Linux

Tuning reguł iptables dla masymalnego bezpieczeństwa.

PrzezAdministrator 2024-02-222024-03-09

Postanowiłem robić notatki dotyczące maksymalnego tuningu reguł iptables. Moim celem jest osiągnięcie zmaksymalizowanego bezpieczeństwa. Wpis który teraz czytasz, będzie z czasem się zmieniał, a ja będę tutaj dodawał przetestowane reguły. Jak zwykle, być może kogoś zainspiruje moja zabawa z bezpieczeństwem.

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j SET --add-set blacklist src
-A INPUT -m set --match-set blacklist src -m limit --limit 2/min -j LOG --log-prefix "BLACKLISTA SYNFLOOD: " --log-tcp-options --log-ip-options
-A INPUT -p tcp -m multiport --dports 23,1433,2323,3306,3389,5060,8080 -j SET --add-set blacklist src
-A INPUT -p udp -m multiport --dports 137,138,139,161,5060 -j SET --add-set blacklist src
-A INPUT -m set --match-set blacklist src -m limit --limit 2/min -j LOG --log-prefix "BLACKLISTA INPUT: " --log-tcp-options --log-ip-options
-A INPUT -m set --match-set blacklist src -j DROP
-A INPUT -p tcp -m multiport --dports 21,22,110 -j TARPIT
-A INPUT -p tcp -m multiport --dports 80,443,53 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443,53 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 123 --dport 123 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Ta konfiguracja będzie poprawiana:
Zlikwidowane zostanie całkowicie otwarte połączenie OUTPUT,
Ograniczone zostaną możliwości nawiązania połączeń,
Zwiększona zostanie granulacja poprzez wyszczególnienie adresów IP i mac adresów,
Iptables będzie zabezpieczał przed podstawowymi atakami.

Linux

Zabezpieczenie logowania do linux lokalnie i do konta root (sudo) za pomocą MFA.

PrzezAdministrator 2024-03-242024-03-24

Krok 1. Przygotowanie systemu linux i autentykacji. Zrób update i upgrade systemu. Zainstaluj pakiet google authenticator. Zaloguj się na użytkownika, którym będziesz się logować i wygeneruj sekret. Dla najmocniejszego zabezpieczenia użyj następujących odpowiedzi na pytania: 2. Konfiguracja PAM. Przejdź do /etc/pam.d/common-auth: Zrób wpis w pliku nad credentialem auth [success=1 default=ignore] pam_unix.so nullok Fragment pliku ma…

Linux

Zabezpieczanie logowania SSH kluczem sprzętowym Yubikey.

PrzezAdministrator 2024-04-132024-04-14

Po lewej klucz yubikey BIO.Po prawej klucz sprzętowy yubikey 5 NFC W ostatnim czasie nabyłem dwie pary kluczy sprzętowych najpopularniejszego ostatnio dostawcy, czyli firmy Yubikey. Pierwsza para to klucze sprzętowe yubikey bio. Zabezpieczanie sprzętu odciskiem palca jest moim zdaniem i efektowne i efektywne, ale nie poleciłbym kupowania dużo droższej wersji klucza (BIO) ze względu na…

Linux

Zabezpieczanie logowania do systemu lokalnie za pomocą Yubikey.

PrzezAdministrator 2024-04-132024-04-13

Tym razem zobaczycie jak zabezpieczyć logowanie do systemu lokalnie przez konsolę graficzną. Instalacja potrzebnych pakietów. Najpierw trzeba zainstalować odpowiedni pakiet umożliwiający wykorzystanie technologii FIDO2 Przygotowanie yubikey do zabezpieczenia lokalnego systemu. Teraz musimy „uzbroić” pustą bibliotekę naszym/naszymi yubikeyami. Wkładamy klucz do portu i działamy dalej. Dodanie wpisów dla zabezpieczanych sektorów. Teraz dodajemy odpowiednie wpisy dla sudo…

Linux

Zarządzanie Rotacją Logów w Systemie Linux za Pomocą Logrotate i Crontab.

PrzezAdministrator 2024-01-102024-01-10

W dzisiejszych czasach, kiedy dane są jednym z najcenniejszych zasobów w świecie IT, odpowiednie zarządzanie logami systemowymi i aplikacji jest kluczowe dla utrzymania zdrowego i bezpiecznego środowiska IT. Jednym z najpopularniejszych narzędzi używanych w systemach Linux do zarządzania logami jest logrotate. W połączeniu z crontab, logrotate oferuje potężne i elastyczne rozwiązanie do automatyzacji rotacji i…

Linux

Podstawowa konfiguracja serwera SMB

PrzezAdministrator 2024-01-20

Konfiguracja serwera SMB (Samba) na systemie Linux z podstawowymi zabezpieczeniami wymaga kilku kroków, w tym instalacji oprogramowania, konfiguracji usług i ustawień zabezpieczeń. Oto jak możesz to zrobić: Krok 1 Instalacja serwera SMB na linux na przykładzie Debian/Ubuntu. Na większości dystrybucji Linux możesz zainstalować Samba używając menedżera pakietów. Na przykład na systemach opartych na Debianie/Ubuntu: Krok…

Linux

Konfiguracja Uwierzytelniania Wieloskładnikowego (MFA) na Linuxie – SSH.

PrzezAdministrator 2024-03-232024-03-24

Zrób update i upgrade systemu. Zainstaluj pakiet google authenticator i ssh. Zaloguj się na użytkownika, którym będziesz się logować za pomocą SSH i wygeneruj sekret. Dla najmocniejszego zabezpieczenia użyj następujących odpowiedzi na pytania: Przejdź do pliku konfiguracyjnego SSH: Zmień wpis. Prawidłowo wpis powinien być ustawiony na yes: Dodatkowo dopisz na końcu pliku: Zapisz plik sshd_config…

Podobne wpisy