Linux operatsion tizimida ishlaydigan serverlar eng xavfsiz va tashqi hujumlardan himoyalangan degan noto'g'ri tushuncha mavjud. Afsuski, bunday emas, har qanday serverning xavfsizligi uni ta'minlash uchun bir qator omillar va choralarga bog'liq va amalda ishlatiladigan operatsion tizimga bog'liq emas.
ga bag'ishlangan bir qator maqolalarni boshlashga qaror qildik tarmoq xavfsizligi Bilan Ubuntu serveri, chunki ushbu platformadagi echimlar bizning o'quvchilarimiz uchun katta qiziqish uyg'otadi va ko'pchilik Linux echimlari o'z-o'zidan xavfsiz ekanligiga ishonishadi.
Shu bilan birga, maxsus IP-manzilga ega marshrutizator mahalliy tarmoqqa "eshik" bo'lib, bu darvoza ishonchli to'siq bo'ladimi yoki mamlakat darvozasi bo'ladimi, bu faqat ma'murga bog'liq bo'ladi. tirnoq.
Yana bir keng tarqalgan noto'g'ri tushuncha bu: "kimga kerak, bizning serverimiz, bizda qiziq narsa yo'q" uslubidagi fikrlashdir. Haqiqatan ham, sizning mahalliy tarmog'ingiz tajovuzkorlarni qiziqtirmasligi mumkin, ammo ular spam yuborish, boshqa serverlarga hujumlar, anonim proksi-serverdan, qisqasi, o'zlarining xira muomalalari uchun boshlang'ich nuqta sifatida foydalanishlari mumkin.
Va bu allaqachon yoqimsiz va turli muammolarning manbai bo'lib xizmat qilishi mumkin: provayderdan tortib huquqni muhofaza qilish organlarigacha. Viruslarning tarqalishi, muhim ma'lumotlarni o'g'irlash va yo'q qilish, shuningdek, korxonaning ishlamay qolishi sezilarli yo'qotishlarga olib kelishini unutmasligingiz kerak.
Maqola Ubuntu serveriga bag'ishlangan bo'lishiga qaramay, birinchi navbatda biz har qanday platformaga teng ravishda qo'llaniladigan va asoslar bo'lgan umumiy xavfsizlik masalalarini ko'rib chiqamiz, ularsiz masalani batafsilroq muhokama qilishning ma'nosi yo'q.
Yo'q, xavfsizlik xavfsizlik devoridan boshlanmaydi, u umuman xavfsizlik devoridan boshlanmaydi. texnik vositalar, xavfsizlik foydalanuvchidan boshlanadi. Axir, ko'pchilik tomonidan o'rnatilgan eng zo'r metall eshikdan nima foyda eng yaxshi mutaxassislar agar egasi kalitni gilam ostida qoldirsa nima bo'ladi?
Shuning uchun, siz qilishingiz kerak bo'lgan birinchi narsa - xavfsizlik auditini o'tkazish. Bu so'zdan qo'rqmang, hamma narsa unchalik murakkab emas: sxematik tarmoq rejasini tuzing, unda siz xavfsiz zonani, potentsial xavfli zonani va yuqori xavfli zonani belgilang, shuningdek (bo'lishi kerak) foydalanuvchilar ro'yxatini tuzing. ushbu zonalarga kirish).
Xavfsiz zona tashqaridan kirish imkoni bo'lmagan va xavfsizlikning past darajasi maqbul bo'lgan ichki tarmoq resurslarini o'z ichiga olishi kerak. Bu ish stantsiyalari bo'lishi mumkin, fayl serverlari va h.k. kirish korporativ mahalliy tarmoq bilan cheklangan qurilmalar.
Potentsial xavfli zonaga tashqi tarmoqqa to'g'ridan-to'g'ri kirish imkoniga ega bo'lmagan, lekin alohida xizmatlariga tashqaridan kirish mumkin bo'lgan serverlar va qurilmalar kiradi, masalan, veb va pochta serverlari xavfsizlik devori orqasida joylashgan, lekin hali ham tashqi tarmoqdan so'rovlarga xizmat qiladi.
Xavfli zonaga tashqi tomondan to'g'ridan-to'g'ri kirish mumkin bo'lgan qurilmalar bo'lishi kerak, bu bitta yo'riqnoma bo'lishi kerak;
Iloji bo'lsa, potentsial xavfli zonani alohida quyi tarmoqqa joylashtirish kerak - asosiy tarmoqdan qo'shimcha xavfsizlik devori bilan ajratilgan demilitarizatsiya zonasi (DMZ).
LAN qurilmalari faqat SMTP, POP3, HTTP kabi kerakli DMZ xizmatlaridan foydalanishi kerak va boshqa ulanishlar bloklanishi kerak. Bu qurolsizlantirilgan zonadagi alohida xizmatdagi zaiflikdan foydalangan tajovuzkor yoki zararli dasturni ishonchli tarzda izolyatsiya qilish imkonini beradi va ularga asosiy tarmoqqa kirishni taqiqlaydi.
Jismoniy jihatdan, DMZ alohida server / apparat xavfsizlik devorini o'rnatish yoki marshrutizatorga qo'shimcha tarmoq kartasini qo'shish orqali tashkil etilishi mumkin, ammo ikkinchi holatda siz yo'riqnoma xavfsizligiga katta e'tibor qaratishingiz kerak bo'ladi. Lekin har qanday holatda ham bir guruh serverlarga qaraganda bitta server xavfsizligini ta'minlash ancha oson.
Keyingi qadam foydalanuvchilar ro'yxatini tahlil qilish bo'lishi kerak, ularning barchasi DMZ va marshrutizatorga kirishga muhtojmi yoki yo'qmi (davlat xizmatlari bundan mustasno), tashqaridan ulanadigan foydalanuvchilarga alohida e'tibor berilishi kerak.
Odatda, bu parol siyosatini qo'llash bo'yicha juda mashhur bo'lmagan qadamni talab qiladi. Muhim xizmatlarga kirish huquqiga ega bo'lgan va tashqaridan ulanish imkoniyatiga ega bo'lgan foydalanuvchilar uchun barcha parollar kamida 6 ta belgidan iborat bo'lishi va kichik harflarga qo'shimcha ravishda uchta toifadan ikkitasi belgilarini o'z ichiga olishi kerak: Bosh harflar, raqamlar, alifbodan tashqari belgilar.
Bundan tashqari, parol foydalanuvchi loginini yoki uning bir qismini o'z ichiga olmaydi, foydalanuvchi bilan bog'lanishi mumkin bo'lgan sanalar yoki nomlarni o'z ichiga olmaydi va afzalroq, lug'at so'zi bo'lmasligi kerak.
Har 30-40 kunda parollarni o'zgartirish amaliyotiga kirishish yaxshidir. Bunday siyosat foydalanuvchilar tomonidan rad etilishiga olib kelishi aniq, ammo parollar yoqadi 123 yoki qwerty gilam ostida kalit qoldirishga teng.
Endi biz nimani va nimadan himoya qilmoqchi ekanligimiz haqida tasavvurga ega bo'lib, serverning o'ziga o'tamiz. Barcha xizmatlar va xizmatlar ro'yxatini tuzing, so'ngra ularning barchasi ushbu serverda kerakmi yoki boshqa joyga ko'chirilishi mumkinmi, deb o'ylang.
Xizmatlar qanchalik kam bo'lsa, xavfsizlikni ta'minlash shunchalik oson bo'ladi, server orqali murosa qilish ehtimoli shunchalik kamayadi tanqidiy zaiflik ulardan birida.
Mahalliy tarmoqqa xizmat ko'rsatadigan xizmatlarni (masalan, kalamar) so'rovlarni faqat mahalliy interfeysdan qabul qiladigan tarzda sozlang. Tashqarida qancha kam xizmatlar mavjud bo'lsa, shuncha yaxshi.
Zaiflik skaneri xavfsizlikni ta'minlashda yaxshi yordamchi bo'ladi, u serverning tashqi interfeysini skanerlash uchun ishlatilishi kerak; Biz eng ko'p birining demo versiyasidan foydalandik mashhur mahsulotlar- XSpider 7.7.
Skaner ochiq portlarni ko'rsatadi, ishlayotgan xizmat turini va agar muvaffaqiyatli bo'lsa, uning zaif tomonlarini aniqlashga harakat qiladi. Ko'rib turganingizdek, to'g'ri sozlangan tizim juda xavfsiz, ammo siz kalitni gilam ostida qoldirmasligingiz kerak, yo'riqnomada 1723 (VPN) va 3389 (terminal serveriga yo'naltirilgan RDP) portlari mavjudligi; parol siyosati haqida o'ylash uchun yaxshi sabab.
SSH xavfsizligi haqida ham gapirishimiz kerak. bu xizmat odatda administratorlar tomonidan ishlatiladi masofaviy boshqarish server va tajovuzkorlar uchun katta qiziqish uyg'otadi. SSH sozlamalari faylda saqlanadi /etc/ssh/sshd_config, quyida tavsiflangan barcha o'zgarishlar unga kiritilgan. Buning uchun avvalo, root foydalanuvchisi ostida avtorizatsiyani o'chirib qo'yishingiz kerak, variantni qo'shing:
PermitRootLogin raqami
Endi tajovuzkor nafaqat parolni, balki loginni ham taxmin qilishi kerak bo'ladi va u hali ham superuser parolini bilmaydi (u sizning parolingizga mos kelmaydi deb umid qilamiz). Tashqaridan ulanishda barcha ma'muriy vazifalar pastdan bajarilishi kerak sudo imtiyozsiz foydalanuvchi sifatida tizimga kirish.
Ruxsat etilgan foydalanuvchilar ro'yxatini aniq ko'rsatishga arziydi va siz kabi yozuvlardan foydalanishingiz mumkin user@host, bu ko'rsatilgan foydalanuvchiga faqat belgilangan xostdan ulanish imkonini beradi. Masalan, foydalanuvchi ivanovga uydan ulanishga ruxsat berish uchun (IP 1.2.3.4), siz quyidagi yozuvni qo'shishingiz kerak:
AllowUser [elektron pochta himoyalangan]
Shuningdek, protokolning faqat ikkinchi versiyasiga ruxsat beruvchi eskirgan va kamroq xavfsiz SSH1 protokolidan foydalanishni o'chirib qo'ying, buning uchun quyidagi qatorni shaklga o'zgartiring:
Protokol 2
Qabul qilingan barcha choralarga qaramay, parolni taxmin qilishni oldini olish uchun SSH va boshqa davlat xizmatlariga ulanishga urinishlar bo'ladi fail2ban, bu sizga bir nechta muvaffaqiyatsiz kirish urinishlaridan keyin foydalanuvchini avtomatik ravishda taqiqlash imkonini beradi. Siz uni quyidagi buyruq bilan o'rnatishingiz mumkin:
Sudo apt-get install fail2ban
Ushbu yordamchi dastur o'rnatilgandan so'ng darhol ishlashga tayyor, ammo buni amalga oshirish uchun ba'zi parametrlarni darhol o'zgartirishni maslahat beramiz, faylga o'zgartirishlar kiriting; /etc/fail2ban/jail.conf. Odatiy bo'lib, faqat SSH-ga kirish nazorat qilinadi va taqiqlash vaqti 10 daqiqa (600 soniya), bizning fikrimizcha, quyidagi variantni o'zgartirish orqali uni oshirishga arziydi:
Bantime = 6000
Keyin faylni aylantiring va tegishli bo'lim nomidan keyin parametrni o'rnatib, tizimingizda ishlaydigan xizmatlar uchun bo'limlarni yoqing. yoqilgan bir holatda rost, masalan, xizmat uchun proftpd u shunday ko'rinadi:
yoqilgan = rost
Yana bitta muhim parametr maxretry, bu ulanish urinishlarining maksimal soni uchun javobgardir. Sozlamalarni o'zgartirgandan so'ng, xizmatni qayta ishga tushirishni unutmang:
Sudo /etc/init.d/fail2ban qayta ishga tushiring
Utility jurnalini quyidagi manzilda ko'rishingiz mumkin /var/log/fail2ban.log.
Albatta, buni aytishimiz mumkin Linux Ko'proq xavfsiz Windowsga qaraganda (himoyalangan). Xavfsizlik V Linux o'rnatilgan va Windows-da amalga oshirilganidek, biron bir joyda vidalanmagan. Xavfsizlik tizimlari Linux yadrodan ish stoligacha bo'lgan hududni qamrab oladi, ammo xakerlar sizning uy katalogingizga (/home) zarar etkazishi mumkin.
Sizning bayt rasmlaringiz, uy videolaringiz, hujjatlaringiz va kredit karta yoki hamyon ma'lumotlaringiz kompyuterdagi eng qimmatli ma'lumotlardir. Albatta, Linux Windows uchun barcha turdagi Internet qurtlari va viruslariga sezgir emas. Ammo tajovuzkorlar uy katalogingizdagi ma'lumotlaringizga kirish yo'lini topishlari mumkin.
Eski kompyuteringizni tayyorlab yoki qattiq disk sotishdan oldin formatlash, sizningcha, bu etarli bo'ladimi? Ma'lumotlarni qayta tiklash uchun juda ko'p zamonaviy vositalar mavjud. Hacker ma'lumotlaringizni osongina tiklashi mumkin qattiq disk, qaysi operatsion tizimda ishlaganingizdan qat'iy nazar.
Ushbu mavzu bo'yicha men bitta kompaniyaning ishlatilgan kompyuterlar va disklarni qayta sotib olish tajribasini eslayman. Faoliyati davomida ular o'zlarining kompyuterlarining oldingi egalarining 90 foizi uni sotishdan oldin saqlash vositalarini tozalash haqida to'g'ri g'amxo'rlik qilmaganligi haqida hukm chiqardilar. Va ular juda nozik bayt ma'lumotlarni ajratib olishdi. Qattiq diskingiz qutilarida biron bir joyda onlayn bank yoki onlayn hamyonga kirish uchun ma'lumot bo'lishini tasavvur qilish ham qo'rqinchli.
Keling, deyarli har qanday narsaga mos keladigan asoslarga () qadam qo'yaylik 
Linux distributivlari.
Hech kim sizning uy katalogingizni (/home) yoki ma'lum bir bayt hajmini o'qiy olishini xohlamasangiz, maxsus parollar muammoni hal qilmaydi. Siz buni shunday qilishingiz mumkinki, hatto eng yuqori ildiz huquqlariga ega bo'lgan foydalanuvchi ham burnini bura olmaydi.
Agar siz kompyuteringizni yoki saqlash muhitini sotishga yoki berishga qaror qilsangiz, uni oddiygina formatlash fayllaringizni butunlay yo'q qiladi deb o'ylamang. srm yordam dasturini o'z ichiga olgan Linux-ga xavfsiz o'chirish vositasini o'rnatishingiz mumkin xavfsiz olib tashlash fayllar.
Bundan tashqari, mavjud haqida unutmang Linux yadrosi xavfsizlik devori. Hammasiga kiritilgan Linux distributivlari yadroning bir qismi bo'lgan lptablesni o'z ichiga oladi. Lptables tarmoq paketlarini filtrlash imkonini beradi. Albatta, siz ushbu yordam dasturini terminalda sozlashingiz mumkin. Ammo bu usul ko'pchilikning, shu jumladan mening ham imkoniyatlaridan tashqarida. Shuning uchun men uni xuddi o'yin o'ynayotgandek osongina o'rnataman va sozlayman.
Barcha operatsion tizimlar singari, Linux ham turli ilovalarni ishga tushirishda har xil keraksiz narsalarni to'plashga moyil. Va bu Linuxning aybi emas, chunki brauzerlar, matn muharrirlari va hatto video pleerlar kabi turli xil ilovalar yadro darajasida ishlamaydi va vaqtinchalik fayllarni to'playdi. Axlatni universal olib tashlash uchun BleachBit yordam dasturini o'rnatishingiz mumkin.
Xulosa qilib, men sizga aytmoqchiman anonim veb-surfing. Ba'zida shunday bo'ladiki, men xotinimdan yashirincha erotik tarkibga ega saytlarga tashrif buyurganim kabi. Albatta hazillashdim.
Agar tajovuzkorlar sizning joylashuvingizni aniqlay olmasalar, siz bilan bog'lanishlari qiyin bo'ladi. Biz treklarimizni privoxy va tor deb nomlangan birgalikda ishlaydigan ikkita yordamchi dasturdan iborat oddiy sozlash bilan yopamiz.
Menimcha, ushbu qoidalarning barchasiga rioya qilish va sozlash sizni va kompyuteringizni 90% xavfsiz saqlaydi.
P.S. Men dropbox deb nomlangan bulutdan foydalanmoqdaman. Unda eski va yangi, hali chop etilmagan maqolalarimni saqlayman. Dunyoning istalgan joyidan va istalgan kompyuterdan fayllaringizga kirish qulay. Veb-sayt uchun maqolalar yozayotganda matn muharriri, Men o'zimni saqlayman matnli hujjatlar parol bilan va shundan keyingina men uni dropbox serveriga yuklayman. Hech qachon qo'shimcha xavfsizlikni e'tiborsiz qoldirmasligingiz kerak, bu faqat sizning qo'lingizda o'ynaydi.
Qimmatbaho bit va baytlaringizga tajovuz qilish uchun bir nechta hiyla-nayranglar bo'ladi - ID fotosuratlaridan tortib kredit karta ma'lumotlarigacha.
Internetga ulangan kompyuterlar hujumga eng ko'p xavf tug'diradi, garchi tashqi dunyoga kirish imkoni bo'lmagan mashinalar ham kam himoyasiz. O'ylab ko'ring: eski noutbuk yoki siz tashlab yuborgan qattiq diskingiz bilan nima bo'lishi mumkin? Zamonaviy ma'lumotlarni tiklash vositalari bilan qurollangan (ularning ko'pchiligi uchun mavjud Bepul Yuklash), siz foydalanayotgan operatsion tizimingizdan qat'i nazar, xaker diskingizdagi ma'lumotlarni osongina tiklashi mumkin. Agar qattiq diskda ma'lumotlar mavjud bo'lsa (buzilgan yoki yo'qligidan qat'iy nazar), bu ma'lumotlar tiklanishi mumkin, bank hisoblari qayta yaratiladi; Yozib olingan chat suhbatlarini qayta tiklash va tasvirlarni tiklash mumkin.
Lekin xavotirlanmang. Kompyuterdan foydalanishni to'xtatmang. Internetga ulangan mashinani hujumga qarshi himoya qilish deyarli imkonsiz bo'lsa-da, siz tajovuzkorning ishini ancha qiyinlashtirishingiz va ular buzilgan tizimdan foydali hech narsa olmasliklariga ishonch hosil qilishingiz mumkin. Ayniqsa, qalbni isitadigan narsa shu Linux yordamida va sizning himoyangizga asoslangan ba'zi dasturlar o'rnatilgan nusxasi Linux umuman qiyin bo'lmaydi.
Har bir aniq holatda mos keladigan xavfsizlikning "oltin qoidasi" yo'q (va agar bunday qoida mavjud bo'lsa, u allaqachon buzilgan bo'lar edi). Xavfsizlik bo'yicha alohida ishlash kerak. Ushbu maqoladagi maslahatlarga rioya qilish va bu erda tasvirlangan vositalardan foydalanish orqali siz ularni Linux tarqatishingizga qanday moslashtirishni o'rganasiz.
Quyidagi oddiy tavsiyalar Linux kompyuteringizni himoya qilishga yordam beradi.
Operatsion tizim yangilanishi
Yangilanishlarga qo'shimcha ravishda, tarqatishlar odatda aniqlangan zaifliklar to'g'risida e'lonlarni yuborish uchun xavfsizlik pochta ro'yxatiga, shuningdek, ushbu zaifliklarni tuzatish paketlariga ega. Odatda tarqatishning xavfsizlik xatlari roʻyxatini kuzatib borish va eng muhim paketlaringiz uchun xavfsizlik yangilanishlarini muntazam ravishda izlash yaxshi fikr. Odatda zaiflik e'lon qilingan vaqt va yangilanish paketi omborga yuklangan vaqt oralig'ida vaqt oralig'i mavjud; pochta ro'yxatlari sizga yangilanishlarni qo'lda qanday yuklab olish va o'rnatishni aytib beradi.
Foydalanilmayotgan xizmatlarni bloklash
Har olti oyda yangilanmang
Ko'pgina ish stoli tarqatishlari Linux yangi relizlar har olti oyda chiqadi, lekin bu siz so'nggi versiyani allaqachon chiqarilganligi uchun o'rnatishingiz shart degani emas. Ubuntu ba'zi nashrlarni LTS (Long Term Support) sifatida belgilaydi - uzoq muddatli qo'llab-quvvatlanadigan relizlar: ish stoli tizimi uchun - uch yil va server tizimi uchun - besh yil. Bu standart Ubuntu versiyasining 18 oylik versiyasidan ancha uzoqroq.
LTS relizlari, ayniqsa avangard bo'lmasa-da, standartlaridan ko'ra xavfsizlik nuqtai nazaridan ancha yaxshi himoyalangan. Ularning paketlari uzoq muddatli qo'llab-quvvatlamaydigan yangi paketlarga qaraganda ancha barqaror va sinchkovlik bilan sinovdan o'tgan. Maqsadingiz mumkin bo'lgan eng xavfsiz tizimni yaratish bo'lsa, eng so'nggi versiya mavjud bo'lganda darhol yangilash vasvasasiga qarshi turib, uzoq muddatli qo'llab-quvvatlanadigan barqaror versiyalardan birini tanlang.
Eng ilg'or emas, lekin to'g'ri saqlangan tizim so'nggi versiyaga qaraganda barqarorroq va xavfsizroqdir.
Aleksandr BOBROV
Asosiysini o'rnatganimizdan so'ng operatsion tizim ubuntu14.04 ni minimal taqsimlashdan boshlab, tashvishlanishingiz kerak bo'lgan birinchi narsa - uni qanday qilib qulay boshqarish. Asosan, ssh/telnet * nix-ga asoslangan serverlarni sozlash va boshqarish uchun ishlatiladi, ammo yaqinda buning uchun veb-interfeyslarga asoslangan juda mos vositalar ham paydo bo'ldi. Men bepul echimlardan foydalanaman Webmin Va Ajenti. Ushbu panellarning ikkalasi ham e'tiborga loyiqdir va ular hamma narsani alohida qilishlari mumkinligiga qaramay, ularning har biri ba'zi narsalar uchun ko'proq mos keladi, shuning uchun ikkalasiga ham ega bo'lish yaxshiroqdir. Shuni ta'kidlash kerakki, jangovar ishlab chiqarish serverlarida bunday echimlar xavfsizlik asosida o'rnatilmagan. Shunga qaramay, nazorat tizimlari qanchalik ko'p bo'lsa, ularda zaiflikni topish ehtimoli shunchalik yuqori bo'ladi. Shuning uchun, agar sizning xavfsizlik talablaringiz "paranoyak" darajada bo'lsa, server bilan faqat ssh orqali (konsol orqali) ishlashingiz kerakligini qabul qiling.
Tarmoq orqali serverimiz bilan bog'lanish uchun avval uni sozlashingiz kerak. Odatiy bo'lib, o'rnatish vaqtida tarmoq avtomatik ravishda sozlangan va agar o'rnatuvchi tarmoqda DHCP serverini aniqlasa, u kerak bo'lganda hamma narsani allaqachon sozlagan. Agar tarmoqda DHCP serveri bo'lmasa, o'rnatuvchi hali ham tarmoq kartasi ulangan yo'riqnoma so'rovi asosida hamma narsani sozlagan. Tarmoq qanday sozlanganligini ko'rish uchun terminalga kiriting:
Bu erda biz nimani ko'ramiz:
Bizda ikkita tarmoq interfeysi mavjud eth0 va lo, bu erda lo "qayta ishlash interfeysi" va eth0 bizning tarmoq kartamiz nomidir va agar lo o'zgarmagan tarmoq interfeysi bo'lsa, boshqa barcha interfeyslar nom jihatidan farq qilishi mumkin. Agarda tizim birligi ikkita tarmoq kartasi o'rnatilgan, ularning interfeyslari katta ehtimol bilan eth0 va eth1 va hokazo kabi ko'rinadi. Interfeys nomining ko'rinishi turiga bog'liq tarmoq kartasi, masalan, agar tarmoq kartasi WiFi protokoli yordamida ishlayotgan bo'lsa, uning nomi wlan0 bo'lishi mumkin.
Tarmoqni sozlash uchun quyidagi faylni tahrirlaymiz:
sudo nano /etc/network/interfaces
Keling, uni ushbu shaklga keltiramiz:
iface eth0 inet statik
manzil 192.168.0.184
tarmoq niqobi 255.255.255.0
shlyuz 192.168.0.1
avtomatik eth0
dns-nom serverlari 8.8.8.8 8.8.4.4
Qayerda: iface eth0 inet statik— interfeys (iface eth0) statik ip (statik) bilan IPv4 (inet) manzillari oralig‘ida ekanligini ko‘rsatadi;
manzil 192.168.0.184— tarmoq kartamizning IP manzili 192.168.0.184 ekanligini bildiradi;
tarmoq niqobi 255.255.255.0— bizning pastki tarmoq niqobimiz (netmask) 255.255.255.0 ekanligini ko'rsatadi;
shlyuz 192.168.0.1— standart shlyuz manzili 192.168.0.254;
avtomatik eth0— tizimga yuqoridagi parametrlar bilan yuklanganda eth0 interfeysi avtomatik ravishda yoqilishi kerakligini bildiradi.
et0— ulanadigan interfeys nomi. Interfeyslar ro'yxatini ifconfig yozish orqali ko'rish mumkin
dns-nom serverlari— DNS serverlari bo'sh joy bilan ajratilgan holda yoziladi.
Mening ishimda ko'rib turganingizdek, men statik IP 192.168.0.184 ni o'rnatishga qaror qildim.
buyruq bilan serverni qayta ishga tushiring
Biz serverimizga tarmoqdan ping yuboramiz va uning ko'rinadiganligiga ishonch hosil qilamiz. Endi u bilan SSH orqali ulanishni o'rnatish vaqti keldi, biz ssh serverini o'rnatamiz:
sudo apt-get install ssh
Endi siz bizning serverimizga ssh orqali macun dasturi orqali ulanishingiz mumkin, masalan, endi siz buyruqlarni qo'lda emas, balki ssh mijoziga kerakli qatorlarni nusxalash va joylashtirish orqali kiritishingiz mumkin, chunki kelajakda bu sozlashni hayratlanarli darajada osonlashtiradi. , tez orada o'zingiz ko'rasiz:
USHBU SATIR OSHIGIDAGI BARCHA BUYRUQLAR SUPERFOYDALANUVCHI SIFATIDA KIRILANGAN, va superuser rejimiga kirish uchun quyidagilarni kiritishingiz kerak:
echo "deb https://download.webmin.com/download/repository sarge hissasi" >> /etc/apt/sources.list echo "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge hissasi" >> /etc/apt/sources.list wget https://www.webmin.com/jcameron-key.asc apt-key qo'shing jcameron-key.asc apt-get update apt-get install -y webmin
aks-sado "deb https://download.webmin.com/download/repository sarj hissasi">> aks-sado "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge hissasi">> /etc/apt/sources. ro'yxati wget https: //www.webmin.com/jcameron-key.asc apt - kalit jcameron - kalitni qo'shing. asc apt - yangilanishni oling apt - o'rnatishni oling - y webmin |
Hammasi! 6 ta ketma-ket kiritilgan buyruqlar va webmin o'rnatildi va sozlandi. Endi siz brauzeringizga quyidagi manzil orqali kirishingiz mumkin:
https://192.168.0.184:10000
Odatiy bo'lib webmin minimalistik ko'rinadi, standart interfeys yoqilgan Ingliz tili, lekin hamma narsani sozlash mumkin!
Biz buni shunday qilamiz:
Bu shunday chiqadi:
Hech birimiz shaxsiy ma'lumotlar noto'g'ri qo'llarga tushishini xohlamaymiz. Ammo tizimingizni hujumlar va ma'lumotlarni o'g'irlashdan qanday himoya qilish kerak? Haqiqatan ham sozlash va shifrlash algoritmlari bo'yicha kilometr uzunlikdagi qo'llanmalarni o'qish kerakmi? Aslo kerak emas. Ushbu maqolada men sizga Linux tizimini tom ma'noda 30 daqiqada qanday qilib xavfsiz qilish kerakligini aytaman.
Biz bir asrda yashayapmiz mobil qurilmalar va doimiy onlayn. Biz noutbuk bilan kafega boramiz va uy mashinalarimizda Internetga ta'sir qiladigan veb-serverlarni ishga tushiramiz. Biz yuzlab saytlarda ro'yxatdan o'tamiz va veb-xizmatlar uchun bir xil parollardan foydalanamiz. Bizning cho'ntagimizda har doim smartfon bor, unda o'nlab parollar va bir nechta SSH serverlari kalitlari mavjud. Biz maxfiyligimiz haqida g'amxo'rlik qiladigan uchinchi tomon xizmatlariga shunchalik ko'nikib qolganmizki, biz bunga e'tibor berishni to'xtatdik.
Smartfonimni yo'qotib qo'yganimda, unga o'rnatilgan o'g'irlikka qarshi vosita ishlayotgani va qurilma xotirasidan barcha ma'lumotlarni masofadan o'chirib tashlashimga imkon bergani juda baxtiyor edi. Men tasodifan SSH portini ochganimda uy mashinasi tashqi dunyoga paroli (!) bo'lmagan foydalanuvchi bilan (!!), men skript bolalari mashinaga kirganidan juda baxtiyorman, ular qo'shimcha ravishda kulgili hikoya chig'anoqlar tizimda mavjudligining jiddiy izlarini qoldirmadi. Men tasodifan Gmail parolim bilan Internetda ro'yxatni joylashtirganimda, bu haqda meni ogohlantirgan mehribon odam borligidan juda baxtiyorman.
Balki men ahmoqdirman, lekin bu satrlarni o'qiganlarning ko'pchiligida shunga o'xshash voqealar sodir bo'lganiga qat'iy aminman. Va bu odamlar, mendan farqli o'laroq, o'z mashinalarini himoya qilishga jiddiy g'amxo'rlik qilsalar yaxshi bo'ladi. Axir, anti-o'g'irlik ishlamagan bo'lishi mumkin va skript bolasi o'rniga jiddiy odamlar mashinaga tushishi mumkin edi va men smartfonni emas, balki foydalanuvchi parolidan boshqa himoyasi bo'lmagan noutbukni yo'qotib qo'ygan bo'lishim mumkin. . Yo'q, bitta ikkita omilga tayaning Google autentifikatsiyasi va ahmoq parollar, albatta, bizning asrimizda bunga loyiq emas, bizga jiddiyroq narsa kerak.
Ushbu maqola paranoid Unixoid uchun qo'llanma bo'lib, Linux mashinasini hamma narsadan va hamma narsadan to'liq himoya qilishga bag'ishlangan. Bu erda tasvirlangan hamma narsa foydalanish uchun majburiy ekanligini aytishga ikkilanaman. Aksincha, bu retseptlar to'plami, ma'lumotlardan siz o'zingizni va ma'lumotlaringizni o'zingizning muayyan vaziyatingizda zarur bo'lgan darajalarda himoya qilish uchun foydalanishingiz mumkin.
Hammasi parollardan boshlanadi. Ular hamma joyda: Linux distributividagi kirish oynasida, Internet saytlarida ro'yxatdan o'tish shakllarida, FTP va SSH serverlarida va smartfonning qulflangan ekranida. Bugungi kunda parollar uchun standart aralash harflarda va raqamlarni o'z ichiga olgan holda 8-12 belgidan iborat. Siz uchun shunday parollarni yarating o'z aqlingiz bilan juda zerikarli, lekin buni avtomatik ravishda qilishning oson yo'li bor:
$ openssl rand -base64 6
Yo'q tashqi ilovalar, veb-brauzerlar uchun kengaytmalar yo'q, OpenSSL har qanday mashinada mavjud. Garchi, agar kimdir uchun qulayroq bo'lsa, ular ushbu maqsadlar uchun pwgen-ni o'rnatishlari va foydalanishlari mumkin (ular parol kuchliroq bo'lishini aytishadi):
$ pwgen -Bs 8 1
Parollarni qayerda saqlash kerak? Bugungi kunda har bir foydalanuvchida ularning ko'pi borki, uning boshida hamma narsani saqlashning iloji yo'q. Brauzeringizning avtomatik saqlash tizimiga ishonasizmi? Bu mumkin, lekin Google yoki Mozilla ularga qanday munosabatda bo'lishini kim biladi. Snouden bu unchalik yaxshi emasligini aytdi. Shuning uchun parollar shifrlangan konteynerda mashinaning o'zida saqlanishi kerak. Ta'sischilar buning uchun KeePassX dan foydalanishni tavsiya etadilar. Bu narsa grafik, asoschilarning o'zlari yoqtirmaydi, lekin u hamma joyda ishlaydi, shu jumladan mashhur Android Google probi (KeePassDroid). Ma'lumotlar bazasini parollar bilan kerakli joyga o'tkazish qoladi.
Shifrlash - bu so'zda juda ko'p narsa bor ... Bugungi kunda shifrlash bir vaqtning o'zida hamma joyda va hech qaerda. Biz veb-saytlarning HTTPS versiyalaridan foydalanishga majburmiz, lekin biz bunga ahamiyat bermaymiz. Ular bizga: "Uy katalogingizni shifrlang" deyishadi va biz: "Keyin men uni o'rnataman" deymiz. Ular bizga: "Dropbox xodimlarining sevimli mashg'uloti foydalanuvchilarning shaxsiy fotosuratlariga kulishdir", biz esa: "Ular kulsin". Shu bilan birga, shifrlash bugungi kunda yagona mutlaq himoya vositasidir. Bu ham juda hamyonbop va ajinlarni tekislaydi.
Linuxda qattiq disk bo'limlaridan tortib bitta fayllargacha bo'lgan har bir narsa uchun tonna shifrlash imkoniyatlari mavjud. Uchta eng mashhur va vaqt sinovidan o'tgan vositalar dm-crypt/LUKS, ecryptfs va encfs. Birinchisi butun disklar va bo'limlarni shifrlaydi, ikkinchi va uchinchisi kataloglarni shifrlaydi muhim ma'lumotlar, har bir fayl alohida, agar siz qo'shimcha zaxira nusxalarini yaratishingiz yoki uni Dropbox bilan birgalikda ishlatishingiz kerak bo'lsa, bu juda qulay. Bundan tashqari, bir nechta kamroq ma'lum vositalar mavjud, masalan, TrueCrypt.
Darhol rezervlashimga ruxsat bering, butun diskni shifrlash qiyin ish va eng muhimi, foydasiz. Ildiz katalogida ayniqsa maxfiy narsa yo'q va bo'lishi ham mumkin emas, lekin uy katalogi va almashtirish shunchaki ma'lumotlar xazinasidir. Bundan tashqari, ikkinchisi birinchisidan ham kattaroqdir, chunki ma'lumotlar va parollar allaqachon shifrlangan shaklda bo'lishi mumkin (oddiy dasturchilar tizimga bunday ma'lumotlarni almashtirishni taqiqlaydi, ammo bunday odamlar ozchilikni tashkil qiladi). Ikkalasi uchun shifrlashni o'rnatish juda oddiy, shunchaki ecrypts vositalarini o'rnating:
$ sudo apt-get o'rnating ecryptfs-utils
Va, aslida, shifrlashni yoqing:
$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private
Keyinchalik, tizimga kirish uchun ishlatiladigan parolni kiriting va tizimga qayta kiring. Ha, bu juda oddiy. Birinchi buyruq /etc/fstab-dagi tegishli qatorlarni o'zgartirish orqali almashtirishni shifrlaydi va qayta o'rnatadi. Ikkinchisi ~/.Private va ~/Private kataloglarini yaratadi, ularda mos ravishda shifrlangan va shifrlangan fayllar saqlanadi. Tizimga kirganingizda, pam_ecryptfs.so PAM moduli ishga tushiriladi, bu birinchi katalogni shaffof ma'lumotlarni shifrlash bilan ikkinchisiga o'rnatadi. O'chirilgandan so'ng, ~/Private bo'sh bo'ladi va ~/.Private shifrlangan shakldagi barcha fayllarni o'z ichiga oladi.
Butun uy katalogini shifrlash taqiqlangan emas. Bunday holda, unumdorlik unchalik pasaymaydi, lekin barcha fayllar, shu jumladan bir xil tarmoq katalogi ~/Dropbox himoyalangan bo'ladi. Bu shunday amalga oshiriladi:
# ecryptfs-migrate-home -u vasya
Aytgancha, vasya ma'lumotlaridan 2,5 barobar ko'proq disk maydoni bo'lishi kerak, shuning uchun uni oldindan tozalashni maslahat beraman. Amaliyotni tugatgandan so'ng darhol foydalanuvchi vasya sifatida tizimga kirishingiz va funksionallikni tekshirishingiz kerak:
$mount | grep Xususiy /home/vasya/.Private on /home/vasya type ecryptfs ...
Agar hamma narsa yaxshi bo'lsa, siz ma'lumotlarning shifrlanmagan nusxasini qayta yozishingiz mumkin:
$ sudo rm -r /home/vasya.* 
OK, parollar xavfsiz joyda, shaxsiy fayllar ham, endi nima bo'ladi? Va endi biz shaxsiy ma'lumotlarimizning ba'zi qismlari noto'g'ri qo'llarga tushmasligi uchun ehtiyot bo'lishimiz kerak. Hech kimga sir emaski, fayl o'chirilganda, keyinchalik formatlash amalga oshirilsa ham, uning joriy tarkibi ommaviy axborot vositalarida qoladi. Bizning shifrlangan ma'lumotlarimiz o'chirilgandan keyin ham xavfsiz bo'ladi, lekin flesh-disklar va boshqa xotira kartalari haqida nima deyish mumkin? Bu erda bizga srm yordam dasturi kerak, u nafaqat faylni o'chiradi, balki qolgan ma'lumotlar bloklarini axlat bilan to'ldiradi:
$ sudo apt-get install safe-delete $ srm secret-file.txt home-video.mpg
# dd if=/dev/zero of=/dev/sdb
Ushbu buyruq sdb flesh-diskidagi barcha ma'lumotlarni o'chirib tashlaydi. Keyinchalik, faqat bo'lim jadvalini yaratish (bitta bo'lim bilan) va uni kerakli fayl tizimiga formatlash qoladi. Buning uchun fdisk va mkfs.vfat dan foydalanish tavsiya etiladi, lekin siz grafik gparted bilan ham shug'ullanishingiz mumkin.
Fail2ban - bu tarmoq xizmatlari uchun parollarni topishga urinishlar uchun jurnallarni skanerlaydigan demon. Agar bunday urinishlar aniqlansa, shubhali IP-manzil iptables yoki TCP Wrappers yordamida bloklanadi. Xizmat elektron pochta orqali voqea haqida xost egasini xabardor qilishi va belgilangan vaqtdan keyin blokirovkani tiklashi mumkin. Fail2ban dastlab SSHni himoya qilish uchun ishlab chiqilgan bo'lib, bugungi kunda Apache, lighttpd, Postfix, Exim, Cyrus IMAP, nomli va hokazolar uchun tayyor misollar taklif etiladi. Bundan tashqari, bitta Fail2ban jarayoni bir vaqtning o'zida bir nechta xizmatlarni himoya qilishi mumkin.
Ubuntu/Debian-da o'rnatish uchun biz quyidagilarni yozamiz:
# apt-get install fail2ban
Konfiguratsiyalar /etc/fail2ban katalogida joylashgan. Konfiguratsiyani o'zgartirgandan so'ng, buyruq bilan fail2banni qayta ishga tushirishingiz kerak:
# /etc/init.d/fail2ban qayta ishga tushirish
Keling, chuqurlikdan kelayotgan tahdidlarga e'tibor beraylik Internet. Bu erda men OpenBSD bilan ishlaydigan maxsus mashinada ishlaydigan iptables va pf haqida gapirishni boshlashim kerak, ammo ipkungfu mavjud bo'lganda bularning barchasi ortiqcha. Bu nima? Bu biz uchun xavfsizlik devorini sozlash bo'yicha barcha iflos ishlarni bajaradigan skript, kilometr uzunlikdagi qoidalar ro'yxatini yozmasdan. O'rnatish:
$ sudo apt-get o'rnatish ipkungfu
Konfiguratsiyani tahrirlash:
$ sudo vi /etc/ipkungfu/ipkungfu.conf # Mahalliy tarmoq, agar mavjud bo'lsa, tarmoq manzilini maska bilan birga yozing, agar bo'lmasa, loopback manzilini yozing LOCAL_NET="127.0.0.1" # Bizning mashinamiz shlyuz emas GATEWAY=0 # Kerakli portlarni yoping FORBIDDEN_PORTS="135 137 139" # Pinglarni bloklash, bolalarning 90% bu bosqichda yiqilib tushadi BLOCK_PINGS=1 # Shubhali paketlarni tashlab yuborish (har xil turdagi suv toshqini) SUSPECT="DROP" # "Noto'g'ri" paketlarni tashlash (ba'zi DoS turlari) KNOWN_BAD="DROP" # Skanerlash portlar? Thrash! PORT_SCAN="TOSHLASH"
Ipkungfu-ni yoqish uchun /etc/default/ipkungfu faylini oching va IPKFSTART = 0 qatorini IPKFSTART = 1 ga o'zgartiring. Ishga tushiring:
$sudo ipkungfu
Bundan tashqari, /etc/sysctl.conf ga o'zgartirish kiritamiz:
$ sudo vi /etc/systcl.conf # ICMP yo'naltirishlarini o'chirish (MITM hujumlariga qarshi) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # TCP sinxronlash mexanizmini yoqing net.ipv4 . tcp_syncookies=1 # Turli sozlashlar (spoofingga qarshi, “yarim ochiq” TCP ulanishlari navbatini oshirish va h.k.) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_backlog 1280 yadro .core_uses_pid=1
O'zgarishlarni faollashtiring:
$ sudo sysctl -p
Snort administratorlarning sevimli vositalaridan biri va barcha xavfsizlik qo'llanmalarining asosiy figurasidir. Butun kitoblar bag'ishlangan uzoq tarix va ulkan imkoniyatlarga ega narsa. Bizning qo'llanmamizda u nima qiladi tez sozlash xavfsiz tizim? Va bu erda Snortni sozlash shart emas:
$ sudo apt-get install snort $ snort -D
Hammasi! Men hazillashmayman, standart sozlamalar Snort odatiy tarmoq xizmatlarini himoya qilish uchun etarli, agar sizda ular mavjud bo'lsa. Siz shunchaki vaqti-vaqti bilan jurnalga qarashingiz kerak. Va unda siz quyidagi qatorlarni topishingiz mumkin:
[**] MS-SQL tekshiruvi javobini to‘ldirishga urinish [**] http://www.securityfocus.com/bid/9407]
Voy. Kimdir MySQL-da buferni to'ldirishga harakat qildi. Muammoning batafsil tavsifi bilan sahifaga havola ham mavjud. Go'zallik.
Ayniqsa aqlli kimdir bizning xavfsizlik devorimizni chetlab o'tib, Snort-dan o'tib keta oldi ildiz huquqlari tizimda va endi o'rnatilgan orqa eshik yordamida tizimga muntazam ravishda kiradi. Yaxshi emas, orqa eshikni topish, olib tashlash va tizimni yangilash kerak. Rutkitlarni va orqa eshiklarni qidirish uchun biz rkhunter-dan foydalanamiz:
$ sudo apt-get o'rnatish rkhunter
Keling, ishga tushiramiz:
$ sudo rkhunter -c --sk
Dasturiy ta'minot butun tizimni rootkitlarning mavjudligini tekshiradi va natijalarni ekranda ko'rsatadi. Zararli dastur hali ham topilgan bo'lsa, rkhunter manzilga ishora qiladi va uni o'chirib tashlash mumkin. Batafsilroq jurnal bu yerda joylashgan: /var/log/rkhunter.log. Rkhunterni har kuni cron ishi sifatida ishlatish yaxshiroqdir:
$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan natijalari" [elektron pochta himoyalangan]
Vasyaning elektron pochta manzilini biznikiga almashtiramiz va skriptni bajariladigan qilib qo'yamiz:
$ sudo chmod +x /etc/cron.daily/rkhunter.sh
$ sudo rkhunter --yangilash
Aytgancha, uni cron skriptida tekshirish buyrug'idan oldin qo'shishingiz mumkin. Yana ikkita rootkit qidirish vositasi:
$ sudo apt-get install tiger $ sudo tiger $ sudo apt-get o'rnatish lynis $ sudo lynis -c
Aslini olganda, ular bir xil Faberge tuxumlari, ammo ular turli xil asoslarga ega. Ehtimol, ularning yordami bilan rxunter nimani o'tkazib yuborganini aniqlash mumkin bo'ladi. Yangi boshlanuvchilar uchun debsums fayl nazorat summalarini tekshirish vositasidir, o'rnatilgan paketlar standart bilan. Biz qo'yamiz:
$ sudo apt-get install debsums
Keling, tekshirishni boshlaymiz:
$ sudo debsums -ac
Doimgidek? ishga tushirish cron ishlariga qo'shilishi mumkin.
Keling, Internetda anonimlikni qanday saqlash va turli mualliflik huquqi egalari tashkilotlari va boshqa Mizulinlar iltimosiga binoan bloklangan saytlar va sahifalarga qanday kirish haqida gapiraylik. Buning eng oson yo'li butun dunyo bo'ylab minglab proksi-serverlardan birini ishlatishdir. Ularning ko'pchiligi bepul, lekin ko'pincha kanalni qadimgi analog modem tezligiga qisqartiradi.
Veb-saytlarni osongina ko'rib chiqish va faqat kerak bo'lganda proksi-serverni yoqish uchun siz Chrome va Firefox uchun ko'plab kengaytmalardan birini ishlatishingiz mumkin, ularni proksi-server so'rovi bo'yicha katalogda osongina topish mumkin. Biz o'rnatamiz, kerakli proksi-serverlar ro'yxatini kiritamiz va sahifa o'rniga "Janob Skumbrievichning iltimosiga binoan sahifaga kirish cheklangan" belgisini ko'rib, keraklisiga o'tamiz.
Agar butun sayt filtr ostida bo'lsa va uning manzili provayderlarning DNS serverlari tomonida qora ro'yxatga kiritilgan bo'lsa, siz manzillari e'lon qilingan bepul DNS serverlaridan foydalanishingiz mumkin. O'zingizga yoqqan ikkita manzilni oling va ularni /etc/resolv.conf ga qo'shing:
Nameserver 156.154.70.22 nom serveri 156.154.71.22
Turli DHCP mijozlari va NetworkManagerlar provayder yoki routerdan olingan manzillar bilan faylni qayta yozishni oldini olish uchun kengaytirilgan atributlar yordamida faylni qayta yozilmaydi:
$ sudo chattr +i /etc/resolv.conf
Shundan so'ng, fayl hamma uchun, shu jumladan root uchun yozishdan himoyalangan bo'ladi.
Ko'rib chiqish tajribangizni yanada anonimlashtirish uchun siz saytning o'ziga ulanish uchun ishlatiladigan proksi-serverdan tashqari DNS serveriga barcha so'rovlarni shifrlaydigan dnscrypt demonidan ham foydalanishingiz mumkin. O'rnatish:
$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install
/etc/resolv.conf da qayta tiklash manzilini belgilang:
$ vi /etc/resolv.conf nom serveri 127.0.0.1
Demonni boshlaylik:
$ sudo dnscrypt-proksi --daemonizatsiya
Aytgancha, Windows, iOS va Android uchun dnscrypt versiyalari mavjud.
Piyoz marshruti nima? Bu Tor. Tor esa, o'z navbatida, to'liq yaratish imkonini beruvchi tizimdir anonim tarmoq Internetga kirish imkoniyati bilan. Bu erda "piyoz" atamasi har qanday ish modeliga ishora qilish uchun ishlatiladi tarmoq paketi shifrlashning uchta qatlamiga "o'ralgan" bo'ladi va qabul qiluvchiga yo'lda uchta tugun orqali o'tadi, ularning har biri o'z qatlamini olib tashlaydi va natijani yanada uzatadi. Albatta, hamma narsa murakkabroq, ammo biz uchun yagona muhim narsa shundaki, bu tarmoqni tashkil etishning bir nechta turlaridan biri bo'lib, u sizga to'liq anonimlikni saqlashga imkon beradi.
Biroq, anonimlik mavjud bo'lgan joyda, ulanish bilan bog'liq muammolar ham mavjud. Tor-da ulardan kamida uchtasi bor: u juda sekin (shifrlash va tugunlar zanjiri orqali uzatish tufayli), u sizning tarmog'ingizga yuk yaratadi (chunki siz o'zingiz tugunlardan biri bo'lasiz) va u zaif trafikni to'xtatish uchun. Ikkinchisi Tor tarmog'idan Internetga kirish imkoniyatining tabiiy natijasidir: oxirgi tugun (chiqish) shifrlashning oxirgi qatlamini olib tashlaydi va ma'lumotlarga kirish huquqiga ega bo'ladi.
Biroq, Torni o'rnatish va ishlatish juda oson:
$ sudo apt-get o'rnatish tor
Hammasi shu, endi mahalliy mashinada Tor tarmog'iga olib boradigan proksi-server bo'ladi. Manzil: 127.0.0.1:9050, uni xuddi shu kengaytmadan foydalanib brauzerga kiritishingiz yoki sozlamalar orqali qo'shishingiz mumkin. Bu HTTP proksi-server emas, balki SOCKS ekanligini unutmang.
Kirish uchun buyruq qatori parol tarixda saqlanmagan bo'lsa, siz "buyruqning boshida bo'sh joy qo'shish" deb nomlangan aqlli hiyladan foydalanishingiz mumkin.
Bu Ubuntu-da uy katalogini shifrlash uchun ishlatiladigan ecryptfs.
Men uy egasiga suv bosishga yordam beradigan bir nechta buyruqlar beraman.
Muayyan portdagi ulanishlar sonini hisoblash:
$ netstat -na | grep ":port\ " | wc -l
"Yarim ochiq" TCP ulanishlar sonini hisoblash:
$ netstat -na | grep ":port\ " | grep SYN_RCVD | wc -l
Ulanish so'rovlari keladigan IP manzillar ro'yxatini ko'ring:
$ netstat -na | grep ":port\ " | saralash | uniq -c | sort -nr | Ozroq
tcpdump yordamida shubhali paketlarni tahlil qilish:
# tcpdump -n -i eth0 -s 0 -w output.txt dst port porti va IP server hosti
Biz tajovuzkorning ulanishlarini to'xtatamiz:
# iptables -A INPUT - tajovuzkorning IP-si -p tcp --destination-port port -j DROP
Biz bitta IP dan ma'lum bir portga "yarim ochiq" ulanishlarning maksimal sonini cheklaymiz:
# iptables -I INPUT -p tcp --syn --dport port -m iplimit --iplimit-10 dan yuqori -j DROP
ICMP ECHO so'rovlariga javoblarni o'chirib qo'ying:
# iptables -A INPUT -p icmp -j DROP --icmp-turi 8
Ana xolos. Tafsilotlarga kirmasdan va qo'llanmalarni o'rganishga hojat qoldirmasdan, biz Linux-boksni yaratdik, u tashqi hujumlardan, rootkitlardan va boshqa infektsiyalardan, insonning bevosita aralashuvidan, trafikni ushlab turish va kuzatuvdan himoyalangan. Qolgan narsa - tizimni muntazam yangilash, taqiqlash parol kiritish SSH orqali keraksiz xizmatlarni olib tashlang va konfiguratsiya xatolaridan qoching.
