CentOS + ProFTPD + mod_sftp + mod_clamav

Тренинг по FTP-сервер в почту сегодня, мне хотелось бы рассказать вам, как построить с исходного серверы с необходимыми модулями ProFTPD.

К сожалению, в хранилища CentOS, ProFTPD FTP серверы без включения таких полезных модулей, таких как SFTP (SSH) и составил ClamAV.

Соберите для устранения этой неприятности ProFTPD пакет вручную из исходного кода и добавить модуль ClamAV и SFTP, для более sekurnosti.

Я буду устанавливать на CentOS 5.4 i386.

Установка:
[-hide-]1. Для компиляции нам неоходимы несколько пакетов – gcc и openssl, openssl-devel, установим их:

# yum install gcc openssl openssl-devel

2. Подготовка к сборке.

# cd /usr/src

Скачаем пакет proftpd-1.3.3 (в него уже включен модуль sftp).

# wget ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.3a.tar.gz

Скачаем модуль clamav:

# wget http://www.thrallingpenguin.com/resources/mod_clamav-0.7.tar.gz

Все распакуем:

# tar zxvf proftpd-1 ...
Читать дальше »

Итак, сегодня, я был бы таким сильным меры для защиты удаленного серверы Unix, как создание RSA ключа. Это позволяет нам инициировать безопасное соединение SSH через программу Putty, без ввода пароля.

Я думаю, ,что это просто, удобно и повышает безопасность удаленного хоста.

Что мне нужно?

Первый Сопряжение специально созданных криптографических ключей: один открытый и один закрытый.

Вторая Putty SSH клиент для доступа к удаленному серверу, или WinSCP - для передачи файликов на сервер, Pageant - SSH-агент для авторизации, PuTTYgen - генератор RSA / DSA ключей.

В этой очень информационной статье я расскажу подробно создание ключей для Linux (CentOS). Для FreeBSD, все аналогично с некоторыми исключениями, такими как запуск команды SSHD службы следующим образом:

[-hide-]server# /etc/rc.d/sshd restart

Итак приступаем:

1. Переходим в директорию SSH:

[root@centos ~]# cd .ssh/

2. Создаём ключи:

[root@centos .ssh]# ssh-keygen -t rsa

Далее нам предлагают о ...
Читать дальше »

На поставщик boProsteyshy способ защитить свой сервер от атак на ваш сервер SSHD изменить порт, МДМ это работает, и закрытие 22 портов с помощью iptables.
Открываем файлик конфигурации sshd_config редактором:

[-hide-]vim /etc/ssh/sshd_config


Надите строчеку (почти в самом начале):

Port 22

Смените число 22 на любое которое вам нравится до бесконечности (желательно, не более 65535).
Завершается все это перезапуском sshd:

/etc/init.d/sshd restart

Дополнительно можно добавить, ,что очень хорошая идея ,чтобы запретить прямой ssh доступ для root.
Делайте данное, если у Вас имеется хоть один еще пользователь на сервере c root привилегиями, под которым Вы можете войти.
Находим в /etc/ssh/sshd_config строчеку:

PermitRootLogin no

Раскомментируем её если она закоментирована. Добавим её, если отсутствует. Или же меняем yes на no
Перезапускаем sshd:

/etc/init.d/sshd restart

[-hide-] ...
Читать дальше »

SSH - стандарт сервиса на удаленной UNIX-подобных ОС. Чаще всего, базовая конфигурация может быть сделано при установке операционной системы, то есть одновременно будет работать, но ... Это еще один вопрос. Хотите говорить о безопасности SSH.

Первое, ,что нужно сделать, это изменить порт с 22-го на один на другой. Консультирование выше 1024, я обычно ставлю 3xxx и выше

Делаем:

[-hide-]nano /etc/ssh/sshd_config

#Port 22
Port 3622

#Ну и заодно установим протокол 2

#Protocol 2,1
Protocol 2

Второе – ставим сложный пароль. Большие/маленькие буквы, цыфры, ну к примеру:

Df.@xDl76Qa85d29serv2EER

Попробуй расшифруй! Главное не забыть его

Третье, о чем хочется не забыть, нашел для CentOS утилитку, аналог sshit у FreeBSD, она следит за конектами ssh, определяет с какого ip несколько раз пытаются подключиться введя не правильные логин пароль, и банят к чертям.

Denyhost называется.

Установка:

#yum install denyhosts
#chkcon ...
Читать дальше »

Несколько часов эксперементов, и в итоге получился такой конфиг для iptables:

[-hide-] #!/bin/bash

OUT=»eth1″ # Наш сетевой интерфейс (интернет).
OUTADDR=»1.1.1.1″ # интернет ip
ANYWHERE=»0.0.0.0/0″ # Назначение, любое.
MULTICAST=»224.0.0.0/4″ # Мультикаст пакеты, если у вас не используется оставьте как есть

# Параметры запуска\остановки\статуса скрипта. лучше не трогать
# Остановка скрипта
case «$1″ in
stop)
echo «Shutting down firewall…»

iptables –flush
iptables –delete-chain
iptables –table nat –flush
iptables –table filter –flush
iptables –table nat –delete-chain
iptables –table filter –delete-chain

iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT

echo «…done»
;;
status)
echo $»Table: filter»
iptables –list
echo $»Table: nat»
iptables -t nat –list
;;
restart|reload)
$0 s ...
Читать дальше »

Я уверен, ,что многие владельцы популярных веб-ресурсов, а также коммерческие проекты (которые в большинстве случаев, то же самое) приходилось иметь дело с такими неприятными явлениями, как DDoS-атаки. Чтобы организовать такую ​​атаку сегодня бы даже студенту (как правило, группа школьников). Более того, эти последствия могут быть весьма заметными. Это особенно верно в отношении сайтов, которые работают в онлайн-сервисов - интернет-магазинов, обменных пунктов и т.д.

Итак, рассмотрим «школьный», но очень распространенная и опасная версия атак DDoS - ". Грубой силы" небольшие атаки Для защиты от таких атак достаточно модуль mod_evasive. Чтобы защититься от более серьезных атак, данный аппарат, конечно, не будет достаточно. Тем не менее, следует отметить, ,что более агрессивные атаки DDoS-организаторов требуют значительных затрат, ,что само по себе является хорошей защитой ...

Установка вышеуказанного модуля будет производиться на OS CentOS 5.5. При этом имеется в виду, ,что в систе ...
Читать дальше »

Отбиваем DDOS mod_evasive + firewall на CentOS

Анализ DDoS, конечно, можно сделать свои скрипты для разбора логов. Но лучше, ,чтобы отдать модулю апача mod_evasive.

Ставим mod_evasive и в конфигурации пишем:

[-hide-]DOSHashTableSize 3097
DOSPageCount 15
DOSSiteCount 15
DOSPageInterval 3
DOSSiteInterval 3
DOSBlockingPeriod 300
DOSSystemCommand «/usr/bin/sudo /usr/bin/fwban %s»

DOSPageInterval – интервал для хитов определенной страницы
DOSSiteInterval – интервал для хитов определенного vhost
DOSPageCount – после этого количества хитов по определенному URI в течении интервала DOSPageInterval, айпи будет забанен
DOSSiteCount – после этого количества хитов по определенному vhost в течении интервала DOSSiteInterval, айпи будет забанен

Нам понадобиться скрипт для бана на уровне файрвола «/usr/bin/fwban» (вариант для Linux):

#!/bin/bash
if [ "x$1" = "x" ] ; then
echo «USAGE: $0 IPADDR»
exit
fi
/sbin/iptables -A BAN -s $1 -j DROP

Ему надо поставить права 755.
...
Читать дальше »