# 3. OS Linux basic. Практическая работа 4 Подготовка включает создание публичной и приватной (доступной только состоящим в группе smbgrp пользователям) папок. Создание пользователя и добавление его в группу smbgrp.   выполняется настройка конфигурации samba.  сервис доступен  # 1.1 Получить доступ к папкам и файлам находящимся на файловом сервере Linux, клиентом Linux ip-адрес узла с ОС Linux (Kali):      # 1.2 Получить доступ к папкам и файлам находящимся на файловом сервере Linux, клиентом Windows ip-адрес узла с ОС Windows:  сетевой ресурс доступен. Каталог public открывается:  Каталог private требует ввода УЗ, после этого становится доступен:   # 1.3 Добавить сервис Samba в автозагрузку OS Linux  # 1.4 Настройка iptables Настраиваются правила для iptables для доступа по портам smb и для возможности администрирования (ssh, tcp/22). Правило по умолчанию используется DROP (блокировать все соединения).  Для проверки создаются произвольные файлы.  Открывается новое окно и вводится путь до сетевой папки. Windows не попадает под сеть 192.168.130.128/25, т.к. имеет адрес 192.168.130.1. Попытка открыть сетевой каталог неуспешная:  kali2 входит в сеть 192.168.130.128/25 (ее адрес .136), проверка доступности ресурсов успешная. Правила FW работают корректно:  для сохранения правил и автоматического их добавления при перезагрузке используется утилита iptables-persistent.  команда smbstatus показывает расширенные данные - ip адрес клиента, УЗ и время ее авторизации и др.  # 2.1 Fail2Ban-SSH и Brute-force attack Сервер SSH работает на ВМ kali. ПО Fail2Ban установлено. Проверяется работа службы - запущена:  Содержимое каталога fail2ban:  в конфигурационном файле fail2ban по умолчанию указан сервис sshd:  конфигурация рекомендует для пользовательских настроек создать файл jail.local Конфигурация предусматривает чтение лога auth, фильтрацию по sshd, максимум 3 неправильных попытки входа, блокировку на 1 час:  до выполнения атаки блокировки отсутствуют:  Попытка несколько раз ввести неправильную УЗ - применяется блокировка fail2ban:  в результате fail2ban заблокировал ip-адрес:  Проведение атаки подбора пароля с помощью hydra при выключенной службе fail2ban:  Проведение атаки подбора пароля с помощью hydra c включенной службой fail2ban, ip-адрес забанен, его соединение сбрасывается:  # 3.1 Fail2Ban и Dos/DDoS attack Скачивается и проверяется ключ для репозитория - значение контрольной суммы совпадает:   дбавляется файл с репозиторием nginx:   Проверка статуса службы nginx:  установлено 2 веб-сервера (nginx, apache2), открывается стартовая страница apache2. Для исправления переносится файл index:  Проверка доступности nginx из браузера:  устанавливается пакет ipset:  в файл/etc/nginx/sites-enable/default добавляется параметр limit_req:  в конфирационный файл /etc/nginx/nginx.conf так же параметр limit_req_zone:  и применяются новые настройки сервиса. со стороннего узла выполняется множественное открытие веб-страницы (ctrl + r). Видно, что при превышении заданного лимита выдается ошибка 503:  в логе ngimx видны события превышения лимита:  выполняется настройка fail2ban для интеграции с ngix:  в настройках fail2ban для iptables задается действие - DROP:  проверяются настройки fail2ban (для nginx выполняются проверки):  статистика до начала атаки DDoS (нет заблокированных адресов):  Атака DDoS производится множественным открытием страницы nginx. В результате через некоторое время страница nginx становится недоступной:  статистика fail2ban показывает блокировку одного ip:  в iptables применилось правило блокировки данного ip-адреса:  Таким образом, была настроена защита от DDoS-атак на веб-сервер nginx.