отключить уязвимую версию протокола sslПротокол SSL и его преемник TLS - это криптографические протоколы, предназначенные для обеспечения безопасности сетевых соединений в интернет. Кроме распространенного HTTPS, предназначенного для веб-соединений, они используются и многими другими приложениями. SSLv1 никогда публично не выпускался, SSLv2 быстро оказался небезопасным.

SFTP chroot ограничение пользователя домашним каталогомSFTP - SSH File Transfer Protocol или Secure Transfer Protocol. Протокол безопасной передачи данных по зашифрованному ssh каналу. Возможность работы с sftp сервером есть практически во всех ftp клиентах. В linux, стандартный клиент для командной строки так и называется, sftp. Под windows почти каждый ftp клиент имеет возможность работы по sftp (filezilla, fireftp), мне больше по душе WinSCP, он поддерживает обычный FTP, SFTP, SCP и WebDAV, плюс авторизацию по приватным ключам ssh.

Еще один вариант использования модуля geoip с серверным софтом. В довесок к iptables - geoipи nginx - geoip, будем юзать geoip в компании с фтп сервером proftpd.

Модуль geoip, не входит в список стандартных модулей iptables, его нужно установить вместе с остальными дополнительными модулями фаервола.
root@vmstat:# apt-get install xtables-addons-common
если сейчас попытаться добавить блокирующее правило в iptables, получим такой выхлоп:
root@vmstat:# iptables -I INPUT ! -i lo -p tcp --dport 80 -m geoip --src-cc US -j DROP
Could not open /usr/share/xt_geoip/LE/US.iv4: No such file or directory

Собственно зачем вообще запрещать доступ к сайту по географическому признаку ? Да просто 80% IP адресов участвующих в ddos атаке, как правило принадлежат странам, жители которых никогда не зайдут на данный сайт, естественно это сугубо индивидуально для каждого ресурса и если вы знаете что часть ваших посетителей приходит из Эфиопии или Чили, блокировать их, вы вряд-ли захотите. У большинства-же моих клиентов, географическое расположение посетителей, как правило ограничивается Европой и бывшим СССР, остальных можно смело игнорировать.

Ранее, я уже рассказывал о защите Unix сервера от подбора паролей ( bruteforce ). Речь шла об SSH и программе sshguard, фиксирующей неудачные попытки входа в систему по данному протоколу. Здесь хотелось-бы рассказать о более комплексном решении, для защиты практически любого сервиса - программе Fail2ban.
Смотрим dmesg, чисто в профилактических целях, обнаруживаем массу сообщений вида: nf_conntrack: table full, dropping packet. Из названия видно кто является источником данного косяка — фаервол iptables , если конкретно показывать пальцем, то nf_conntrack. Один из модулей netfilter, отслеживающий состояния соединений и классифицирующий пакеты, этим соединениям, принадлежащие.

Итак, стоит следующая задача: установить и настроить OpenVPN сервер с сертификатной аутентификацией. Весь трафик пользователя ( веб, icq, почта и т.д. ), при подключении VPN, должен автоматически направляться через защищенный канал, без каких либо дополнительных настроек приложений. На выходе получаем трафик с IP адреса OpenVPN сервера.
Сервер стоит на операционной системе CentOS.

Чтение лог-файлов, для любого вменяемого системного администратора, является довольно повседневным занятием, делать это можно по разному, речь сейчас пойдет не об этом. Вряд-ли найдется человек, занимающийся удаленным администрированием и ни разу не сталкивавшийся с логом авторизации в системе, буквально заваленным тысячами сообщений о неудачных попыток входа в систему по протоколу SSH. Напомню, что SSH является стандартом для подключения и администрирования удаленных систем, кстати, не только в мире UNIX, и входит в стандартный набор установленных пакетов, многих UNIX дистрибутивов, FreeBSD в частности.
Как и в любой многопользовательской системе, в операционных системах Unix, есть механизм управления доступом пользователей к тем или иным ресурсам системы ( процессорное время, память, файлы, директории и прочее ). Основными участниками данного механизма являются: Пользователь ( user ), Группа ( group ), Другие ( Other ), основными правами доступа в Unix, являются:
  • права доступа на чтение;
  • права доступа на запись;
  • права доступа на выполнение;
RSS-материал