Szavazás
Kérdés:
Hasznos volt számodra a leírásom?
Opció 1: Igen
Opció 2: Nem
Sziasztok!
Most beavatlak titeket kétféle szerver levédésbe a támadások ellen. Két leghatásosabb levédés. Akinek saját szervergépe van annak lesz mind2 hasznos, de aki otthoni gépen futtat azokon általában a másikféle levédést tartalmazzák.
Melyik is ez a kettő levédés?
-IPFW Firewall
-SSHGuard IPFW
Kezdjük az SSHGuard IPFW levédéssel. Ez a levédés főként IPFW Firewallra alapul viszont a támadók dolgát megnehezíti így szerverünket nehezebb lesz feltörniük az esetleges támadóknak.
Az SSHGuard figyeli a naplózási tevékenységeket, gátolja a helyi tűzfal forrás címét. Egyik leghatásosabb védelem amennyiben gépünk már rendelkezik egy IPFW Tűzfallal.
Az SSHGuard feltelepítése:
Bejelentkezés után azonnal minden más használata előtt gépeljük be a következőt:
cd /usr/ports/security/sshguard-ipfw/ && make install clean
Itt letölti az SSHGuardhoz szükséges tar fájlokat és feltelepíti azok tartalmát gépünkre. Ez a telepítés nem tarthat tovább 1 percnél.
Ha ezzel megvagyunk írjuk be a következőt:
pkg_add -r sshguard-ipfw
Ezzel gépünkre van telepítve az SSHGuard.
Az IPFW Tűzfal feltelepítése
Elsőnek bizonyosodjunk meg arról fel e van gépünkre telepítve az IPFW kernel.
Írjuk be:
ipfw list
Ha ezt kapjuk vissza:
ipfw: getsockopt(IP_FW_GET): Protocol not available
akkor nincs feltelepítve a kernel.
De van egy másik lehetőségünk is, hogy megállapítsuk, hogy fent e van.
Bepötyögjük a következőt mely elvisz minket a kernel config fájlához:
grep IPFIREWALL /usr/src/sys/i386/conf
Amennyiben gépünk nem tartalmazza a kernelt akkor telepítsük fel a következő módon:
cd /usr/src/sys/i386/conf
cp GENERIC IPFWKERNEL
Szerkesszük a kernel fájlt:
vi IPFWKERNEL
Beleírjuk a következőket:
options IPFIREWALL # required for IPFW
options IPFIREWALL_VERBOSE # optional; logging
options IPFIREWALL_VERBOSE_LIMIT=10 # optional; don't get too many log entries
options IPDIVERT # needed for natd
(VI-ben történő írás-törlés-mentés: i-betűvel kezdhetünk el írni, x betűvel törölni, :q-val kilépni majd menteni)
Ezután a kernel feltelepítése következik:
# cd /usr/src
# make buildkernel KERNCONF=IPFWKERNEL
Majd a legújabb kernelt telepítjük a régi helyére a következő paranccsal:
# make installkernel KERNCONF=IPFWKERNEL
Ha megvagyunk nyomunk egy reboot-ot.
Első lépés / IPFW Engedélyezése
Megnyitjuk az etc/rc.conf fájlt,
vi /etc/rc.conf
Beleírjuk a következőket a végére:
firewall_enable="YES"
firewall_script="/usr/local/etc/ipfw.rules"
Elmentjük és bezárjuk a fájlt.
Második lépés / Tűzfal szabályok megírása
Létrehozunk egy új fájlt ha még nincsen ipfw.rules néven a következő paranccsal:
vi /usr/local/etc/ipfw.rules mely meg is nyitja szerkesztését.
Beleírjuk a szabályokat:
IPF="ipfw -q add"
ipfw -q -f flush
#loopback
$IPF 10 allow all from any to any via lo0
$IPF 20 deny all from any to 127.0.0.0/8
$IPF 30 deny all from 127.0.0.0/8 to any
$IPF 40 deny tcp from any to any frag
# statefull
$IPF 50 check-state
$IPF 60 allow tcp from any to any established
$IPF 70 allow all from any to any out keep-state
$IPF 80 allow icmp from any to any
# open port ftp (20,21), ssh (22), mail (25)
# http (80), dns (53) etc
$IPF 110 allow tcp from any to any 21 in
$IPF 120 allow tcp from any to any 21 out
$IPF 130 allow tcp from any to any 22 in
$IPF 140 allow tcp from any to any 22 out
$IPF 150 allow tcp from any to any 25 in
$IPF 160 allow tcp from any to any 25 out
$IPF 170 allow udp from any to any 53 in
$IPF 175 allow tcp from any to any 53 in
$IPF 180 allow udp from any to any 53 out
$IPF 185 allow tcp from any to any 53 out
$IPF 200 allow tcp from any to any 80 in
$IPF 210 allow tcp from any to any 80 out
# MT2 SZERVER
$IPF 56130 allow tcp from any to any 22 in
$IPF 56135 allow tcp from any to any 22 out
$IPF 56150 allow tcp from any to any 80 in
$IPF 56155 allow tcp from any to any 80 out
$IPF 56160 allow tcp from any to any 11002 in
$IPF 56165 allow tcp from any to any 11002 out
$IPF 56170 allow tcp from any to any 13000-13003 in
$IPF 56175 allow tcp from any to any 13000-13003 out
$IPF 56180 allow tcp from any to any 16000-16003 in
$IPF 56185 allow tcp from any to any 16000-16003 out
$IPF 56190 allow tcp from any to any 13099 in
$IPF 56195 allow tcp from any to any 13099 out
$IPF 56380 allow tcp from 80.249.163.1 to any 3306 out
$IPF 56385 allow tcp from 80.249.163.1 to any 3306 in
$IPF 56390 allow tcp from any to any 18000-18003 in
$IPF 56395 allow tcp from any to any 18000-18003 out
$IPF 56400 allow tcp from any to any 20000-20003 in
$IPF 56405 allow tcp from any to any 20000-20003 out
#$IPF 56390 allow tcp from 127.0.0.1 to any 3306 in
#$IPF 56395 allow tcp from 127.0.0.1 to any 3306 out
# deny and log everything
$IPF 500 deny log all from any to any
(Teljes körű védelmet nyújt)
Elmentjük.
Harmadik lépés / A tűzfal elindítása
Mindössze beírjuk a szabályok futtatására szolgáló parancsot és tűzfalunk máris használatba lépett.
sh /usr/local/etc/ipfw.rules
Felsoroljuk az összes szabályt sorrendben
ipfw list
Sok sikert kívánok mindenkinek és biztonságos szervert!:)
Kérdésekkel és problémákkal nyugodtan küldhettek egy privát üzenetet.
További szép napot.