**Отчёт по заданию 4. Занятиe 4. Безопасность Linux серверов .** Выполнил Бершауэр Владислав. Практическая работа №1,2,3. Ход работы: ## **Часть 4.1. "Настройка файлового сервера в корпоративной инфраструктуре".** Unix - сервером выступал kali. Unix - клиентом выступал debian. Windows - клиентом выступал Windows. **Настройка сервера:**   Создание резервной копии:  Проверка сервиса и добавление в автозагрузку:  Создание директории общего доступа:  Настройка прав:  Создание директории приватного доступа:  Создание учеток:  Создание группы пользователей для приватного доступа, а также добавление учеток туда: (изменение группы, которой принадлежит приватная директория. chgrp.)  Настройка паролей:  Редактирование конфига:     Перезагрузка сервиса:  Создадим два текстовых файла для проверки прав доступа:  *UNIX:* Любой пользователь может подключится к public и посмотреть наличие файлов в директории, но не может подключится к private:   Зайдем с учеток. Неверно введенный пароль:  Верно введенный пароль:   *WINDOWS:*  Видим обе директории. Спокойно заходим в public:  Чтобы зайти в директорию private, нужно ввести данные от учетки:   Настроим Samba, ресурс с названием share и дать права на чтение группе пользователей users, но предоставить возможность записи для группы с именем admins, а также пользователю PT: Создадим ресурс:  Юзеров и группы:   Добавление нужных учеток в нужные группы:  Задали пароли:    Конфиг с необходимыми настройками приватности ресурса:  Создание файла для проверки:  Зайдем с учетки PT:  С учетки, не состоящей в актуальном пуле учеток (другой пользователь, не имеющий отношения к Share):  Valid users:   Прочтем файл:   Настройка корзины для общего доступа:  smbstatus:  Команда выводит отчет о текущих соединениях к директориям, кто присоеденился, когда, с какого ip-address, какую директорию используют. Вывод в файл:  Настроим firewall iptables, открыв порты, которые использует SAMBA.  Штатный пакет, позволяющий сохранить правила после перезагрузки системы:   Сами правила:   ## **Часть 4.2. "Fail2Ban-SSH и Brute-force attack".** Обновление ОС:  Установка Fail2Ban:  Запуск:  Файлы в директории:  Откроем файл конфигурации:   Создадим дополнительный файл jail.local и внесем в него фильтр для ssh:  Перезагружаем сервис:  Попытаемся получить бан. Подключимся по ssh и введем три раза неверный пароль:   В итоге получаем:  Зайти снова не можем:  Удалим наш Ip-адрес из бана:  Теперь попробуем сделать подобное, но с брутфорсом (гидрой). Установка:  Первое подключение:  IP заблокирован:   Поменяем значение enable на False в конфиге:  Перезагрузка:  В данный момент никто не блокируется (из-за рестарта):  Запускаем гидру ещё раз и наблюдаем результат:  Отключим fail2ban и запутим hydra:   начал происходить подбор паролей. ## **Часть 4.3. "Fail2Ban и Dos/DDoS attack" на примере nginx.** Установка пакетов, необходимых для подключения apt-репозитория:  Импорт официального ключа, используемого apt для проверки подлинности пакетов:  Проверка:  Отпечаток ключа совпадает с тем, что указан в методических указаниях. Для подключения apt-репозитория для стабильной версии Nging выполним команду:  Для использования пакетов из нашего репозитория вместо распространяемых в дистрибутиве, настроим закрепление:  Установка nginx:  Включение и проверка:  Был установлен помимо nginx сервер apache2, меняем стартовую страничку путем перемещения файла:  Результат:  **DDoS атаки** Установка ipset:  Изменим конфигурацию в /etc/nginx/sites-enabled/default:   Изменение конфигурации в /etc/nginx/nginx.conf:   После этого вбили адрес сервера в браузер, зашли в режим разработчика и начали флудить запросами (ctrl + r):  Вышла ошибка 503:  Лог:  Настройка fail2ban от DDoS атак на наш сервер: Добавим изменения в уже существующий файл jail.local  Посмотрим конфиг /etc/fail2ban/actinond./iptables-common.conf:  Создадим новый файл, из-за того, что настройки конфигурационных файлов по умолчанию могут быть перезаписаны при обновлении:  Перезапустим fail2ban:  iptables пока что ничего не отрабатывает:  Настройки в fail2ban применены:  Сейчас нет заблокированных ip:  Повторим атаку:  Переходим на сервер и смотрим что показывает iptables и fail2ban:   Видим созданное правило и заблокированный ip-адрес. Разблокируем адрес:  Настроим защиту сервера от DoS/DDoS атак, используя тот же fail2ban и ipset: Пользовался информацией с этого сайта: https://ixnfo.com/ustanovka-i-ispolzovanie-ipset.html Создали правило с типом hash:ip, добавили необходимый адрес.Создали iptables:  После применения данных настроек на сайт нельзя зайти.