Автор Тема: Настройка защиты Debian 10  (Прочитано 1740 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sSIDs

  • Новичок форума
  • Topic Author
  • Сообщений: 3
Настройка защиты Debian 10
« : 04 Февраля 2020, 20:49:05 »
Доброго дня!
Друзья, нужна ваша помощь в настройке защиты Debian 10
26 января ломанули домашний сервер на котором фильмы, сериалы и мультки  - PLEX медиа сервер.
как ломанули не понял...вместо фильмов, сериалов в папаке лежал текстовый файл) OopsNOsharingFilesYOU.txt
в нем
BTC 1LGgfryxMwUUCEHkRuey86fCa66g1aUogr
ETH 0x2a616e054f6fc162003f17594073edf4981718c8
DASH XwobwvXac1bP4kp2m8yDMqdSX6jV7a5gcL
ZEC t1M6yW98HPxKyhwyrKjxBKJb1y9vpuRK18u
DOGE DMqw68pdSKXgcGaz4mWERvYu4LyMiiUy5h
LTC LMxEicYTMubM3Xf9cXJbpfriTYUJL3uC5G

=0.002
Voluntary assistance from you. Thank you!
Personal information forever...
_______________________________________

Bonus
https://vk.cc/9leedo

Cloud mining free: https://goo.gl/RmSXNn
Mining you PC BEST: https://goo.gl/EjpHYS

-rw-r--r-- 1 root root 32096 Jan 26 03:55 /var/log/faillog
в нем только ерудна
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@$в в /var/log/samba нашел с какого шифранули IP, скорей всего прокся - 201.234.224.74
на роутере стоит перенаправление порта
PLEX10.240.110.151 TCP/UDP 32400 -> 32400 с купленного белого IP
убрать не могу, иначе не смогу подключаться из вне
===============================================================
 Good evening !                               
===============================================================
  - Hostname      : kino
  - IP Address    : 10.240.110.151
  - Release       : Debian GNU/Linux 10 (buster)
  - Kernel        : Linux 5.4.0-0.bpo.2-amd64
  - Users         : Currently 0 user(s) logged on
  - Server Time   : Tue Feb  4 20:35:18 MSK 2020
  - System load   : 0.37 / 141 processes running
  - Memory used % : 19.1493
  - Swap used %   : 1.28076
  - System uptime : 0 days 4 hours 55 minutes
===============================================================
 
Last login: Tue Feb  4 17:35:24 2020 from 10.240.110.206
sid@kino:~$
 
sid@kino:~$ sudo iptables -V
iptables v1.8.2 (nf_tables)
я с винды через transGUI закидываю торенты в transmisson, качает Debian. шары (samba) для того чтобы в случает корректно закинуть фильм или сериал в нужную папку.
Plex PASS куплен, это значит самая свежая версия ставиться, свежее чем public релиз.
- у меня идея через iptables разрешить доступ только с 2х белых ip откуда я подключаюсь из вне. читаю мануал... пока сложновато в понимании.

конфиг samba
[global]
    workgroup = HOME.LOC
    netbios name = kino
    interfaces = 10.240.110.0/24
    bind interfaces only = yes
    log file = /var/log/samba/log.%m
    max log size = 10000
    logging = file
    log level = 3 passdb:5 auth:5
    panic action = /usr/share/samba/panic-action %d
    server role = standalone server
    security = user
    unix password sync = yes
    passwd program = /usr/bin/passwd %u
    passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    map to guest = bad user
    encrypt passwords = true
    username map = /etc/samba/smbusers
[MOVIES]
    comment = MOVIES
    path = /home/sid/Videos/Фильмы/
    valid users =sid, smbsid
    write list = sid, smbsid
    create mask = 0777
    directory mask = 0777
    force create mode = 0777
    force directory mode = 0777
    inherit owner = yes
    guest ok = no
    browseable = yes
    writable = yes
[SERIALS]
    comment = SERIALS
    path = /home/sid/Videos/Сериалы/
    valid users =sid, smbsid
    write list = sid, smbsid
    create mask = 0777
    directory mask = 0777
    force create mode = 0777
    force directory mode = 0777
    inherit owner = yes
    guest ok = no
    browseable = yes
    writable = yes
[MULTIKI]
    comment = MULTIKI
    path = /home/sid/Videos/Мультфильмы/
    valid users =sid, smbsid
    write list = sid, smbsid
    create mask = 0777
    directory mask = 0777
    force create mode = 0777
    force directory mode = 0777
    inherit owner = yes
    guest ok = no
    browseable = yes
    writable = yes
sid@kino:~$ cat /etc/nftables.conf             
#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;
        }
        chain forward {
                type filter hook forward priority 0;
        }
        chain output {
                type filter hook output priority 0;
        }
}
sid@kino:~$
« Последнее редактирование: 06 Февраля 2020, 09:11:22 от endru »
 

Оффлайн Olej

Re: Re: Настройка файерволла в Дебиан 10
« Ответ #1 : 04 Февраля 2020, 21:33:12 »
PLEX10.240.110.151 TCP/UDP 32400 -> 32400 с купленного белого IP
убрать не могу, иначе не смогу подключаться из вне
Вообще то, для того чтобы иметь возможность подключаться извне совсем не обязательно белый IP покупать ;), например SSH туннели, да и другие способы есть ... см. О доступе к сайту на локалхост извне
« Последнее редактирование: 04 Февраля 2020, 21:36:48 от Olej »
 

Оффлайн Olej

Re: Re: Настройка файерволла в Дебиан 10
« Ответ #2 : 04 Февраля 2020, 21:39:38 »
- у меня идея через iptables разрешить доступ только с 2х белых ip откуда я подключаюсь из вне.
sid@kino:~$ cat /etc/nftables.conf             
#!/usr/sbin/nft -f
Так вам iptables или nftables?
Насколько я смотрел (хотя смотрел, сознаюсь, поверхностно) они несовместимы между собой (не могут использоваться одновременно) + имеют совершенно различный синтаксис описания правил.
 

Оффлайн sSIDs

  • Новичок форума
  • Topic Author
  • Сообщений: 3
Re: Re: Настройка файерволла в Дебиан 10
« Ответ #3 : 04 Февраля 2020, 21:48:55 »
nftables
 

Оффлайн Olej

Re: Re: Настройка файерволла в Дебиан 10
« Ответ #4 : 04 Февраля 2020, 21:49:46 »
у меня идея через iptables разрешить доступ только с 2х белых ip откуда я подключаюсь из вне.
Вы ещё можете использовать столь не одобренный народом ufw:
Хотя UFW расшифровывается как Uncomplicated FireWall, невольно хочется расшифровать как Ubuntu FireWall.
Но ufw - это всего лишь обёртка над iptables, и ничего более, но с гораздо более упрощённым, укрупнёнными правилами администрирования.
См.
olej@277938:~$ man ufw
...
ufw allow in on eth0 from 192.168.0.0/16
...
Там множество полезных примеров.
Для ваших целей этого может оказаться более чем достаточно!

 

Оффлайн sSIDs

  • Новичок форума
  • Topic Author
  • Сообщений: 3
Re: Re: Настройка файерволла в Дебиан 10
« Ответ #5 : 04 Февраля 2020, 22:11:14 »
Спасибо за совет!) все таки хочу идти в ногу со временем) буду ковырять nftables.
мне ssh и web по 32400 порту, ssh даже не так важно...а вот web:32400 надо :(
« Последнее редактирование: 04 Февраля 2020, 22:13:06 от sSIDs »
 

Оффлайн Olej

Re: Re: Настройка файерволла в Дебиан 10
« Ответ #6 : 04 Февраля 2020, 22:21:21 »
все таки хочу идти в ногу со временем) буду ковырять nftables.
Выбирать из альтернативных способов (а таких в Linux всегда множество) по принципу "модно" - дело дурное и потраченное время, особенно когда правила и синтаксис поняты плохо и за ними оставлены "дыры" в безопасности (да и тем более, если вы ещё понятиями из "вЫньды" живёте).
По моим достаточно продолжительным наблюдениям, такие базовые инструменты как iptables, nftables, firewal (из Fedora) - это инструменты для профессиональных администраторов (на жаловании ;)), обеспечивающих защиту корпоративных сетей, часто достаточно сложной топологии. Для HOME-намерений это - из пушки по воробьям.
Но ... Бог в помощь, удачи. ;) 
« Последнее редактирование: 04 Февраля 2020, 22:23:26 от Olej »
 
Пользователи, которые поблагодарили этот пост: sSIDs

Оффлайн alexxnight

Re: Re: Настройка файерволла в Дебиан 10
« Ответ #7 : 05 Февраля 2020, 11:19:55 »
В 10 Дебиан Вы можете использовать для настройки iptables или можете использовать nftables.
по iptables очень много материала, есть стандартный набор правил...
по nftables пока материала мало, и он не поддерживает пока некоторые инструменты, например ipset, xt_recent...
ufw лучше не использовать - это сильно ограниченный по возможностям iptables (по сути, это и есть надстройка над iptables)
 

Оффлайн Olej

Re: Re: Настройка файерволла в Дебиан 10
« Ответ #8 : 05 Февраля 2020, 13:20:48 »
ufw лучше не использовать - это сильно ограниченный по возможностям iptables (по сути, это и есть надстройка над iptables)
Это утверждение ошибочное ... уровня "абсолютно"  :D:
- ufw не является файерволом ... от слов вообще, в принципе...
- это всего лишь, не больше и не меньше, пользовательский интерфейс для управления традиционным iptables;
- который, для случаев одиноко стоящих хостов  ;), где не нужно урегулировать разнообразные роутинги и форвардинги, как для более сложных топологий - гораздо проще и гораздо менее подвержен ошибкам;
- для поставленного вопроса, для решения поставленной задачи (доступ по 1-му порту с 2-х IP) задача в конфигурировании ufw решается ровно в 2 строки управления, а запись полностью аналогичной конфигурации непосредственно через правила iptables потребует десятков правил.

Вот сравнение для реального сервера Linux-форума http://linux-ru.ru (и все желающие приглашаются попробовать его обломать! ;D):
olej@277938:~$ sudo /sbin/ufw status | wc -l
12
root@277938:~# iptables --list | wc -l
202
Это один и тот же набор правил iptables !
« Последнее редактирование: 05 Февраля 2020, 13:24:25 от Olej »
 

Оффлайн Olej

Re: Re: Настройка файерволла в Дебиан 10
« Ответ #9 : 05 Февраля 2020, 13:55:43 »
Вообще непонятно почему эта тема застряла в разделе "Общие вопросы", если она однозначно и определённо относится к "Сети и интернет"? ???
 

Оффлайн qupl

Re: Re: Настройка файерволла в Дебиан 10
« Ответ #10 : 05 Февраля 2020, 14:04:19 »
Вообще непонятно почему эта тема застряла в разделе "Общие вопросы", если она однозначно и определённо относится к "Сети и интернет"? ???
Потому что ТС ее создал чтобы поговорить, а не для решения какой-то проблемы. Ей место в "Обо всем" изначально было.

Оффлайн alexxnight

Re: Re: Настройка файерволла в Дебиан 10
« Ответ #11 : 05 Февраля 2020, 14:48:55 »
на UFW Вы не сделаете защиты, например от подбора пароля (bruteforce)
 

Теги:
 

Настройка точки доступа через NetworkManager

Автор m9uzer

Ответов: 0
Просмотров: 1697
Последний ответ 04 Ноября 2015, 12:57:18
от m9uzer
Настройка tftp

Автор Moonshiner

Ответов: 1
Просмотров: 1763
Последний ответ 13 Декабря 2012, 15:04:25
от Olej
Настройка файерволла в Дебиан 10

Автор Листик

Ответов: 10
Просмотров: 4031
Последний ответ 04 Октября 2020, 04:38:16
от LeonidVoyt
Настройка PPPOE соединения (Gnome 3)

Автор Martin

Ответов: 2
Просмотров: 2306
Последний ответ 26 Июля 2016, 14:37:09
от CoolAller
Настройка Samba

Автор RUS

Ответов: 13
Просмотров: 7304
Последний ответ 26 Мая 2013, 15:46:09
от Utility