|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (18)
просмотр истории страницы{toc} |
h1. Методы защиты сервера биллинга |
... |
{code}cp -p /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local cp -p /etc/fail2ban/jail.conf /etc/fail2ban/jail.local{code} |
* Для ведения отдельного лога по сервису необходимо указать, где он будет располагаться. Для этого открываем файл */etc/fail2ban/fail2ban.local* любым текстовым редактором и указываем значение в поле *logtarget* |
{code}logtarget = /var/log/fail2ban.log{code} |
* Далее, переходим к настройкам, отвечающим за защиту сервисов */etc/fail2ban/jail.conf*. */etc/fail2ban/jail.local*. *Обязательно* добавляем в исключение локальные адреса администратора и внутренние адреса используемые системой для работы. Открываем файл, находим секцию [DEFAULT] указываем следующие параметры |
{code} [ DEFAULT ] backend=systemd |
ignoreip = 192.168.11.1 10.0.0.0/24 127.0.0.1/8 169.254.*.*{code} |
* Переходим к секциям защищаемых сервисов. {warning}Перед сохранением настроек, обязательно проверьте, что параметры заданы корректно, иначе есть риск потери доступа к серверу. {warning} |
h4.Для защиты ssh от подбора пароля указываем следующие настройки: |
h4.Защита ssh от подбора пароля. Указываем следующие настройки: |
{code}[sshd] enabled = true |
... |
findtime = 600 maxretry = 5 |
bantime = 86400{code} |
ignoreip = 88.55.36.000{code} |
Описание полей: enabled - отвечает за включение контроля сервиса |
... |
maxretry - количество некорректных попыток ввода логин:пароль bantime - срок блокировки ip-адреса. |
ignoreip - ip-адрес, которые не будут попадать под обозначенное правило. |
h4. Защита ЛК от попыток сканирования ботами, снижения нагрузки на web-интерфейс ЛК |
... |
filter = apache-noscript logpath = /mnt/log/app/asr_cabinet/log/httpd/error_log |
maxretry = 3 2 |
backend = auto findtime = 600 |
... |
* Блокировка ботов. |
{code}[apache-badbots] |
{code}[apache-badbots] enabled = true |
port = http,https filter = apache-badbots logpath = /mnt/log/app/asr_cabinet/log/httpd/error_log |
maxretry = 3 2 |
findtime = 600 backend = auto |
... |
* Блокировка ip при попытке использовать определенное поведение PHP в ЛК {code} |
[php-url-fopen] |
[php-url-fopen] enabled = true |
port = http,https filter = php-url-fopen logpath = /mnt/log/app/asr_cabinet/log/httpd/access_log |
maxretry = 3 2 |
findtime = 600 backend = auto{code} |
... |
{code}service fail2ban restart{code} |
h3. Список "белых"(легитимных) ip-адресов В некоторых случаях есть необходимость вести список адресов которым можно доверять доступ к определенным сервисам на сервере. В качестве примера, рассмотрим добавление адреса для доступа к ssh, для этого требуется в настройках *jail.local* в разделе sshd назначить параметр с адресом: {code}ignoreip = 5.189.хх.ххх {code} Указанный адрес не будет попадать в обработку правилом для ssh. |
h3. Проверка защищаемых служб. |
... |
`- Banned IP list: {code} |
h43. Снятие блокировки IP |
Для разблокировки валидного адреса необходимо использовать команду |
... |