Security | Записки системного администратора

Архивы рубрики ‘Security’

Cоздание своего центра сертификации с помощью openssl

Апрель 11th, 2018

Evgeniy Kamenev

1.Создание корневого сертификата, которым будут подписываться сертификаты для web-сайтов

# openssl req -x509 -nodes -days 3650 -newkey rsa:4096 -keyout rootCA.key -out /etc/ssl/certs/root-ca.crt -subj '/C=UA/ST=Kievskaya/L=Kiev/O=IT/OU=IT-Department/CN=Root-CA' -sha256

1	# openssl req -x509 -nodes -days 3650 -newkey rsa:4096 -keyout rootCA.key -out /etc/ssl/certs/root-ca.crt -subj '/C=UA/ST=Kievskaya/L=Kiev/O=IT/OU=IT-Department/CN=Root-CA' -sha256

.................................................................................................++
............................................++
writing new private key to 'rootCA.key'

.................................................................................................++

............................................++

writing new private key to 'rootCA.key'

Просмотр корневого сертификата

# openssl x509 -text -noout -in /etc/ssl/certs/root-ca.crt | less

1	# openssl x509 -text -noout -in /etc/ssl/certs/root-ca.crt \| less

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 17210735429407170498 (0xeed8d0afc90b5fc2)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=UA, ST=Kievskaya, L=Kiev, O=IT, OU=IT-Department, CN=Root-CA
        Validity
            Not Before: Apr 11 08:29:46 2018 GMT
            Not After : Apr  8 08:29:46 2028 GMT
        Subject: C=UA, ST=Kievskaya, L=Kiev, O=IT, OU=IT-Department, CN=Root-CA
……

Certificate:

Data:

Version: 3 (0x2)

Serial Number: 17210735429407170498 (0xeed8d0afc90b5fc2)

Signature Algorithm: sha256WithRSAEncryption

Issuer: C=UA, ST=Kievskaya, L=Kiev, O=IT, OU=IT-Department, CN=Root-CA

Validity

Not Before: Apr 11 08:29:46 2018 GMT

Not After : Apr 8 08:29:46 2028 GMT

Subject: C=UA, ST=Kievskaya, L=Kiev, O=IT, OU=IT-Department, CN=Root-CA

……

Проверка md5-хеш суммы корневого сертификата и ключа

# openssl x509 -noout -modulus -in /etc/ssl/certs/root-ca.crt | openssl md5

1	# openssl x509 -noout -modulus -in /etc/ssl/certs/root-ca.crt \| openssl md5

(stdin)= 503d3517d3114f56ac28c67f98a1d363

1	(stdin)= 503d3517d3114f56ac28c67f98a1d363

# openssl rsa -noout -modulus -in  rootCA.key | openssl md5

1	# openssl rsa -noout -modulus -in rootCA.key \| openssl md5

(stdin)= 503d3517d3114f56ac28c67f98a1d363

1	(stdin)= 503d3517d3114f56ac28c67f98a1d363

Создание CSR-Запроса для web-сайта domain.com В качестве альтернативного имени используется поддомен www.domain.com и IP-адрес сервера 192.168.1.56 Важно, чтобы поле Subject Alternative Name также содержало и основной домен […]

Опубликовано в рубрике Security

Метки: certificate authority, openssl, self-signed

Комментарии отключены

Установка и настройка IPSEC на Debian8

Ноябрь 3rd, 2016

Evgeniy Kamenev

Первая нода EXT_IP – 10.10.1.43 INT_IP – 192.168.10.1 Внутренняя сеть за первой нодой INT_NET-192.168.10.0/24 Вторая нода EXT_IP – 10.10.1.46 INT_IP – 192.168.20.1 Внутренняя сеть за второй нодой INT_NET-192.168.20.0/24 Задача: связать сети 192.168.10.0/24 192.168.20.0/24 Предпологается,что обе машины являются шлюзами по умолчанию для своих подсетей Настройка GRE-туннеля. Настройка второй ноды: 1.Загрузка модуля

# modprobe ip_gre

1	# modprobe ip_gre

2.Создание туннеля

# ip tunnel add r2r1ft mode gre remote 10.10.1.43 local 10.10.1.46 ttl 255 dev eth0

1	# ip tunnel add r2r1ft mode gre remote 10.10.1.43 local 10.10.1.46 ttl 255 dev eth0

# ip tunnel show

1	# ip tunnel show

[…]

Опубликовано в рубрике Debian/Ubuntu, Security

Метки: gre, ipsec, racoon

Комментарии отключены

Настройка Fail2ban для защиты WordPress

Февраль 21st, 2016

Evgeniy Kamenev

1.Настройка конфигурационного файла fail2ban

# grep -E -v '(#|^$)' /etc/fail2ban/fail2ban.conf

1	# grep -E -v '(#\|^$)' /etc/fail2ban/fail2ban.conf

[Definition]
loglevel = INFO
logtarget = /var/log/fail2ban.log
syslogsocket = auto
socket = /var/run/fail2ban/fail2ban.sock
pidfile = /var/run/fail2ban/fail2ban.pid
dbfile = /var/lib/fail2ban/fail2ban.sqlite3
dbpurgeage = 86400

[Definition]

loglevel = INFO

logtarget = /var/log/fail2ban.log

syslogsocket = auto

socket = /var/run/fail2ban/fail2ban.sock

pidfile = /var/run/fail2ban/fail2ban.pid

dbfile = /var/lib/fail2ban/fail2ban.sqlite3

dbpurgeage = 86400

2.Настройка Fail2ban-фильтров для мониторинга логов Защита против brutoforce админки

# nano /etc/fail2ban/filter.d/wordpress-wp-login.conf

1	# nano /etc/fail2ban/filter.d/wordpress-wp-login.conf

[Definition]
failregex = .*POST /wp-login.php
ignoreregex =

[Definition]

failregex = .*POST /wp-login.php

ignoreregex =

Защита против атаки brutoforce XMLRPC https://blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-wordpress-xmlrpc.html

# nano /etc/fail2ban/filter.d/wordpress-wp-xmlrpc.conf

1	# nano /etc/fail2ban/filter.d/wordpress-wp-xmlrpc.conf

[Definition]
failregex = .*POST /xmlrpc.php
ignoreregex =

[Definition]

failregex = .*POST /xmlrpc.php

ignoreregex =

Защита против проверки возможности создания WordPress-аккаунта

# nano /etc/fail2ban/filter.d/wordpress-wp-register.conf

1	# nano /etc/fail2ban/filter.d/wordpress-wp-register.conf

[Definition]
failregex = ^ .* "GET /wp-login.php\?action=register HTTP/.*" .*$
ignoreregex =

[Definition]

failregex = ^ .* "GET /wp-login.php\?action=register HTTP/.*" .*$

ignoreregex =

3. Настройка Fail2ban для мониторинга логов

# nano /etc/fail2ban/jail.conf

1	# nano /etc/fail2ban/jail.conf

[INCLUDES]
before = paths-fedora.conf
[DEFAULT]
ignoreip = 127.0.0.1/8 159.224.XXX.YYY
ignorecommand =
bantime = 86400
findtime = 7200
maxretry = 5
backend = auto
usedns = warn
logencoding = auto
enabled = false
filter = %(__name__)s
destemail = myname@mydomain.com
sender = root@mydomain.com
mta = sendmail
protocol = tcp
chain = INPUT
port = 0:65535
banaction = iptables-multiport
action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mw = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mwl = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]
action_xarf = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath=%(logpath)s, port="%(port)s"]
action_blocklist_de = blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s"]
action_badips = badips.py[category="%(name)s", banaction="%(banaction)s"]
action = %(action_)s

####Этот блок касается непосредственно защиты Wordpress

[wordpress-wp-login]
port = http,https
logpath = /var/log/nginx/*.log
maxretry = 3
enabled = true
filter = wordpress-wp-login
action = %(action_mwl)s
bantime = 86400
findtime = 7200
maxretry = 3

[wordpress-wp-xmlrpc]
port = http,https
logpath = /var/log/nginx/*.log
maxretry = 3
enabled = true
filter = wordpress-wp-xmlrpc
action = %(action_mwl)s
bantime = 86400
findtime = 7200
maxretry = 3

[wordpress-wp-register]
port = http,https
logpath = /var/log/nginx/*.log
maxretry = 3
enabled = true
filter = wordpress-wp-register
action = %(action_mwl)s
bantime = 86400
findtime = 7200
maxretry = 3

[INCLUDES]

before = paths-fedora.conf

[DEFAULT]

ignoreip = 127.0.0.1/8 159.224.XXX.YYY

ignorecommand =

bantime = 86400

findtime = 7200

maxretry = 5

backend = auto

usedns = warn

logencoding = auto

enabled = false

filter = %(__name__)s

destemail = myname@mydomain.com

sender = root@mydomain.com

mta = sendmail

protocol = tcp

chain = INPUT

port = 0:65535

banaction = iptables-multiport

action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mw = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mwl = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

action_xarf = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath=%(logpath)s, port="%(port)s"]

action_blocklist_de = blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s"]

action_badips = badips.py[category="%(name)s", banaction="%(banaction)s"]

action = %(action_)s

####Этот блок касается непосредственно защиты Wordpress

[wordpress-wp-login]

port = http,https

logpath = /var/log/nginx/*.log

maxretry = 3

enabled = true

filter = wordpress-wp-login

action = %(action_mwl)s

bantime = 86400

findtime = 7200

maxretry = 3

[wordpress-wp-xmlrpc]

port = http,https

logpath = /var/log/nginx/*.log

maxretry = 3

enabled = true

filter = wordpress-wp-xmlrpc

action = %(action_mwl)s

bantime = 86400

findtime = 7200

maxretry = 3

[wordpress-wp-register]

port = http,https

logpath = /var/log/nginx/*.log

maxretry = 3

enabled = true

filter = wordpress-wp-register

action = %(action_mwl)s

bantime = 86400

findtime = 7200

maxretry = 3

Перезапускаем fail2ban

# /etc/init.d/fail2ban restart

1	# /etc/init.d/fail2ban restart

4.Проверка работы фильтра

# fail2ban-regex /var/log/nginx/mydomain.com.log /etc/fail2ban/filter.d/wordpress-wp-login.conf

1	# fail2ban-regex /var/log/nginx/mydomain.com.log /etc/fail2ban/filter.d/wordpress-wp-login.conf

Если необходимо посмотреть строки,которые […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Security, Security, Security

Метки: brutoforce, fail2ban, security, wordpress

Комментарии отключены

Интеграция Fail2ban c CSF для защиты WordPress от bruteforce-атак

Октябрь 23rd, 2015

Evgeniy Kamenev

1. Установка, остановка и удаление с автозагрузки Fail2ban

# apt-get install fail2ban

1	# apt-get install fail2ban

# service fail2ban stop

1	# service fail2ban stop

# update-rc.d -f fail2ban remove

1	# update-rc.d -f fail2ban remove

2.Настройка запуска fail2ban средствами CSF

# nano /etc/csf/csfpost.sh

1	# nano /etc/csf/csfpost.sh

#!/bin/sh
/etc/init.d/fail2ban restart

1 2	#!/bin/sh /etc/init.d/fail2ban restart

3.Отклчючение всех фильтров в Fail2ban

# sed -i "s|enabled = true|enabled = false|g" /etc/fail2ban/jail.conf

1	# sed -i "s\|enabled = true\|enabled = false\|g" /etc/fail2ban/jail.conf

4. Настройка поддержки CSF в Fail2ban

# nano /etc/fail2ban/action.d/csf-ip-deny.conf

1	# nano /etc/fail2ban/action.d/csf-ip-deny.conf

[Definition]
actionstart =
actionstop =
actioncheck =

actionban = csf -d <ip> Added by Fail2Ban for <name>
# curl https://www.cloudflare.com/api_json.html -d 'a=ban' -d 'tkn=<cftoken>' -d 'email=<cfuser>' -d 'key=<ip>'

actionunban = csf -dr <ip>
# curl https://www.cloudflare.com/api_json.html -d 'a=nul' -d 'tkn=<cftoken>' -d 'email=<cfuser>' -d 'key=<ip>'

# [Init]

###### Default Cloudflare API token
# cftoken = XXXXXXXXXXXXXXXXXXXXXXXXXX
###### Default Cloudflare username
# cfuser = me@example.com

[Definition]

actionstart =

actionstop =

actioncheck =

actionban = csf -d <ip> Added by Fail2Ban for <name>

# curl https://www.cloudflare.com/api_json.html -d 'a=ban' -d 'tkn=<cftoken>' -d 'email=<cfuser>' -d 'key=<ip>'

actionunban = csf -dr <ip>

# curl https://www.cloudflare.com/api_json.html -d 'a=nul' -d 'tkn=<cftoken>' -d 'email=<cfuser>' -d 'key=<ip>'

# [Init]

###### Default Cloudflare API token

# cftoken = XXXXXXXXXXXXXXXXXXXXXXXXXX

###### Default Cloudflare username

# cfuser = me@example.com

Если используется Cloudflare, то расскоментируем все строки с одним знаком комментария 5.Замена для всех фильтров Fail2ban действия блокировки на созданный «csf-ip-deny»

# sed -i -e "s|banaction = |banaction = csf-ip-deny\n#banaction = |" /etc/fail2ban/jail.conf

1	# sed -i -e "s\|banaction = \|banaction = csf-ip-deny\n#banaction = \|" /etc/fail2ban/jail.conf

6. […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Security, Security, Security

Метки: cloudflare, csf, fail2ban, iptables

Комментарии отключены

Установка и использование Chkrootkit на Centos/Debian

Май 6th, 2015

Evgeniy Kamenev

1.Установка chkrootkit Centos

# yum install chkrootkit

1	# yum install chkrootkit

Просмотр списка файлов установленных пакетом

# rpm -ql chkrootkit

1	# rpm -ql chkrootkit

Debian

# apt-get install chkrootkit

1	# apt-get install chkrootkit

Просмотр списка файлов установленных пакетом

# apt-file list chkrootkit

1	# apt-file list chkrootkit

Установка из исходников wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

# tar -xzfм chkrootkit.tar.gz

1	# tar -xzfм chkrootkit.tar.gz

# cd chkrootkit-*

1	# cd chkrootkit-*

Собираем модули

# make sense

1	# make sense

Запуск shell-скрипта

# ./chkrootkit

1	# ./chkrootkit

2.Использование chkrootkit Опции утилиты chkrotkit

-h

-h

– просмотр справки

-V

-V

– просмотр версии

-l

-l

– просмотр списка тестов/проверок, которые […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Security, Security

Метки: chkrootkit, security

Комментарии отключены

Установка и настройка Config Server Firewall на Centos/Debian

Апрель 17th, 2015

Evgeniy Kamenev

1.Установка необходимых зависимостей Config Server Firewall Centos

# yum install perl-libwww-perl

1	# yum install perl-libwww-perl

# yum install perl-Time-HiRes

1	# yum install perl-Time-HiRes

Debian

# apt-get install libwww-perl

1	# apt-get install libwww-perl

# apt-get install Time-HiRes

1	# apt-get install Time-HiRes

2.Установка Config Server Firewall

# wget http://www.configserver.com/csf.tgz

1	# wget http://www.configserver.com/csf.tgz

# tar xvfz csf.tgz

1	# tar xvfz csf.tgz

# cd csf

# cd csf

# sh install.sh

1	# sh install.sh

3.Проверка необходимых модулей iptables

# perl /usr/local/csf/bin/csftest.pl либо perl /etc/csf/csftest.pl

1	# perl /usr/local/csf/bin/csftest.pl либо perl /etc/csf/csftest.pl

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK 

RESULT: csf should function on this server

Testing ip_tables/iptable_filter...OK

Testing ipt_LOG...OK

Testing ipt_multiport/xt_multiport...OK

Testing ipt_REJECT...OK

Testing ipt_state/xt_state...OK

Testing ipt_limit/xt_limit...OK

Testing ipt_recent...OK

Testing xt_connlimit...OK

Testing ipt_owner/xt_owner...OK

Testing iptable_nat/ipt_REDIRECT...OK

Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

4.Удаление,если уже были установлены другие firewall, с которыми конфликтует CSF(APF/BFD)

# sh /usr/local/csf/bin/remove_apf_bfd.sh

1	# sh /usr/local/csf/bin/remove_apf_bfd.sh

либо

# sh /etc/csf/remove_apf_bfd.sh

1	# sh /etc/csf/remove_apf_bfd.sh

5.Настройка Config Server Firewall

/etc/csf

/etc/csf

– каталог,содеражащий все конфигураионные файлы

csf.conf

csf.conf

– […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Security, Security

Метки: config server firewall, csf, iptables, lfd, security

Комментарии отключены

Установка и настройка Logwatch на Centos/Debian

Ноябрь 6th, 2013

Evgeniy Kamenev

Установка и настройка Logwatch на Centos 1.Установка logwatch

# yum install logwatch

1	# yum install logwatch

# whereis logwatch

1	# whereis logwatch

logwatch: /usr/sbin/logwatch /etc/logwatch /usr/share/logwatch /usr/share/man/man8/logwatch.8.gz

1	logwatch: /usr/sbin/logwatch /etc/logwatch /usr/share/logwatch /usr/share/man/man8/logwatch.8.gz

2. Настройка основного конфигурационного файла /usr/share/logwatch/default.conf/logwatch.conf

# cp /usr/share/logwatch/default.conf/logwatch.conf /share/logwatch/default.conf/logwatch.conf~

1	# cp /usr/share/logwatch/default.conf/logwatch.conf /share/logwatch/default.conf/logwatch.conf~

# nano /usr/share/logwatch/default.conf/logwatch.conf

1	# nano /usr/share/logwatch/default.conf/logwatch.conf

LogDir = /var/log
TmpDir = /var/cache/logwatch
MailTo = your@email
MailFrom = Logwatch-myservername
Print = No
#Save = /tmp/logwatch
Archives = Yes
Range = yesterday
Detail = High
Service = All
Service = "-zz-network"    
Service = "-zz-sys"        
Service = "-eximstats"     
mailer = "sendmail -t"

LogDir = /var/log

TmpDir = /var/cache/logwatch

MailTo = your@email

MailFrom = Logwatch-myservername

Print = No

#Save = /tmp/logwatch

Archives = Yes

Range = yesterday

Detail = High

Service = All

Service = "-zz-network"

Service = "-zz-sys"

Service = "-eximstats"

mailer = "sendmail -t"

3.Проверка наличия добавленного системой задания по запуску logwatch в планировщик cron

# cat /etc/cron.daily/*logwatch

1	# cat /etc/cron.daily/*logwatch

4.Тестируем работоспособность Logwatch

# logwatch

1	# logwatch

На почту должно прийти письмо от Logwatch с результатами проверок Пояснение параметров /usr/share/logwatch/default.conf/logwatch.conf

LogDir

LogDir

— путь к каталогу, в […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Security, Security

Метки: logwatch

Комментарии отключены

Архивы рубрики ‘Security’

Cоздание своего центра сертификации с помощью openssl

Установка и настройка IPSEC на Debian8

Настройка Fail2ban для защиты WordPress

Интеграция Fail2ban c CSF для защиты WordPress от bruteforce-атак

Установка и использование Chkrootkit на Centos/Debian

Установка и настройка Config Server Firewall на Centos/Debian

Установка и настройка Logwatch на Centos/Debian

Страницы

Свежие записи

Архивы

Рубрики

Админ-панель