จากความเข้าใจพื้นฐานของฉันเกี่ยวกับ iptables ฉันรวบรวมการตั้งค่าด้านล่างเพื่อเรียกใช้รีเลย์ Tor... หลังจากผ่านไป 6 ชั่วโมงโดยประมาณ โปรดทราบว่าฉันไม่ต้องการพูดคุยเกี่ยวกับการทำงานของ Tor ใดๆ ดังนั้นฉันจะไม่ชี้ไปที่ https://tor.stackexchange.com/ ขอขอบคุณ.
มีการโจมตีครั้งใหญ่ที่พอร์ต 22 ซึ่งฉันเห็นเมื่อฉันตื่นขึ้น ดังนั้นฉันจึงเปลี่ยนมัน การรับรองความถูกต้องของรหัสผ่านถูกปิดใช้งานไปแล้ว แต่บุคคล/บอตก็พยายามที่จะบุกรุกอยู่ดี ฉันมี RSA ยาว 8192 บิต สาธารณะ/ รหัสส่วนตัว ดังนั้นฉันหวังว่ามันจะเพียงพอ
# iptables -L -v --line-numbers
ผลลัพธ์:
Chain INPUT (นโยบาย DROP 8242 แพ็คเก็ต, 735K ไบต์)
num pkts bytes target prot เลือกใช้ปลายทางต้นทาง
1 0 0 DROP tcp -- ใดๆ ที่ไหนก็ได้ ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2 10 452 DROP ทั้งหมด -- ใดๆ ที่ไหนก็ได้ ctstate INVALID /* การป้องกัน: แพ็กเก็ตที่มีรูปแบบไม่ถูกต้อง */
3 20 1000 ยอมรับทั้งหมด -- ดูที่ไหนก็ได้ทุกที่ /* ย้อนกลับ: บังคับ */
4 3 98 ยอมรับ icmp -- ใดๆ ที่ไหนก็ได้ icmp echo-request limit: เฉลี่ย 2/วินาที ระเบิด 5 /* ICMP: ping เท่านั้น */
5 16625 9388K ยอมรับทั้งหมด -- ใดๆ ทุกที่ ctstate ที่เกี่ยวข้อง ก่อตั้ง /* การจราจร */
6 7 420 ยอมรับ tcp -- ใดๆ ที่ไหนก็ได้ ctstate ใหม่ ก่อตั้ง tcp dpt:xxyyzz /* SSH: global obfuscated */ <-- เซ็นเซอร์
7 438 26080 ยอมรับ tcp -- ใดๆ ที่ไหนก็ได้ tcp dpt:9001 /* Tor: OR */
8 558 30828 ยอมรับ tcp -- ใดๆ ที่ไหนก็ได้ tcp dpt:9030 /* Tor: Dir */
เชน FORWARD (นโยบาย DROP 0 แพ็กเก็ต 0 ไบต์)
num pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain OUTPUT (นโยบายยอมรับแพ็กเก็ต 16969, 6369K ไบต์)
num pkts bytes target prot เลือกใช้ปลายทางต้นทาง
ฉันต้องการปรับใช้ ล้มเหลว 2 แบนแต่ฉันไม่เคยใช้มัน ดังนั้นฉันจึงหาหลายตัว คู่มือ เพื่อตั้งค่า แต่ฉันเชื่อว่าเราควรมีตัวอย่างในเว็บไซต์นี้ ฉันพบผลลัพธ์มากเกินไปสำหรับ ล้มเหลว 2 แบน เพียงอย่างเดียว แต่ไม่มีอะไรเกี่ยวข้องกับ ล้มเหลว 2 แบน ตั้งค่าเริ่มต้น
หากไม่สามารถทำได้ด้วยเหตุผลใดก็ตาม โปรดแสดงความคิดเห็น แล้วฉันจะลบคำถามนี้ในภายหลัง
ระบบ: Debian GNU/Linux 11 (บูลส์อาย) พร้อม เซิร์ฟเวอร์ opensh สำหรับบริการ ssh
ขอบคุณล่วงหน้า!
PS: อพยพมาจาก https://security.stackexchange.com/
การติดตั้ง f2b บน deb นั้นค่อนข้างง่าย ฉันเคยเขียนเกี่ยวกับโพสต์ก่อนหน้านี้ (https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban).
ก่อนอื่นคุณติดตั้ง f2b
ฉลาดในการติดตั้ง fail2ban -y
คัดลอกการกำหนดค่าไปที่โลคัล
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
และทำการแก้ไขไฟล์ในเครื่อง
นาโน /etc/fail2ban/jail.local
อัปเดตค่าเริ่มต้น (พอร์ต 22 เปิดใช้งานล่วงหน้าบน f2b)
[ค่าเริ่มต้น]
...
#ตัวเลือกเบ็ดเตล็ด...
แบนไทม์ = 86400
หาเวลา = 86400
สูงสุด = 2`
รีสตาร์ท f2b
/etc/init.d/fail2ban รีสตาร์ท
ตรวจสอบสถานะของ sshd 22
sshd สถานะไคลเอ็นต์ของ Failed2ban
นอกเหนือจากนี้ การใช้คีย์กับข้อความรหัสผ่านก็เพียงพอแล้ว คุณสามารถปรับแต่ง f2b ได้เสมอ
อัปเดต:
โดยทั่วไป Fail2ban จะตรวจสอบบันทึกสำหรับ IP โดยใช้ตัวกรอง regex และบล็อก IP ที่ตรงกันโดยใช้ iptables
เพื่อแสดงรายการคุกที่เปิดใช้งาน (ตัวกรอง regex สำหรับบริการใน f2b)
สถานะไคลเอนต์ไม่ผ่าน 2 แบน
เพื่อปกป้องพอร์ตหรือบริการที่กำหนดเอง
ตรวจสอบว่ามีตัวกรอง regex สำหรับบริการนั้นอยู่หรือไม่
ls /etc/fail2ban/filter.d
หากมีอยู่ให้พูด คุก-name.confเพียงเปิดใช้งานบนไฟล์ f2b ในเครื่อง
นาโน /etc/fail2ban/jail.local
ภายใต้ไวยากรณ์
[ชื่อคุก]
..ตัวเลือก..
สมมติว่าถ้าไม่ได้เปิดใช้งาน sshd ให้เพิ่ม เปิดใช้งาน = จริง ไปที่คุก sshd
[sshd]
เปิดใช้งาน = จริง
....
เพื่อทดสอบคุกกับบันทึกของคุณและอัปเดต regex หากขาดหายไป
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
หากไม่มีคุกสำหรับบริการหรือพอร์ต ให้ตรวจสอบออนไลน์เพื่อหาตัวกรองเหล่านั้น และเพิ่มตัวกรองเหล่านั้นเข้าไป /etc/fail2ban/filter.d และเปิดใช้งานในไฟล์ปรับแต่งในเครื่อง
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
