Как стать автором
Поиск
Профиль
Обновить
Поиск
Публикации Хабы Компании Пользователи Комментарии

Блокирование DNS DDoS при помощи пакета fail2ban

Время на прочтение 3 мин
Количество просмотров 35K
Настройка Linux *
Вы уже устали от кучи сообщений от logcheck'а об откаpе в обслуживании запросов к named? Ниже будет написано как ограничить себя от DDoS к named'у при помощи пакета fail2ban.

События о которых идёт речь выглядят так:
System Events
=-=-=-=-=-=-=
Jan 21 06:02:13 www named[32410]: client 66.230.128.15#15333: query (cache)
+'./NS/IN' denied

Однако следует отметить, что в большинстве случаев ip-адрес источника может быть сфальсифицирован. Каждый узел в бот-сети может послать один или несколько пакетов в секунду к DNS-серверу. Сервер в свою очередь отвечает сообщением об ошибке в запросе сфальсифицированному адресу, вызывая отказ в обслуживании у источника.

Устали от того, что ваш DNS сервер используется в качестве оружия в чужих DDoS-атаках? Попробуйте установить себе пакет fail2ban (Debian GNU/Linux). Оригинальный сайт проекта www.fail2ban.org.
Читать дальше →
Всего голосов 9: ↑7 и ↓2 +5
Комментарии 10

Защита игрового сервера Source Dedicated Server от атак небольшими UDP-пакетами

Время на прочтение 2 мин
Количество просмотров 4.9K
Чулан
Перевод
Существует ряд эксплойтов которые Valve почему-то пока не фиксит, а хакеры любители пытаются ими воспользоваться чтобы создавать дискомфортную игру игрокам на сервере. В результате применения данных атак резко возрастает пинг на отдельном игровом сервере и играть становится невозможно. При этом другие игровые сервера запущенные на этом же физическом сервере могут работать в нормальном режиме.

Рассмотрим один из способов борьбы с данным видом вандализма.
Читать дальше →
Всего голосов 7: ↑5 и ↓2 +3
Комментарии 5

9 правил, как защитить свой Asterisk!

Время на прочтение 7 мин
Количество просмотров 118K
Блог компании MyAsterisk


Сейчас все пишут про большое количество атак на Asterisk и прочих PBX. Живой пример из практики — у товарищей хакеров из КНДР не получилось пробраться на Asterisk, стоящий за простеньким роутером ASUS, почему — об этом далее, но зато у них отлично получилось ломануть, а вернее подобрать пароли к IP телефонам Yealink SIP T-22.

Сделать это было не сложно, стандартные пароли admin/admin все еще очень популярны. И, как показала практика, это может стоить десятки тысяч рублей…

Специалисты MyAsterisk Team составили 9 правил, которые помогут избежать атак хакеров и сохранят средства на Вашем счету.
Читать дальше →
Всего голосов 10: ↑6 и ↓4 +2
Комментарии 10

Ejabberd. Защита на костылях

Время на прочтение 3 мин
Количество просмотров 15K
Мессенджеры *
image
Пролог. Я долго не решался написать эту статью. Потому как даже не являясь программистом понимаю, что приведенный код может быть проще и изящнее. Но надеюсь что статья поможет тем, кто столкнулся с такой же дилеммой, а может быть и побудит кого — то на написание более достойного скрипта. Итак, в одном городе, в некоторой компании появился джаббер сервер…
Читать дальше →
Всего голосов 33: ↑28 и ↓5 +23
Комментарии 21

Я построю свой почтовый сервер с Postfix и Dovecot

Время на прочтение 20 мин
Количество просмотров 303K
Настройка Linux *Системное администрирование *
Туториал
image

В рамках программы по унификации установленных серверных систем встала задача по переделке почтового сервера. Вдумчивое изучение мануалов и руководств показало довольно любопытный факт – нигде не было найдено однозначно достоверного руководства или подобия Best Practice по развёртыванию почтовика.

Мануал пошаговый, основывается на внутренней документации компании и затрагивает совершенно очевидные вопросы. Гуру могут не тратить время, ноу-хау здесь нет – руководство является сборной солянкой и публикуется только потому, что все найденные руководства по развёртыванию почтовика напоминали картинку о том, как рисовать сову.
Очень много текста
Всего голосов 78: ↑74 и ↓4 +70
Комментарии 65

Лёгкая настройка Asterisk + Fail2Ban

Время на прочтение 1 мин
Количество просмотров 47K
Системное администрирование **nix *Серверное администрирование *
Recovery mode
Статья устарела и переписана, читайте новую статью.
Всего голосов 15: ↑13 и ↓2 +11
Комментарии 12

Parallels Plesk 12: вот, новый поворот

Время на прочтение 8 мин
Количество просмотров 18K
Блог компании Parallels
Мы в этом году несколько раз высказывали свое мнение о том, что рынок традиционного хостинга уже вряд ли сможет жить, как раньше (например, здесь и на Хабре). Было бы странно, если бы мы проигнорировали эти тенденции при разработке собственных продуктов. Поэтому новую версию решения Parallels Plesk 12.0 (ПО для управления работой всего, что касается веба – доменами, сайтами, почтовыми ящиками, DNS и т.д.) делали с учетом новой реальности, где время исключительно ценовых войн среди хостеров уже прошло. Сегодня на рынке начинают и выигрывают решения добавленной стоимости, направленные на отдельные сегменты аудитории, а не стандартные пакеты VPS или shared hosting, как раньше. Так, по данным Netctaft, те, кто создает предложения в области веб-хостинга под разные целевые аудитории, увеличили свою долю на рынке с 5 до 51% за последние 3 года.
Исходя из этой тенденции, мы разделили продукт на 4 разные «редакции» – для веб-админов, веб-разработчиков, веб-студий и хостеров, у каждой из которых теперь свой набор инструментов и фич. Каких именно – под катом. Мы бы хотели узнать, каких инструментов для ваших сценариев лично вам не хватает.
Читать дальше →
Всего голосов 25: ↑25 и ↓0 +25
Комментарии 18

Fail2ban и nginx: блокируем нежелательный трафик к определенному URL

Время на прочтение 2 мин
Количество просмотров 52K
Системное администрирование *
Доброго времени суток!

Несколько дней назад на одном из своих сайтов заметил подозрительную активность, вызванную перебором паролей. Произошло это как раз тогда, когда в сеть попали файлы с несколькими миллионами почтовых ящиков и паролей к ним. После бана в iptables нескольких адресов злоумышленники начали подбирать пароли с бОльшего количества адресов и вручную банить их уже стало неудобно. Как была решена эта проблема расскажу под катом.

Читать дальше →
Всего голосов 23: ↑21 и ↓2 +19
Комментарии 17

Fail2ban [incremental]: Лучше, быстрее, надежнее

Время на прочтение 9 мин
Количество просмотров 155K
Информационная безопасность *
fail2ban image
Про fail2ban написано уже много, в том числе и на хабре. Эта статья немного о другом — как сделать защиту им еще надежнее и о еще пока неизвестных в широких кругах новых функциях fail2ban. Добавлю сразу — речь пойдет пока про development branch, хотя уже долго проверенный в бою.

Краткое вступление


В большинстве своем fail2ban устанавливается из дистрибутива (как правило это какая-нибудь стабильная старая версия) и настраивается по манам из интернета за несколько минут. Затем годами работает, без вмешательства админа. Нередко даже логи, за которыми вроде как следит fail2ban, не просматриваются.
Так вот, сподвигнуть на написание этого поста меня заставил случай, произошедший с одним сервером моего хорошего знакомого. Классика жанра — пришла абуза, за ней вторая и пошло поехало. Хорошо еще злоумышленник попался ленивый — логи не потер, да и повезло еще крупно, что logrotate был настроен, чтобы хранить логи месяцами.
Как дальше жить
Всего голосов 72: ↑71 и ↓1 +70
Комментарии 60

Интеграция Fail2ban с CSF для противодействия DDoS на nginx

Время на прочтение 12 мин
Количество просмотров 33K
Блог компании SIM-Networks IT-инфраструктура *Nginx *
Туториал
Набор скриптов ConfigServer Security & Firewall (CSF) изначально обладает достаточно богатыми возможностями по организации защиты сервера хостинга Web с помощью фильтра пакетов iptables. В частности с его помощью можно противостоять затоплению атакуемого хоста пакетами TCP SYN, UDP и ICMP слабой и средней силы. Дополняет CSF встроенный Login Failure Daemon (lfd), который осуществляет мониторинг журналов на предмет наличия многочисленных неудачных попыток авторизации в различных сетевых сервисах с целью подбора пароля. Такие попытки блокируются путем внесения адреса IP злоумышленника в черный список CSF.
Читать дальше →
Всего голосов 28: ↑26 и ↓2 +24
Комментарии 14

Перманентный бан злоумышленников при помощи Fail2Ban + MikroTik

Время на прочтение 10 мин
Количество просмотров 36K
Информационная безопасность *Python *Asterisk *
Из песочницы
Несколько дней назад я установил Asterisk, загрузил свою старую конфигурацию с маршрутизацией вызовов и намеревался подключиться к местному SIP провайдеру. Буквально через несколько минут после запуска Asterisk'а обнаружил в логах попытки авторизации на сервере, что меня ничуть не удивило, т.к. такая картина наблюдается на любом астериске, смотрящем в Интернет. Было принято волевое решение поиграться с любимым микротиком и не менее любимым питоном, и придумать, что делать с этими злоумышленниками.

Итак, у нас имеется:
  • Ubuntu Server 14.04 (думаю не принципиально, должно работать на других дистрибутивах)
  • Fail2Ban
  • MySQL
  • Asterisk (или любой другой сервис, который нужно защитить от брут форс атак)
  • Роутер MikroTik
  • Руки
  • Желание изобрести велосипед


После прочтения пары статей (один, два) родился следующий концепт:
  1. баним злоумышленника на определённое время при помощи Fail2Ban и добавляем запись с его IP адресом в БД MySQL
  2. после определённого количества выданных банов добавляем IP адрес в список запрещённых на роутере

Читать дальше →
Всего голосов 19: ↑18 и ↓1 +17
Комментарии 12

Облака — белогривые лошадки или безопасный ownCloud для «маленьких» в FreeNAS

Время на прочтение 13 мин
Количество просмотров 59K
Серверное администрирование *Хранение данных *
Из песочницы
image
ownCloud, как утверждает Википедия — это Свободное и открытое веб-приложение для синхронизации данных, расшаривания файлов и удалённого хранения документов в «облаке». И, как мне кажется, довольно интересное решение для организации собственного домашнего облака.

Однако, ownCloud, устанавливающийся в виде плагина в системе FreeNAS, да и просто из коробки, имеет ряд недостатков, от которых хотелось бы избавится даже при использовании дома:
  • Во-первых, устанавливается в связке с SQLite, что подходит только если у вас небольшое кол-во файлов и пользователей, и абсолютно не подходит, если вы планируете синхронизацию с помощью клиента. У меня же хранилище уже расползлось почти на 5Tb и установленный таким образом ownCloud просто отказывался видеть часть файлов. Да и без синхронизации отдача от облака не велика. Заменим базу данных на MariaDB.
  • Во-вторых, отсутствует работа по https, а мне совсем не нравится мысль о том, что кто-то может перехватить мои файлы. Включим https.
  • В-третьих, начисто отсутствует защита от банального подбора пароля методом брутфорса. Защитимся от брутфорса с помощью fail2ban.
  • В-четвёртых, мне лень часто просматривать логи на предмет взлома, но очень хочется оперативно узнавать о таких попытках. Настроим push-оповещения о попытках подбора пароля с помощью сервиса pushover.net.

Как же это всё сделать
Всего голосов 26: ↑23 и ↓3 +20
Комментарии 48

Настройка безопасности сайтов на VPS/VDS

Время на прочтение 6 мин
Количество просмотров 18K
Информационная безопасность *Разработка веб-сайтов *PHP *
Вы приобрели выделенный или виртуальный сервер, либо слепили свой в домашних условиях. И теперь пришло время задуматься о безопасности сайтов, так как брешь в одном из них может подвергнуть опасности и все остальные.

На хостинге эти проблемы решает сам хостер, а вот на собственном сервере это уже задача администратора. И даже если у Вас хостинг с предустановкой, то вероятность того, что на нем ограничены права для каждого пользователя и сайта маловероятна. Скорее всего Ваш провайдер ограничился установкой стандартных приложений vsftpd, Apache, nginx, php, mysql и тд и тп.

Будем считать, что необходимый комплект на сайте установлен и пришло время позаботиться о безопасности. Если же нет, то находим подходящую инструкцию по «настройке nginx в качестве front-end к apache» и возвращаемся к вопросу безопасности.

Безопасность будем строить из следующих принципов:

Первое это создание пользователей с оболочкой /bin/false на примере vsftpd и proftpd. Это ограничит выполнение скриптов в пределах собственной директории.

Второе разделение пользователей на сайте. Мы сможем запускать наши сайты от имени разных юзеров, и доступ к одному из них, никоим образом не подвергнет опасности другой.

Также я укажу на несколько других известных мне моментов безопасности, если я что-то упустил, то буду рад дополнить статью. А так как единой статьи указывающей на все необходимые моменты безопасности на просторах интернета я не нашел, то думаю статья будет достаточно полезной.

По сути данную памятку я писал для себя исходя из уже существующего и работающего сервера, как завершающий этап установки, так что статья подойдет и для тех, кто только устанавливает сервер, так и для тех, кто хочет его обезопасить и немного ускорить php-интерпретатор, так как этой темы тоже придется коснуться.

Читать дальше →
Всего голосов 17: ↑8 и ↓9 -1
Комментарии 14

Установка VNC сервера, и настройка его работы поверх SSH

Время на прочтение 6 мин
Количество просмотров 183K
Блог компании ua-hosting.company
Туториал

Да, отчего-то не все клиенты хотят работать в таком удобном и черном терминале, панель полностью не удовлетворяет их эстетические потребности, и вообще — «где мой такой любимый и удобный VNC?».
вопрос привычки и вкуса

В данной статье будет рассмотрен пример установки и настройки VNC server и графической оболочки (GUI) на примере OC Debian 8 jessie.

читать дальше
Всего голосов 24: ↑18 и ↓6 +12
Комментарии 15

Лёгкая настройка Asterisk + Fail2Ban

Время на прочтение 1 мин
Количество просмотров 35K
*nix *
Recovery mode
В сентябре 2013 я опубликовал крайне популярную статью с таким-же названием. Однако с тех пор всё радикально поменялось со стороны fail2ban — добавлена поддержка asterisk «из коробки», а также с версии 0.9 радикально изменился формат конфигурационных файлов. Поэтому я публикую новую статью на эту тему, так как действия по настройке теперь тоже радикально иные.

До момента появления лога security в Asterisk 10-й версии fail2ban не мог корректно защищать asterisk от популярного вида атак — подбора sip пароля к экстеншенам, т.к. в обычных логах asterisk ip-адрес атакующего не отображался.
С появлением лога security эта проблема решена.

Если у вас Asterisk 10 и новее, его успешно можно использовать на пару с fail2ban. Настройка довольно простая.

Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Комментарии 7

Fail2ban 0.10: Новые возможности. Тест открыт

Время на прочтение 3 мин
Количество просмотров 19K
Информационная безопасность *

Это анонс новой версии fail2ban (пока тестовая альфа-ветка), в которой помимо многих других улучшений и вкусностей, хоть и с опозданием, все же появилась давно запланированная поддержка IPv6.
Время, будь оно не ладно — летит с бешеной скоростью.

Читать дальше →
Всего голосов 29: ↑27 и ↓2 +25
Комментарии 22

Первые 10 минут на сервере

Время на прочтение 8 мин
Количество просмотров 58K
Блог компании Rootwelt Информационная безопасность *
Туториал
Перевод

Азбука безопасности Ubuntu


«Мои первые 5 минут на сервере» Брайана Кеннеди — отличное введение, как быстро обезопасить сервер от большинства атак. У нас есть несколько исправлений для этой инструкции, чтобы дополнить ею наше полное руководство. Также хочется подробнее объяснить некоторые вещи для более юных инженеров.

Каждое утро я проверяю почтовые уведомления logwatch и получаю основательное удовольствие, наблюдая несколько сотен (иногда тысяч) безуспешных попыток получить доступ. (Многие довольно прозаичны — попытки авторизоваться как root с паролем 1234 снова и снова). Приведённая здесь общая методика подходит для серверов Debian/Ubuntu, которые лично мы предпочитаем всем остальным. Они обычно служат только хостами для контейнеров Docker, но принципы те же.

На больших масштабах лучше использовать полностью автоматические установки с инструментами вроде Ansible или Shipyard, но иногда вы просто поднимаете единственный сервер или подбираете задачи для Ansible — для таких ситуаций предназначена инструкция.

Примечание: Эта справка создана как базовая азбука. Её следует расширить и дополнить в соответствие с вашими потребностями.
Читать дальше →
Всего голосов 54: ↑40 и ↓14 +26
Комментарии 55

Мониторинг лог-журналов: Такой уязвимый лог или как подложить свинью коллегам

Время на прочтение 11 мин
Количество просмотров 20K
Информационная безопасность *Программирование *Анализ и проектирование систем *Системное программирование *

Мониторинг или анализ лог-журналов, касается ли это темы безопасности, анализа нагрузки, или создания статистики и аналитики для продажника или кормежки какой-либо нейронной сети, часто связан со множеством проблем.


К сожалению часто связано это и с человеческим фактором, а именно с нежеланием или непониманием некоторых простых довольно вещей многими разработчиками программ, API и сервисов, логирующих в журнал ту самую, так необходимую для мониторинга информацию.
Ниже именно то, как это часто делается и почему так дальше жить нельзя. Мы поговорим про форматы логов, разберем пару примеров, напишем несколько регулярных выражений и т.д…


Дорогие коллеги, конечно же это ваше дело, как и что вы пишете в логи своей программы, однако задуматься только ли для себя вы это делаете, все же стоит… Возможно, кроме вас, на эту строчку сейчас с отчаяньем смотрит какой-нибудь пользователь вашей программы, а то и умный до нельзя, но матерящийся почем зря, бот.


Меня же написать этот пост, заставил очередной фэйл с непростым таким для анализа форматом лога, приведший к очередной "уязвимости", вплоть до написания готового эксплойта в процессе поиска.


И если я этой статьей сподвигну хоть одного разработчика задуматься, — это уже будет большое дело, и возможно, в следующий раз анализируя журналы, писаные его программой, его не помянут грязным словом, а напротив благодарно похвалят.

Люди, включайте мозг ...
Всего голосов 36: ↑36 и ↓0 +36
Комментарии 18

История создания домашнего облака. Часть 2. Создание сервера — настройка LAMP в Debian

Время на прочтение 24 мин
Количество просмотров 38K
Настройка Linux **nix *Резервное копирование *Софт DIY или Сделай сам
Туториал
На пути создания своего облачного сервиса пока мы только освоились в системе Debian. Теперь пришла пора для следующего шага — создание и настройка веб-сервера, на базе которого можно будет запустить Nextcloud.
Читать дальше →
Всего голосов 21: ↑20 и ↓1 +19
Комментарии 20

Дополнительные программные средства безопасности для NAS

Время на прочтение 24 мин
Количество просмотров 11K
Настройка Linux *Информационная безопасность *IT-инфраструктура *Сетевые технологии *DIY или Сделай сам


Цикл статей назван "Построение защищённого NAS". Поэтому в данной статье будет рассматриваться повышение уровня защищённости. Также, будут описаны и те инструменты, которые я не использовал, но возможно применить.

Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 7
1
2

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка Вернуться на старую версию
© 2006–2023, Habr