/*.conf
</ IfModule>
Сохраните и закройте файл и перезапустите Apache, чтобы отразить изменения. Перезагрузка sudo apachectl
Наконец, рекомендуется создать собственный файл конфигурации в каталоге modsecurity.d. Вы можете сделать это, создав файл с именем mod_security.conf. sudo nano /etc/httpd/modsecurity.d/mod_security.conf
Добавьте следующие строки: <IfModule mod_security2.c>
    SecRuleEngine On
    SecRequestBodyAccess On
    SecResponseBodyAccess On
    SecResponseBodyMimeType text / plain text / html text / xml application / octet-stream
    SecDataDir / tmp
</ IfModule>
Сохраните и закройте файл и перезапустите Apache, чтобы отразить изменения. Перезагрузка sudo apachectl
Настроить mod_evasive
Модуль mod_evasive считывает свою конфигурацию из /etc/httpd/conf.d/mod_evasive.conf, которую можно легко настроить. Вам не нужно создавать отдельный файл конфигурации, потому что во время обновления системы нет правил для обновления. Файл mod_evasive.conf по умолчанию имеет следующие директивы: <IfModule mod_evasive20.c>
    DOSHashTableSize 3097
    DOSPageCount 2
    DOSSiteCount 50
    DOSPageInterval 1
    DOSSiteInterval 1
    DOSBlockingPeriod 10
</ IfModule>
Вы можете изменить эти значения в соответствии с количеством и типом трафика, который должен обрабатывать ваш веб-сервер. DOSHashTableSize: эта директива определяет, как mod_evasive отслеживает, кто к чему обращается. Увеличение этого числа обеспечит более быстрый поиск сайтов, которые посетил клиент в прошлом. DOSPageCount: эта директива определяет количество идентичных запросов к определенному URI, которое посетитель может выполнить через интервал DOSPageInterval. DOSSiteCount: это похоже на DOSPageCount, но соответствует количеству запросов, которые посетитель может сделать на вашем сайте через интервал DOSSiteInterval. DOSBlockingPeriod: если посетитель превышает пределы, установленные DOSSPageCount или DOSSiteCount, их IP-адрес будет заблокирован во время DOSBlockingPeriod. В течение этого интервала они получат 403 (Запрещенную) ошибку. Одним из наиболее важных параметров конфигурации, которые необходимо изменить, является DOSEmailNotify. Если этот параметр включен, при каждом IP-адресе в черный список будет отправлено электронное письмо на указанный адрес электронной почты. Вы можете сделать это, отредактировав файл mod_evasive.conf: sudo nano /etc/httpd/conf.d/mod_evasive.conf
Раскомментируйте строку DOSEmailNotify, удалив # перед линией и изменив адрес электронной почты на свой собственный: DOSEmailNotify lunastudio@antiddos.com
Сохраните и закройте файл и перезапустите Apache, чтобы отразить изменения. Перезагрузка sudo apachectl
Примечание. Для работы этого электронного сообщения на вашем сервере должен быть функционирующий почтовый сервер. Тестирование ModSecurity
Для тестирования mod_security вы можете использовать curl для отправки HTTP-запросов на сервер Apache. Одним из правил по умолчанию ModSecurity является отклонение запросов, в которых есть агент пользователя «Nessus». Это предназначено, чтобы лишить информацию злоумышленников, которые используют автоматические сканеры     Теперь давайте установим и настроим пакет CSF FIREWALL cd /usr/src rm -fv csf.tgz wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd csf sh install.sh Как только вы выполните установку, мы настроим порты и активируем все защиты! Получите доступ к файлу «/etc/csf/csf.conf» с вашим любимым редактором и измените значение строки «ТЕСТИРОВАНИЕ». Измените значение 1 на 0, а затем выполните следующую команду # Allow incoming TCP ports # Allow outgoing TCP ports # Allow incoming UDP ports TCP_IN = "20,21,22,25,26,53,80" service csf restart csf --start /etc/init.d/csf start   csf -g (IP)> Проверяет, заблокирован ли IP-адрес
csf -a (IP) «Причина - ваше имя»> Добавляет IP-адрес в список разрешений сервера. Соблюдайте осторожность и освобождайте только фиксированные IP-адреса.
csf -d (IP) «Причина - ваше имя»> Заблокировать IP-адрес в брандмауэре и добавить комментарий в файл /etc/csf/csf.deny
csf -tr (IP)> Удаляет временный блок из IP-адреса
csf -dr (IP)> Удаляет постоянную блокировку с IP-адреса
grep IP /var/log/lfd.log> Проверяет причину временного блока          

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я конечно не критикую мануал, но зачем столько телодвижений, да и прийдется мониторить? Можно к примеру ограничить доступ некоторым странам. Самые дешевые атаки идут из Китая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...