HackMD - Collaborative Markdown Knowledge Base

## Практическая работа 4. Безопасность Linux серверов ### Практическая работа №4.1 #### Практическая работа “Настройка файлового сервера в корпоративной инфраструктуре” Обновили локальную базу пакетов, рисунок 1 ниже. ![](https://i.imgur.com/pmdzNz3.png) Рисунок 1 Установили пакеты из главного репозитория, рисунок 2 ниже. ![](https://i.imgur.com/ve7gVnU.png) Рисунок 2 Создали резервную копию файла конфигурации Samba, рисунок 3 ниже. ![](https://i.imgur.com/Jco0ob7.png) Рисунок 3 Создали директорию, к которой все пользователи будут иметь общий доступ, рисунок 4 ниже. ![](https://i.imgur.com/TMQUmBI.png) Рисунок 4 Перешли к этому каталогу и изменили режим доступа и владельца, рисунок 5 ниже. ![](https://i.imgur.com/HsSDHJd.png) Рисунок 5 Создали каталог, к которому иметь доступ будут ограниченное число пользователей, рисунок 6 ниже. ![](https://i.imgur.com/7orBxek.png) Рисунок 6 Создали группу пользователей, которые будут иметь доступ к приватным данным, рисунок 7 ниже. ![](https://i.imgur.com/awDWdOF.png) Рисунок 7 Создали нужных пользователей с помощью команды useradd, рисунок 8 ниже. ![](https://i.imgur.com/Sjj62AG.png) Рисунок 8 Добавили созданных пользователей в группу, рисунок 9 ниже. ![](https://i.imgur.com/2GmJdkL.png) Рисунок 9 Изменили группу, которая принадлежит приватная директория, рисунок 10 ниже. ![](https://i.imgur.com/an2E0Vi.png) Рисунок 10 Задали пароль, с помощью которого пользователь будет подключаться к каталогу, рисунок 11 ниже. ![](https://i.imgur.com/b0h09Cl.png) Рисунок 11 Открыли файл конфигурации на редактирование с помощью текстового редактора, например nano, изменили содержимое файла, рисунок 12 и 13 ниже. ![](https://i.imgur.com/WxhVpvO.png) Рисунок 12 ![](https://i.imgur.com/iKQ4vqi.png) Рисунок 13 Перезапустили сервис, рисунок 14 ниже. ![](https://i.imgur.com/IZOicHt.png) Рисунок 14 ### 2. Далее нужно настроить firewall iptables, открыв порты, которые использует SAMBA. Настоятельно рекомендую разрешить только подключения из локального диапазона IP-адресов или виртуальной частной сети. Результат правил на рисунке 15 ниже. ![](https://i.imgur.com/fdtg9Qh.png) Рисунок 15 Сохранили правила, рисунок 16 ниже. ![](https://i.imgur.com/7J92K7s.png) Рисунок 16 Получили доступ к папкам и файлам находящимся на файловом сервере Linux, клиентом Linux, рисунки 17, 18 и 19 ниже. ![](https://i.imgur.com/WqhtbDV.png) Рисунок 17 ![](https://i.imgur.com/0yHfToo.png) Рисунок 18 ![](https://i.imgur.com/Upvjs9w.png) Рисунок 19 Получили доступ к папкам и файлам находящимся на файловом сервере Linux, клиентом Windows, рисунки 20, 21, 22 и 23 ниже. ![](https://i.imgur.com/pkjbomR.png) Рисунок 20 ![](https://i.imgur.com/Xofndf0.png) Рисунок 21 ![](https://i.imgur.com/UxCG67d.png) Рисунок 22 ![](https://i.imgur.com/3CPAfDf.png) Рисунок 23 Добавили сервис Samba в автозагрузку OS Linux, рисунок 24 ниже. ![](https://i.imgur.com/T1FmwIa.png) Рисунок 24 Настроили Samba ресурс с названием share и дали права на чтение группе пользователей users, но предоставить возможность записи для группы с именем admins, а также пользователю PT, рисунок 25, 26, 27, 28, 29, 30, 31, 32 и 33 ниже. ![](https://i.imgur.com/lka4Y7g.png) Рисунок 25 - Создали юзеров и группы ![](https://i.imgur.com/GYTRfV9.png) Рисунок 26 - Добавили в группы ![](https://i.imgur.com/pb3jbFr.png) Рисунок 27 - Настроили конфиг ![](https://i.imgur.com/50HjdN7.png) Рисунок 28 - Разграничили права share ![](https://i.imgur.com/gjasAow.png) Рисунок 29 ![](https://i.imgur.com/E4cX9ce.png) Рисунок 30 ![](https://i.imgur.com/lDgUMTu.png) Рисунок 31 ![](https://i.imgur.com/QoaW7BT.png) Рисунок 32 ![](https://i.imgur.com/lfWQ6r8.png) Рисунок 33 Настроили корзину для общего ресурса, рисунок 34, 35, 36 и 37 ниже. ![](https://i.imgur.com/CruSmVv.png) Рисунок 34 - Общая корзина ![](https://i.imgur.com/32U53GO.png) Рисунок 35 - Создали файл ![](https://i.imgur.com/8D4TlAx.png) Рисунок 36 - Удалили файл ![](https://i.imgur.com/j0aqFFS.png) Рисунок 37 - Увидели файл в корзине Команда smbstatus - это отчет о текущих соединениях Samba, рисунок 38 ниже. ![](https://i.imgur.com/2RrRovk.png) Рисунок 38 Так же можно будет узнать какой пользователь домена открыл тот или иной файл, так как для всех остальных кто имеет к нему доступ, он становится только для чтения. Можно запускать с разными параметрами, например: -b - Выводит краткую информацию; -s - Выводит только список общих ресурсов; ## Практическая работа №4.2 ### Практическая работа "Fail2Ban-SSH и Brute-force attack". Установили Fail2ban, рисунок 39 ниже. ![](https://i.imgur.com/QQjP2Mj.png) Рисунок 39 Запустили Fail2ban, рисунок 40 ниже. ![](https://i.imgur.com/Pk785gU.png) Рисунок 40 Увидели все файлы в директории Fail2ban, рисунок 41 ниже. ![](https://i.imgur.com/1Q2Foli.png) Рисунок 41 Открыли файл конфигурации, рисунок 42 ниже. ![](https://i.imgur.com/I8buHjb.png) Рисунок 42 Создали фильтр для ssh, рисунок 43 ниже. ![](https://i.imgur.com/QFjptUE.png) Рисунок 43 Чтобы для fail2ban дать информацию куда смотреть, вывели содержимое на экран, рисунок 44 ниже. ![](https://i.imgur.com/N5ugeSh.png) Рисунок 44 Создали файл, рисунок 45 ниже. ![](https://i.imgur.com/K2I5fnJ.png) Рисунок 45 Перезапустили сервис, рисунок 46 ниже. ![](https://i.imgur.com/IApYZHN.png) Рисунок 46 Проверили, что fali2ban работает, рисунок 47 ниже. ![](https://i.imgur.com/mQrRSA8.png) Рисунок 47 Ввели команду, чтобы убедиться в результате трех неправильных ввода пароля подключения по SSH, рисунок 48 ниже. ![](https://i.imgur.com/gehYmMV.png) Рисунок 48 Посмотрели журналы банов в file2ban, рисунок 49 ниже. ![](https://i.imgur.com/Fo8e7jZ.png) Рисунок 49 Вывели более подробную статистику, рисунок 50 ниже. ![](https://i.imgur.com/kV2CT5D.png) Рисунок 50 Поменяли в файле конфигурации с true на false, рисунок 51 ниже. ![](https://i.imgur.com/HLp4U95.png) Рисунок 51 Сбросили блокировку fail2ban, рисунок 52 ниже. ![](https://i.imgur.com/7MFSWAh.png) Рисунок 52 Убедились, что никто не блокируется, рисунок 53 ниже. ![](https://i.imgur.com/3XvJ6Sr.png) Рисунок 53 Запустили еще раз hydra и увидели, что fail2ban заблокировал ip-адрес, рисунок 54 ниже. ![](https://i.imgur.com/g67C3vP.png) Рисунок 54 Отключили fail2ban, рисунок 55 ниже. ![](https://i.imgur.com/W1EpoQI.png) Рисунок 55 Запустили hydra, рисунок 56 ниже. ![](https://i.imgur.com/D6FHF8Y.png) Рисунок 56 ### Практическая работа №4.3 #### Практическая работа "Fail2Ban и Dos/DDoS attack" на примере nginx. 1. Разворачивание сервера nginx на базе дистрибутивов Debian. Импортировали официальный ключ, используемый apt для проверки подлинности пакетов, рисунок 57 ниже. ![](https://i.imgur.com/cvC82tO.png) Рисунок 57 Проверили, верный ли ключ был загружен, рисунок 58 ниже. ![](https://i.imgur.com/nNCTxuF.png) Рисунок 58 Подключили apt-репозиторий для стабильной версии nginx, рисунок 59 ниже. ![](https://i.imgur.com/NHBgPE4.png) Рисунок 59 Если предпочтительно использовать пакеты для основной версии nginx, выполнили команду на рисунке 60 ниже. ![](https://i.imgur.com/FSnzM9s.png) Рисунок 60 Для использования пакетов из нашего репозитория вместо распространяемых в дистрибутиве, настроили закрепление, рисунок 61 ниже. ![](https://i.imgur.com/bZavgQJ.png) Рисунок 61 Обновили пакеты, рисунок 62 ниже. ![](https://i.imgur.com/yQ87uu8.png) Рисунок 62 Установили nginx, рисунок 63 ниже. ![](https://i.imgur.com/C1s2zgd.png) Рисунок 63 Перешли на веб-сервер, рисунок 64 ниже. ![](https://i.imgur.com/Klq5wC2.png) Рисунок 64 2.Далее переходим к настройке nginx от DDoS атак на наш сервер. Установили fail2ban, рисунок 65 ниже. ![](https://i.imgur.com/FHwT1wL.png) Рисунок 65 Установили ipset, рисунок 66 ниже. ![](https://i.imgur.com/UQ8lPmY.png) Рисунок 66 Перешли в файл конфигурации и вставили параметры, рисунок 67 ниже. ![](https://i.imgur.com/LbVxJTV.png) Рисунок 67 Далее перешли в файл конфигурации nginx и внесли изменения, рисунок 68 ниже. ![](https://i.imgur.com/CcE8t10.png) Рисунок 68 Ввели ip-адрес в браузере, перешли в режим разработчика и сделали многочисленные запросы, рисунок 69 и 70 ниже. ![](https://i.imgur.com/fheEcKW.png) Рисунок 69 ![](https://i.imgur.com/xFgDzFL.png) Рисунок 70 Увидели данные ошибки в log файле, рисунок 71 ниже. ![](https://i.imgur.com/Y40bXGU.png) Рисунок 71 2. Настройке fail2ban от DDoS атак на наш сервер. Зашли в jail.local и внесли параметры, рисунок 72 ниже. ![](https://i.imgur.com/zdhvXpY.png) Рисунок 72 Перешли в другой файл конфигурации, рисунок 73 ниже. ![](https://i.imgur.com/Ks8jDbo.png) Рисунок 73 Внесли настройку, рисунок 74 ниже. ![](https://i.imgur.com/p8rYCI3.png) Рисунок 74 Сделали рестарт fail2ban, рисунок 75 ниже. ![](https://i.imgur.com/ErJJOne.png) Рисунок 75 Увидели, что iptables отрабатывает, рисунок 76 ниже. ![](https://i.imgur.com/zcMOnRP.png) Рисунок 76 Убедились, что настройки в fail2ban применились, рисунок 77 ниже. ![](https://i.imgur.com/kND1uvq.png) Рисунок 77 Проверили, что нет заблокированных ip-адресов, рисунок 78 ниже. ![](https://i.imgur.com/onPt1cW.png) Рисунок 78 Увидели результат после многочисленных запросов, рисунок 79 ниже. ![](https://i.imgur.com/YZC7IJZ.png) Рисунок 79 Посмотрели, что показал iptables и fail2ban, рисунок 80 и 81 ниже. ![](https://i.imgur.com/YXGNct9.png) Рисунок 80 ![](https://i.imgur.com/zdmMumW.png) Рисунок 81 Разблокировали нужный ip-адрес, рисунок 82 ниже. ![](https://i.imgur.com/jHFZig3.png) Рисунок 82