Настройка защиты Debian 10

sSIDs · 04 февраля 2020, 20:49:05

Доброго дня!
Друзья, нужна ваша помощь в настройке защиты Debian 10
26 января ломанули домашний сервер на котором фильмы, сериалы и мультки - PLEX медиа сервер.
как ломанули не понял...вместо фильмов, сериалов в папаке лежал текстовый файл) OopsNOsharingFilesYOU.txt
в нем

Код Выделить

BTC 1LGgfryxMwUUCEHkRuey86fCa66g1aUogr
ETH 0x2a616e054f6fc162003f17594073edf4981718c8
DASH XwobwvXac1bP4kp2m8yDMqdSX6jV7a5gcL
ZEC t1M6yW98HPxKyhwyrKjxBKJb1y9vpuRK18u
DOGE DMqw68pdSKXgcGaz4mWERvYu4LyMiiUy5h
LTC LMxEicYTMubM3Xf9cXJbpfriTYUJL3uC5G

=0.002
Voluntary assistance from you. Thank you!
Personal information forever...
_______________________________________

Bonus
https://vk.cc/9leedo

Cloud mining free: https://goo.gl/RmSXNn
Mining you PC BEST: https://goo.gl/EjpHYS

-rw-r--r-- 1 root root 32096 Jan 26 03:55 /var/log/faillog
в нем только ерудна

Код Выделить

^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@$

в в /var/log/samba нашел с какого шифранули IP, скорей всего прокся - 201.234.224.74
на роутере стоит перенаправление порта
PLEX10.240.110.151 TCP/UDP 32400 -> 32400 с купленного белого IP
убрать не могу, иначе не смогу подключаться из вне

Код Выделить

===============================================================
 Good evening !                               
===============================================================
  - Hostname      : kino
  - IP Address    : 10.240.110.151 
  - Release       : Debian GNU/Linux 10 (buster)
  - Kernel        : Linux 5.4.0-0.bpo.2-amd64 
  - Users         : Currently 0 user(s) logged on
  - Server Time   : Tue Feb  4 20:35:18 MSK 2020
  - System load   : 0.37 / 141 processes running
  - Memory used % : 19.1493
  - Swap used %   : 1.28076
  - System uptime : 0 days 4 hours 55 minutes
===============================================================
 
Last login: Tue Feb  4 17:35:24 2020 from 10.240.110.206
sid@kino:~$

Код Выделить

sid@kino:~$ sudo iptables -V
iptables v1.8.2 (nf_tables)

я с винды через transGUI закидываю торенты в transmisson, качает Debian. шары (samba) для того чтобы в случает корректно закинуть фильм или сериал в нужную папку.
Plex PASS куплен, это значит самая свежая версия ставиться, свежее чем public релиз.
- у меня идея через iptables разрешить доступ только с 2х белых ip откуда я подключаюсь из вне. читаю мануал... пока сложновато в понимании.

конфиг samba

Код Выделить

[global]
    workgroup = HOME.LOC
    netbios name = kino
    interfaces = 10.240.110.0/24
    bind interfaces only = yes
    log file = /var/log/samba/log.%m
    max log size = 10000
    logging = file
    log level = 3 passdb:5 auth:5
    panic action = /usr/share/samba/panic-action %d
    server role = standalone server
    security = user
    unix password sync = yes
    passwd program = /usr/bin/passwd %u
    passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    map to guest = bad user
    encrypt passwords = true
    username map = /etc/samba/smbusers
[MOVIES]
    comment = MOVIES
    path = /home/sid/Videos/Фильмы/
    valid users =sid, smbsid
    write list = sid, smbsid
    create mask = 0777
    directory mask = 0777
    force create mode = 0777
    force directory mode = 0777
    inherit owner = yes
    guest ok = no
    browseable = yes
    writable = yes
[SERIALS]
    comment = SERIALS
    path = /home/sid/Videos/Сериалы/
    valid users =sid, smbsid
    write list = sid, smbsid
    create mask = 0777
    directory mask = 0777
    force create mode = 0777
    force directory mode = 0777
    inherit owner = yes
    guest ok = no
    browseable = yes
    writable = yes
[MULTIKI]
    comment = MULTIKI
    path = /home/sid/Videos/Мультфильмы/
    valid users =sid, smbsid
    write list = sid, smbsid
    create mask = 0777
    directory mask = 0777
    force create mode = 0777
    force directory mode = 0777
    inherit owner = yes
    guest ok = no
    browseable = yes
    writable = yes

Код Выделить

sid@kino:~$ cat /etc/nftables.conf              
#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;
        }
        chain forward {
                type filter hook forward priority 0;
        }
        chain output {
                type filter hook output priority 0;
        }
}
sid@kino:~$

Olej · 04 февраля 2020, 21:33:12

Цитата: sSIDs от 04 февраля 2020, 20:49:05PLEX10.240.110.151 TCP/UDP 32400 -> 32400 с купленного белого IP
убрать не могу, иначе не смогу подключаться из вне

Вообще то, для того чтобы иметь возможность подключаться извне совсем не обязательно белый IP покупать

, например SSH туннели, да и другие способы есть ... см. О доступе к сайту на локалхост извне

Olej · 04 февраля 2020, 21:39:38

Цитата: sSIDs от 04 февраля 2020, 20:49:05- у меня идея через iptables разрешить доступ только с 2х белых ip откуда я подключаюсь из вне.

Цитата: sSIDs от 04 февраля 2020, 20:49:05
Код Выделить Развернуть
sid@kino:~$ cat /etc/nftables.conf #!/usr/sbin/nft -f

Так вам iptables или nftables?
Насколько я смотрел (хотя смотрел, сознаюсь, поверхностно) они несовместимы между собой (не могут использоваться одновременно) + имеют совершенно различный синтаксис описания правил.

sSIDs · 04 февраля 2020, 21:48:55

nftables

Olej · 04 февраля 2020, 21:49:46

Цитата: sSIDs от 04 февраля 2020, 20:49:05у меня идея через iptables разрешить доступ только с 2х белых ip откуда я подключаюсь из вне.

Вы ещё можете использовать столь не одобренный народом ufw:

Цитата: Gamliel от 10 ноября 2019, 17:50:11Хотя UFW расшифровывается как Uncomplicated FireWall, невольно хочется расшифровать как Ubuntu FireWall.

Но ufw - это всего лишь обёртка над iptables, и ничего более, но с гораздо более упрощённым, укрупнёнными правилами администрирования.
См.

Код Выделить


olej@277938:~$ man ufw
...
ufw allow in on eth0 from 192.168.0.0/16
...

Там множество полезных примеров.
Для ваших целей этого может оказаться более чем достаточно!

sSIDs · 04 февраля 2020, 22:11:14

Спасибо за совет!) все таки хочу идти в ногу со временем) буду ковырять nftables.
мне ssh и web по 32400 порту, ssh даже не так важно...а вот web:32400 надо

Olej · 04 февраля 2020, 22:21:21

Цитата: sSIDs от 04 февраля 2020, 22:11:14все таки хочу идти в ногу со временем) буду ковырять nftables.

Выбирать из альтернативных способов (а таких в Linux всегда множество) по принципу "модно" - дело дурное и потраченное время, особенно когда правила и синтаксис поняты плохо и за ними оставлены "дыры" в безопасности (да и тем более, если вы ещё понятиями из "вЫньды" живёте).
По моим достаточно продолжительным наблюдениям, такие базовые инструменты как iptables, nftables, firewal (из Fedora) - это инструменты для профессиональных администраторов (на жаловании

), обеспечивающих защиту корпоративных сетей, часто достаточно сложной топологии. Для HOME-намерений это - из пушки по воробьям.
Но ... Бог в помощь, удачи.

alexxnight · 05 февраля 2020, 11:19:55

В 10 Дебиан Вы можете использовать для настройки iptables или можете использовать nftables.
по iptables очень много материала, есть стандартный набор правил...
по nftables пока материала мало, и он не поддерживает пока некоторые инструменты, например ipset, xt_recent...
ufw лучше не использовать - это сильно ограниченный по возможностям iptables (по сути, это и есть надстройка над iptables)

Olej · 05 февраля 2020, 13:20:48

Цитата: alexxnight от 05 февраля 2020, 11:19:55ufw лучше не использовать - это сильно ограниченный по возможностям iptables (по сути, это и есть надстройка над iptables)

Это утверждение ошибочное ... уровня "абсолютно"

:
- ufw не является файерволом ... от слов вообще, в принципе...
- это всего лишь, не больше и не меньше, пользовательский интерфейс для управления традиционным iptables;
- который, для случаев одиноко стоящих хостов

, где не нужно урегулировать разнообразные роутинги и форвардинги, как для более сложных топологий - гораздо проще и гораздо менее подвержен ошибкам;
- для поставленного вопроса, для решения поставленной задачи (доступ по 1-му порту с 2-х IP) задача в конфигурировании ufw решается ровно в 2 строки управления, а запись полностью аналогичной конфигурации непосредственно через правила iptables потребует десятков правил.

Вот сравнение для реального сервера Linux-форума http://linux-ru.ru (и все желающие приглашаются попробовать его обломать!

):

Код Выделить


olej@277938:~$ sudo /sbin/ufw status | wc -l
12

Код Выделить


root@277938:~# iptables --list | wc -l
202

Это один и тот же набор правил iptables !

Olej · 05 февраля 2020, 13:55:43

Вообще непонятно почему эта тема застряла в разделе "Общие вопросы", если она однозначно и определённо относится к "Сети и интернет"?

qupl · 05 февраля 2020, 14:04:19

Цитата: Olej от 05 февраля 2020, 13:55:43
Вообще непонятно почему эта тема застряла в разделе "Общие вопросы", если она однозначно и определённо относится к "Сети и интернет"?

Потому что ТС ее создал чтобы поговорить, а не для решения какой-то проблемы. Ей место в "Обо всем" изначально было.

alexxnight · 05 февраля 2020, 14:48:55

на UFW Вы не сделаете защиты, например от подбора пароля (bruteforce)