Какие сервисы активны, все ли нужно?1) Обнаружение атаки2) Первым делом заблокируем ip злоумышленника с помощью Iptables3) Установите mod_evasive для ApacheКакие сервисы активны, все ли нужно?
Чтобы увидеть услуги, которые у нас есть, вы можете использовать команда netstat . Например, из SSH-соединения:
корень @ server1: ~ # netstat -aОн показывает нам все активные службы и прослушивание приема пользователей или подключений, здесь мы видим такие, как Apache (http) для обслуживания веб-страниц, smtp сервис отправки писем, ftp для загрузки файлов.
Вы можете остановить службу, если она не нужна, или если она занимает много памяти или процессора, для этого мы можем увидеть потребление с помощью команды:
root @ server1: ~ # ps aux --sort cputime
Здесь мы можем увидеть MySQL , то Кламав антивирус и Голубятня это сервер IMAP и POP3 с открытым исходным кодом. Здесь мы можем увидеть процесс, выполненный нами ранее, важно не запутать столбец СТАРТ, который принимает дату и время, он указывает, в какую дату или время началась операция.
Затем, чтобы остановить пример службы Mysql:
/etc/init.d/mysql restart /etc/init.d/mysql stop /etc/init.d/mysql startПример использования команды в безопасности сервера Linux, мы собираемся использовать некоторые команды для обнаружения и предотвращения атак типа «отказ в обслуживании», которые являются наиболее частыми.
А атака отказа в обслуживании (DoS-атака) или же распределенный отказ в обслуживании (DDoS-атака) это попытка сделать ресурс сервера недоступным для пользователя.
1) Обнаружение атаки
Основной симптом - сервер становится очень медленным, или «сервисы падают», они перестают работать, потому что генерируется избыток соединений, сервер не может ответить.
Мы будем использовать команда "netstat".
Он показывает нам активные соединения на порту 80.
root @ server1: ~ # netstat -an | grep: 80 | Сортировать
Здесь мы видим, что один из активных IP-запросов, наш сервер принимает 5000 подключений, в то время как можно сказать, что обычно будет около 20 или 30 подключений на IP. Тогда мы могли заподозрить DDOS-атаку, поскольку потребление ресурсов
2) Первым делом заблокируем ip злоумышленника с помощью Iptables
Iptables - это имя инструмента пользовательского пространства, с помощью которого администратор может определять политики фильтрации трафика, циркулирующего в сети.
корень @ server1: ~ # iptables -I INPUT -s 74,6,73,22 -j DROPЭтим он заблокирован.
3) Установите mod_evasive для Apache
Мод Evasive - это модуль для Apache, который отвечает за обеспечение дополнительного уровня безопасности нашего веб-сервера, очень мощный и настраиваемый.
В примере мы сделаем это для Centos, но его можно адаптировать к любому Linux с Apache.
Устанавливаем зависимости от ssh
root @ server1: ~ # cd / usr / src root @ server1: ~ # wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz root @ server1: ~ # tar zxvf mod_evasive_1.10.1 .tar.gz root @ server1: ~ # cd mod_evasive root @ server1: ~ # apxs -cia mod_evasive20.c # для Apache 1.3 команда будет иметь вид apxs -cia mod_evasive.c root @ server1: ~ # vi / etc / httpd / conf / httpd.conf # редактируем конфигурацию root @ server1: ~ # service httpd restart # перезапускаем Apache/ и т.д. / httpd / conf / httpd.conf habrÃa que соглашениеgar las siguientes lÃneas. В каталоге / etc / httpd / conf / httpd.conf следует добавить следующие строки.
Важные параметрыDOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 300
- DOSPageCount: количество подключений, которые пользователь может установить в секунду до того, как его IP-адрес будет заблокирован.
- DOSSiteCount: сколько запросов может сделать пользователь, прежде чем будет заблокирован.
- DOSBlockingPeriod: сколько секунд продлится блокировка этого IP-адреса.
СТАТЬИ