Безопасная общая память

/dev/shm может использоваться в нападении на рабочий сервис, такой как httpd. Измените/etc/fstab для создания этого более безопасным.

Откройте Terminal Window и введите следующее:

sudo vi /etc/fstab

Добавьте следующую строку и сохраните. Необходимо будет перезагрузить для этой установки для вступления в силу:

tmpfs     /dev/shm     tmpfs     defaults,noexec,nosuid     0     0

Укрепите сеть с sysctl настройками

/etc/sysctl.conf файл содержит все sysctl настройки. Предотвратите маршрутизацию от источника входящих пакетов и зарегистрируйтесь, уродливый IP вводят следующее в окно терминала

sudo vi /etc/sysctl.conf

Отредактируйте/etc/sysctl.conf файл и не прокомментируйте или добавьте следующие строки:

# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0 
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0 
net.ipv6.conf.default.accept_redirects = 0

# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1

Для перезагрузки sysctl с последними изменениями войдите:

sudo sysctl -p

Предотвратите IP-спуфинг

Откройте Terminal и введите следующее:

sudo vi /etc/host.conf

Добавьте или отредактируйте следующие строки:

order bind,hosts
nospoof on

Укрепите PHP для безопасности

Отредактируйте файл php.ini:

sudo vi /etc/php5/apache2/php.ini

Добавьте или отредактируйте следующие строки:

disable_functions = exec,system,shell_exec,passthru
register_globals = Off
expose_php = Off
magic_quotes_gpc = On

Веб-приложение брандмауэр - ModSecurity

http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

Защитите от DDOS (Отказ в обслуживании) нападения - ModEvasive

http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

Журналы сканирования и запрещают подозрительные хосты - DenyHosts и Fail2Ban

@DenyHosts

DenyHosts является программой Python, на которую автоматически блоки SSH нападают путем добавления записей в/etc/hosts.deny. DenyHosts также сообщит администраторам Linux об оскорблении хостов, подвергшихся нападению пользователей и подозрительных логинов.

Откройте Terminal и введите следующее:

sudo apt-get install denyhosts

После редактирования установки конфигурационный файл/etc/denyhosts.conf и изменение электронная почта и другие настройки как требуется.

Для изменения администраторских почтовых настроек, откройте окно терминала и войдите:

sudo vi /etc/denyhosts.conf

Измените следующие значения как требуется на Вашем сервере:

ADMIN_EMAIL = root@localhost
SMTP_HOST = localhost
SMTP_PORT = 25
#SMTP_USERNAME=foo
#SMTP_PASSWORD=bar
SMTP_FROM = DenyHosts nobody@localhost
#SYSLOG_REPORT=YES 

Fail2Ban

Fail2ban более совершенствуется, чем DenyHosts, поскольку он расширяет журнал, контролирующий до других сервисов включая SSH, Apache, Курьера, FTP, и т.д.

Fail2ban сканирует файлы журнала и запрещает дюйм/с, которые показывают злонамеренные знаки - слишком много ошибок пароля, ищущих использование, и т.д.

Обычно Fail2Ban затем раньше обновлял правила брандмауэра отклонить IP-адреса для указанного количества времени, хотя любой произвольное другое действие мог также быть настроен. Из поля Fail2Ban идет с фильтрами для различных сервисов (апач, курьер, ftp, ssh, и т.д.).

Откройте Terminal и введите следующее:

sudo apt-get install fail2ban

После редактирования установки конфигурационный файл/etc/fail2ban/jail.local и создают правила фильтра как требуется.

Для изменения настроек, откройте окно терминала и войдите:

sudo vi /etc/fail2ban/jail.conf

Активируйте все сервисы, которые Вы хотели бы, чтобы fail2ban контролировал путем изменения, включил =, ложь к *включила = верный*

Например, если требуется включить SSH контролирующую и запрещающую тюрьму, найти ниже строку, и изменение включило от лжи до истинного. Вот именно.

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

Если требуется получить электронные письма от Fail2Ban, если хосты запрещаются, изменяют следующую строку на адрес электронной почты.

destemail = root@localhost

и измените следующую строку от:

action = %(action_)s

кому:

action = %(action_mwl)s

Можно также создать фильтры правила для различных сервисов, которые Вы хотели бы, чтобы fail2ban контролировал, который не предоставляется по умолчанию.

sudo vi /etc/fail2ban/jail.local

Хорошие инструкции относительно того, как настроить fail2ban и создать различные фильтры, могут быть найдены на HowtoForge - щелкните здесь для примера

При выполнении с конфигурацией перезапуска Fail2Ban сервис с:

sudo /etc/init.d/fail2ban restart

Можно также проверить состояние с.

sudo fail2ban-client status

Проверьте на руткиты - RKHunter и CHKRootKit.

И RKHunter и CHKRootkit в основном делают то же самое - проверяет Вашу систему на руткиты. Никакой вред в использовании обоих.

Откройте Terminal и введите следующее:

sudo apt-get install rkhunter chkrootkit

Для выполнения chkrootkit, откройте окно терминала и войдите:

sudo chkrootkit

Обновить и выполнить RKHunter. Откройте Terminal и введите следующее

sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check

Просканируйте открытые порты - Nmap

Nmap ("Сетевой Картопостроитель") является свободной и утилитой с открытым исходным кодом для аудита безопасности и обнаружения сети.

Откройте Terminal и введите следующее:

sudo apt-get install nmap

Просканируйте свою систему для открытых портов с:

nmap -v -sT localhost

SYN, сканирующий со следующим:

sudo nmap -v -sS localhost

Проанализируйте системные Файлы журнала - LogWatch

Logwatch является настраиваемой системой анализа журнала. Logwatch анализирует через журналы Вашей системы и создает анализ отчета области, которые Вы указываете. Logwatch прост в использовании и будет работать правильно из пакета в большинстве систем.

Откройте Terminal и введите следующее:

sudo apt-get install logwatch libdate-manip-perl

Для просмотра вывода logwatch используют меньше:

sudo logwatch | less

Для пользования электронной почтой отчета о logwatch за прошедшие 7 дней на адрес электронной почты введите следующее и замените mail@domain.com необходимой электронной почтой.:

sudo logwatch --mailto mail@domain.com --output mail --format html --range 'between -7 days and today' 

Контролируйте свою безопасность системы - Тигр.

Тигр является средствами обеспечения безопасности, которые могут быть использованием и как проверкой защиты и как системой обнаружения проникновения.

Откройте Terminal и введите следующее:

sudo apt-get install tiger

Для выполнения тигра, войдите:

sudo tiger

Весь вывод Тигра может быть найден в/var/log/tiger

Для просмотра отчетов безопасности тигра откройте Terminal и введите следующее:

sudo less /var/log/tiger/security.report.*

Для большего количества справки