Как серьезный исследователь в области безопасности, я ищу ответ на обеспечение установки Ubuntu против нежелательного проникновения. Это должно включать, как я могу:
Мой сценарий варианта использования конца будет в Virtualbox для простоты восстановления, таким образом, было бы замечательно знать то, что я должен сделать для запущения изображения.
Был бы следующее iptables
определения работают то же fail2bans цель?:
$ iptables -N IN_SSH
$ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH
$ iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 3 --seconds 10 -j DROP
$ iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 4 --seconds 1800 -j DROP
$ iptables -A IN_SSH -m recent --name sshbf --set -j Accept
$ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH
P.S.: кто-то дал бы код для надлежащего отгораживания сценариев?
Я испытываю желание пометить это как дубликат, поскольку было несколько вопросов , как это задавали ранее, но вы спрашиваете о конкретных ориентированных на безопасность вещи. Поэтому в духе помощи:
Существует активный аудит безопасности , который проводится в течение каждого цикла выпуска. Он также содержит полезные советы о некоторых базовых мерах безопасности, которые уже приняты специально для защиты и тестирования вашей системы от нежелательного внешнего доступа.
Нет открытых портов. Хэширование паролей. Куки SYN
Имея список существующих защит, давайте рассмотрим остальную часть вашего вопроса:
Таким образом, кажется, что все, что вам действительно нужно сделать на этом этапе, это убедиться, что дополнительные приложения, которые вы можете / не можете устанавливать, проходят активный аудит безопасности, и что вы в курсе любых исправлений. Установили все дополнительные профили AppArmor, необходимые для защиты ваших настроек. (или дополнения SELinux, соответствующие вашей конкретной конфигурации)
Как обнаружить атаку SYN
It is very simple to detect SYN attacks. The netstat command shows us how many connections are currently in the half-open state. The half-open state is described as SYN_RECEIVED in Windows and as SYN_RECV in Unix systems.
# netstat -n -p TCP tcp 0 0 10.100.0.200:21
237.177.154.8:25882 SYN_RECV - tcp 0 0 10.100.0.200:21
236.15.133.204:2577 SYN_RECV - tcp 0 0 10.100.0.200:21
127.160.6.129:51748 SYN_RECV - tcp 0 0 10.100.0.200:21
230.220.13.25:47393 SYN_RECV - tcp 0 0 10.100.0.200:21
We can also count how many half-open connections are in the backlog queue at the
moment. In the example below, 769 connections (for TELNET) in the SYN RECEIVED state
are kept in the backlog queue.
# netstat -n -p TCP | grep SYN_RECV | grep :23 | wc -l 769
The other method for detecting SYN attacks is to print TCP statistics and
look at the TCP parameters which count dropped connection requests. While under
attack, the values of these parameters grow rapidly.
# netstat -s -P tcp | grep tcpHalfOpenDrop tcpHalfOpenDrop = 473
It is important to note that every TCP port has its own backlog queue, but only
one variable of the TCP/IP stack controls the size of backlog queues for all ports.
Посмотрите следующие ссылки, которые могут помочь улучшить вашу установку Ubuntu:
http://www.maketecheasier.com/protect-ssh-server-with-fail2ban-ubuntu/
http://www.rawcomputing.co.uk/linux/linux-firewall-part1.html
http: // blog. lavoie.sl/2012/09/protect-webserver-against-dos-attacks.html
Эти ссылки могут оказаться полезными:
Некоторое программное обеспечение может быть полезно: