--- tags: OS Linux Basic --- # Занятие 4. Безопасность Linux серверов ## Практическая работа №4.1 "Настройка файлового сервера в корпоративной инфраструктуре" * Обновили репозитории  * Установили samba  * Добавили в автозагрузку  * Сделали резеврную копию конфига  * Создали директорию  * Назначили права  * Создали 3 пользователя  * Создали 2 группы  * Добавили пользователей в группы  * Проверили их наличие в группах  * Задали пароля для подключения через smb  * Настроили конфиг samba. Указали права на запись (группа admins, пользователь pt), права на чтение (группа users)  * Проверили на ошибки  * Перезапустили сервис, проверили статус  * Подключились из Kali Linux и добавили папку  * Подключились из Win пользователем usersmb  * Доступа на запись нет  * Добавили настройки для корзины. %U будет показывать удаленные файлы каждого пользователя  * Выдали права на корзину  * Перезапустили сервис  * Зашли в сетевую папку под пользователем adminsmb и удалили файл "new"  * В корзине видны папки пользователей, удаливших файлы  * А также видно удаленный файл пользователя adminsmb  * Просмотрели содержимое удаленного файла  * Командой smbstatus можно определить ID процесса, какой пользователь/группа подключен к папке, IP-адрес источника подключения, текущую папку, в которой пользователь находится и другие сведения  * Вывели данные команды smbstatus в текстовый файл   * Настроили правила  * Просмотрели их  * Установили iptables-persistent  * После установки правила автоматически прописались в конфиге  * Перезагрузились и проверили, что правила сохранились  ## Практическая работа №4.2 "Fail2Ban-SSH и Brute-force attack" * Обновили репозитории  * Установили fail2ban  * Запустили сервис  * Просмотрели содержимое директории  * Открытили jail.conf  * Создали новый конфиг и настроили фильтрацию для ssh  * Перезапустили службу, проверили состояние  * Подключились по ssh  * Несколько раз ввели неверный пароль. Доступ запрещен  * Просмотрели статус failban-client  * Увидели заблокированный адрес, с которого осуществлялись попытки подключиться  * Это IP-адрес машины Debian  * Разблокировали адрес  * Снова удачно вошли по ssh  * Скачали hydra  * Запустили атаку по ssh  * Видим, что адрес снова заблокировался. Кол-во неудачных попыток: 21  * Разблокировали адрес, проверили его отсутствие  * Остановили службу  * Снова запустили атаку  * В логах видно большое кол-во запросов с IP-адреса 192.168.0.3  * Запустили службу, видим, что адрес заблокировался после анализа логов из /var/log/auth.log  ## Практическая работа №4.3 "Fail2Ban и Dos/DDoS attack" на примере nginx. * Установили пакеты, необходимые для подключения apt-репозитория  * Скачали ключ  * Проверили правильность ключа  * Подключили apt-репозиторий для стабильной версии nginx  * Репозитории обновлены, nginx установлен  * Проверили стартовую страницу  * Настроили файл default  * Настроили конфиг nginx.conf  * Проверили службу  * Открыли в браузере страницу и запустили DDOS-атаку через ctrl+r  * В логах видно большое кол-во запросов с IP-адреса 192.168.0.4  * Это адрес машины Win10, которая участвовала в атаке  ### 2. Настройки fail2ban от DDoS атак на наш сервер. * Fail2ban установлен, ipset установили  * Добавили фильтрацию для nginx  * Открыли iptables-common.conf  * Создали "*.local" и прописали правило  * Вывели цепочки iptables  * Проверили статус fail2ban. Созданные листы применились  * Заблокированные адреса отсутствуют  * Открыли страницу и запустили DDOS-атаку через ctrl+r  * Добавилось правило iptables  * И IP-адрес заблокировался  * Разблокировали данный адрес