# Занятие 4. Безопасность Linux серверов
## 1. Настройка файлового сервера в корпоративной инфраструктуре
Для развертывания файлового сервера на системах Linux используется инструмент SAMBA. Ниже перечислены действия по его установке и настройке.
Прежде всего следует обновить локальную базу пакетов:
Далее установите пакеты из главного репозитория:
Создайте резервную копию файла конфигурации Samba:
Создайте или выберете директорию, к которой все пользователи будут иметь общий доступ:
Перейдите к этому каталогу и измените режим доступа и владельца:
Создайте или выберете каталог, к которому иметь доступ будут ограниченное число пользователей:
Создайте группу пользователей, которые будут иметь доступ к приватным данным:
Создайте нужных пользователей с помощью команды useradd:
Добавьте созданных пользователей в группу:
Измените группу, которой принадлежит приватная директория:
Задайте пароль, с помощью которого пользователь будет подключаться к каталогу:
Откройте файл конфигурации на редактирование с помощью текстового редактора:
Чтобы изменения вступили в силу, перезапустите сервис:
Используется диапазон ip адресов от 172.20.10.2 до 172.20.10.4. Посчитаю маску:
Проверить актуальные правила iptables можно командой:
Рабочую копию правил Netfilter хранит в пространстве ядра linux. Ядро по умолчанию разрешает все подключения, что мы видим при выполнении команды iptables с опцией -L При этом все изменения правил, сделанные нами во время работы операционной системы, автоматически обычно никуда не сохраняются при выключении компьютера. Поэтому после очередного включения вы обнаруживаете, что настроенных правил опять нет и везде установлены политики по умолчанию - ACCEPT.
Конечно, заново настраивать каждый раз после перезагрузки компьютера набор правил межсетевого экрана не выгодно, поэтому нам необходимы средства сохранения и восстановления параметров брандмауэра после включения нашей машины. Наиболее распространенных вариантов решения этой проблемы два:
С помощью утилиты iptables-save и загружать их с помощью iptables-restore;
С помощью утилиты iptables-persistent (данный вариант возможен в операционных системах Debian и Ubuntu).
Начну со второго решения:
Чтобы сохранить правила мы можем вызвать следующую команду:
Для загрузки же сохраненных правил мы можем использовать команду:
После перезагрузки правила исчезли. Но после ввода команды загрузки все правила появились:
Теперь попробую первое решение:
Сначала создам директорию в etc, в которой будет конфигурационный файл. Далее туда вставлю правила iptables
Далее использую iptables-restore для восстановления правил
Перезагрузил систему и пробую:
Получил доступ к папкам и файлам находящимся на файловом сервере Linux, клиентом Linux:
Получил доступ к папкам и файлам находящимся на файловом сервере Linux, клиентом Windows:
Добавить сервис Samba в автозагрузку OS Linux
Создам директорию share:
Настрою необходимых пользователей:
Проверяем:
Linux
Аккаунт user(группа users):
Аккаунт admin1 (группа admins):
Имеет как права чтения, так и записи
Аккаунт PT:
Сначала у всех был доступ к чтению, но у admins и PT не было доступа к записи. Исправил это редактированием прав:
Считай я выдал полные права владельцу, группе и остальным. Но samba не дает право записи, например $users, так как у нее свой конфиг. То есть некая абстрация.
Windows:
User:
Доступа к записи нет
Admin1:
Доступ к записи есть:
По умолчанию при удалении файлов из общей папки samba, они удаляются безвозвратно. Администратор файлового сервера Linux может создать сетевую корзину. Сетевая корзина Samba Recycle Bin это скрытый каталог, в который перемещаются все объекты samba, удаленные пользователями.
Создаем директорию:
Добавим следующие настройки секцию [global]:
```
vfs objects = recycle — включить корзину samba;
recycle:repository — скрытый каталог корзины samba, в котором будут хранится удаленные объекты. Если задать имя каталога в формате /mnt/smb/.recycle/%U, то удаленные файлы будут сохранены в каталог с именем пользователя, удалившего файл или папку;
recycle:keeptree — удалять объекты с сохранением дерева каталогов;
recycle:touch — поменять дату изменения файла при его перемещении в корзину;
recycle:versions — при удалении файлов с совпадающими именами, добавлять к имени номер версии (Copy #N of.);
recylce:excludedir – не помещать объекты из указанных каталогов в корзину;
recycle:exclude — исключить определенные типы файлов;
recycle:maxsize – можно указать максимальный размер файлов, которые нужно помещать в корзину
```
Применим настройки:
Проверим корзину, удалив файл:
Как видим, файл появился в корзине
smbstatus — отчет о текущих соединениях Samba.
-b выводит краткую информацию:
-v выводит подробный отчет
## 2. Fail2Ban-SSH и Brute-force attack
Установим Fail2Ban:
Запустим:
Ознакомимся со всеми файлами в директории Fail2Ban:
самый важный файл - это jail.conf (данный файл содержит фильтры по умолчанию для определенных служб)
Теперь давайте перейдём в нужную директорию и откроем файл конфигурации:
И первое, что мы видим - это то, что нам рекомендуют создать дополнительный файл с .local расширением так как при обновлении Fail2Ban файл jail.conf может тоже обновиться и настройки будут возвращены поумолчанию. (если нужно настраивать фильтры для многих сервисов, то можно использовать jail.conf (но следить за обновлениями) или скопировать его с разрешением .local)
Давайте приступим к этому
Проверим, что fail2ban работает:
Теперь давайте попробуем подключиться по ssh и ввести три раза неправильно пароль
Чтобы посмотреть журналы банов в fail2ban вводим:
и получить более подробно статистику:
Если в конфигурационном файле поменять на false, то ssh начнёт работать корректно и будет давать возможность подключаться.
Соответственно, если сбросить блокировку fail2ban, необходимо сделать следующее:
и проверим, что никто в данный момент не блокируется:
далее запускаем hydra ещё раз:
и проверим ещё раз список блокированных ip-адресов
увидим что fail2ban отработал корректно и заблокировал ip-адрес
Проверим, что будет, если отключить fail2ban и запустить hydra:
Почистил файл логов и начну атаку:
Атаку начал:
видим что происходит подбор.
## 3. Fail2Ban и Dos/DDoS attack на примере nginx.
### 3.1. Разворачивание сервера nginx на базе дистрибутивов Debian.
Теперь нужно импортировать официальный ключ, используемый apt для проверки подлинности пакетов. Скачайте ключ:
Проверьте, верный ли ключ был загружен:
Для подключения apt-репозитория для стабильной версии nginx, выполните следующую команду:
Для использования пакетов из нашего репозитория вместо распространяемых в дистрибутиве, настройте закрепление:
Чтобы установить nginx, выполните следующие команды:
Запустил nginx и открыл страницу в веб-браузере:
Появился apache, но не nginx. Решим эту проблему:
## 3.2.Далее переходим к настройке nginx от DDoS атак на наш сервер.
далее переходим:
тут находится стартовая страничка nginx
выставляем следующие параметры:
limit_req zone=ltwo burst=5 nodelay;
далее переходим в конфигурационный файл nginx.conf:
В данном файле нужно внести следующие изменения:
после чего вбиваем ip-адрес сервера в браузере, переходим в режим разработчика и далее делаем многочисленные запросы: в Chrome это - ctrl+r
после зажатия ctrl+r - выйдет ошибка 503
данные ошибки будут отображаться в log файле:
### 3.2. Настройке fail2ban от DDoS атак на наш сервер.
Давайте найдём параметр бан в jail.conf или во вновь созданном файле jail.local внесём следующие параметры:
Далее переходим в файл:
nano /etc/fail2ban/action.d/iptables-common.conf
но как мы уже знаем, настройки конфигурационных файлов поумолчанию могут быть перезаписаны при обновлении, поэтому создаём новый файл:
Затем делаем рестар fail2ban:
Теперь нам нужно посмотреть, что iptables отрабатывает и наберём:
Уже видим айпишник с windows. Придется проверять на kali сlient
Убедимся. что настройки в fail2ban применились и введём:
также проверим, что сейчас нет заблокированных ip-адресов (кроме айпи windows):
теперь переходим на нашу страничку и вводим ip-адрес сервера в браузере, переходим в режим разработчика и далее делаем многочисленные запросы: в Chrome это - ctrl+r
и видим вот такое сообщение после многочисленных запросов:
переходим на сервер и смотрим что у нас показывает iptables и fail2ban:
Видим, что добавилось правило
Далее переходим и смотрим, что показывает fail2ban:
Тут как раз показывает ip-адреса компьютеров, которые делали многочисленные запросы.
Разблокировать нужный ip-адрес возможно с помощью слудующей команды:
Sign in with Wallet
Connect another wallet