Гэр / Компьютер эзэмших / Од тэмдгийг зөвшөөрөлгүй холболтоос хамгаалах. Од тэмдгийг хамгаалахын тулд fail2ban-г тохируулж байна. Лавлах дээр хязгаарлагдмал зөвшөөрлийг тохируулах

Од тэмдгийг зөвшөөрөлгүй холболтоос хамгаалах. Од тэмдгийг хамгаалахын тулд fail2ban-г тохируулж байна. Лавлах дээр хязгаарлагдмал зөвшөөрлийг тохируулах

04.11.2020 Компьютер эзэмших

Огноо: 2018.07.28 09:56

Интернет дээр одны хакерууд болон операторын дараагийн шийтгэлийн тухай олон түүх байдаг. Хаа нэгтээ Австралийн нэгэн жижиг компани 15,000-20,000 доллараар нисч чадсан тухай түүх байсан. Ийм байдалд орохыг хэн ч хүсэхгүй гэж би бодож байна. Асуудал хүлээхгүйгээр хакердах хувилбаруудын тоог эрс багасгаж, аюулыг багасгах хэд хэдэн арга хэмжээ авах нь илүү дээр юм.

5060-ын оронд стандарт бус порт

Техникийн боломж байгаа бол - ҮРГЭЛЖ стандарт 5060 портыг өөр болгон өөрчил. Стандартаас ялгаатай байх тусмаа сайн. Халдагчид хэд хэдэн хаягийн портуудыг сканнердах замаар таны одыг маш хурдан олох болно. Энэ нь маш хурдан тохиолдох болно - нууц үгийг таах анхны оролдлогыг интернетэд одоор оруулснаас хойш 3 хоногийн дараа олж мэдсэн.
Портыг sip.conf файлын дараах хэсэгт тохируулсан болно.

bindport = 5060 => bindport = 5172

Ийм арга хэмжээ авсны дараа сонгогчдын тоо бараг тэг болж буурах болно.

Галт хана тохируулж байна

Бид одны порт руу гаднаас холбогдохыг хориглодог - энэ нь нууц үг таах чадварыг таслах болно. Гэсэн хэдий ч зарим SIP утасны үйлчилгээ үзүүлэгч нь таны 5060 порт руу өөрсдөө хүрч чадахгүй бол ажиллахгүй - энэ тохиолдолд та энэ үйлчилгээ үзүүлэгчийн серверээс энэ порт руу нэвтрэхийг зөвшөөрөх ёстой. Тэгээд нэг өдөр би яагаад Beeline-тай холбогдоогүй юм бэ гэж хэдэн өдөр бодсоны дараа би тэдний IP хандалтыг 5060 порт руугаа нээгээд холболт гарч ирэв.

Зочдын дуудлагыг унтраа

Хэрэв та бүртгэлгүйгээр дуудлага хүлээн авах шаардлагагүй бол sip.conf дээрх дараах сонголтыг унтраахаа мартуузай.
allowguest=yes => allowguest=no ; Зочин дуудлагыг зөвшөөрөх эсвэл татгалзах (өгөгдмөл нь тийм)

Нууц үгийн сэрэмжлүүлэгийг идэвхгүй болгох

Бараг бүх хүн 100, 200, 700 гэх мэт одтой данстай. Өгөгдмөл байдлаар, од нь одоо байгаа акаунтын хувьд нэг буруу нууц үгийн алдаа, байхгүй дансны хувьд өөр нэг алдаа өгдөг. Тусгай тусламжтайгаар Нууц үг таах программ хангамжийн тусламжтайгаар халдагчид бүх богино тоонуудыг хурдан ялгаж, зөвхөн "буруу нууц үг" гэж хариулсан одоо байгаа дансны нууц үгийг таах боломжтой. Үүнээс урьдчилан сэргийлэхийн тулд бид sip.conf дээрх сонголтыг өөрчилдөг:
alwaysathreject = үгүй ​​=> alwaysauthreject = тийм
Ийм тохиргоо хийсний дараа од тэмдэг нь буруу зөвшөөрлийн хувьд ижил үзүүлэлтийг өгнө.

Бид дансанд нарийн төвөгтэй нууц үгийг ашигладаг

Ямар ч нууц үгийг тааж болно, цорын ганц асуулт бол цаг хугацаа юм. Сип төхөөрөмжүүдийг нэг удаа, удаан хугацаанд тохируулдаг тул нарийн төвөгтэй нууц үгүүдийг бүү алдаарай. Би хувьдаа том, жижиг үсэг + ийм тооны хослол бүхий урт нууц үгийг ашигладаг: secret=f64GCD74ssdZ42

Нэвтрэхтэй таарах бүх нууц үгийг ҮРГЭЛЖ устга. Эдгээр нь нууц үгэнд хэрэглэгддэг анхны нууц үг юм.

Бүртгэлд татгалзах/зөвшөөрөл ашиглах

Заавал хийх мөч! Интернэтээс холбогдсон гэсэн үг биш бүх дансанд дараах мөрүүдийг зааж өгнө үү.

Татгалзах=0.0.0.0/0.0.0.0 зөвшөөрөл=10.1.1.1/24 зөвшөөрөл=10.1.2.1/24

Энд 10.1.1.1,10.1.2.1 нь холболт хийх локал хаягийн мужууд юм. Бусад хаягийн холболтыг одоор хүлээн авахгүй.

Дуудлагын хязгаарыг тогтоож байна

Дуудлагын хязгаар=1

Анхдагч өргөтгөлийг шаардлагагүйгээр бүү ашигла

Бидэнд хэрэггүй. Анхдагчаар байх ёстой бүх зүйл:

Exten => _X.,1, Hangup

Бид бүх дуудлагад нэг нийтлэг дүрэм гаргадаггүй

Маягтын дүрэмд үгүй ​​гэж хэлээрэй:

Exten => _X.,1,Залгах(SIP/$(EXTEN)@оператор)

Бид оператор руу дамжуулсан тоонуудын шаардлагатай бүх хослолыг тодорхой бичдэг. Хэрэглэх шаардлагагүй бол олон улсын харилцаа холбоо- түүнд зориулсан дүрмийг огт тайлбарлаж болохгүй. Хакердсан бараг бүх тохиолдлыг гадаадад дуудлага хийхэд ашигладаг.

;Яаралтай тусламжийн үйлчилгээний өргөтгөл => _0X,1, залгах(SIP/$(EXTEN)@оператор) өргөтгөл => _0X,n, залгах ;Москвагийн өргөтгөл => _8495XXXXXXX,1, залгах(SIP/$(EXTEN)@оператор) өргөтгөл => _8495XXXXXXX,n, залгах өргөтгөл => _8499XXXXXXX,1, залгах(SIP/$(EXTEN)@оператор) өргөтгөл => _8499XXXXXXX,n, залгах өргөтгөл => _XXXXXXX,1, залгах(SIP/$(EXTEN)@оператор ) exten => _XXXXXXX,n, Hangup

Одоо олон удаа янз бүрийн төрлийн дайралттай тулгардаг Одба аналогууд. Буруу тохиргоо, мунхаглал энгийн дүрэмашиглаж байгаа аж ахуйн нэгжийн санхүүгийн алдагдалд хүргэдэг PBX од.

Энэ нийтлэлд бид аюулгүй байдлын анхны механизмуудыг авч үзэх болно Од 13суулгасны дараа Линуксийн аюулгүй байдлын механизмыг авч үзэхгүй. Таны системийг аюулгүй байлгахад туслах хэдэн дүрэм энд байна:

1. Бүх сүлжээний төхөөрөмж (Asterisk, IP утас, VoIP гарц) дээрх хакердахаас хамгаалсан нууц үг, нэвтрэлт.

SIP дансны нууц үг, администратор, од менежер болон сүлжээний төхөөрөмжүүддор хаяж 13 тэмдэгтээс бүрдэх ёстой (үсэг, тоо, тусгай тэмдэгт, том үсгийн өөрчлөлт). зэрэг системд нэвтэрч болохгүй админ, администратор, менежергэх мэт.

2. Asterisk - sip.conf дээр SIP тохиргоог зөв хийх.

Сканнеруудаас хамгаалахын тулд та стандарт SIP портыг өөрчлөх, зочны дуудлага, бүртгэлийг идэвхгүй болгох, давхардсан багц, сувгийн төлөвийн мэдээлэлд бүртгүүлэх гэх мэтийг хийх хэрэгтэй. Бүрэн тайлбарпараметрүүд ерөнхий sip.confнийтлэлд тайлбарласан. Доорх нь миний Од серверт тохируулсан sip.conf тайлбартай байна:
context=default ;Өгөгдмөлөөр гарч буй дуудлагад ашиглагдаагүй контекстийг оноох allowguest=no ;Зочин (баталгаажуулалтгүйгээр) холболтыг зөвшөөрөхгүй match_auth_username=no ;"хэрэглэгчийн нэр" талбарыг "from"-ын оронд ашиглахыг хориглоно. allowoverlap=no ;Нэг оронтой тоог идэвхгүй болгох dialing;allowtransfer= үгүй ​​; Дамжуулах хүрээний хэрэглээг идэвхгүй болгох=CUCM11.5(1)SU3 ;Биднийх ашиглах Домэйн нэр сервер (Одод нуугдаж байна) ;domainsasrealm=үгүй ;recordonfeature=automixmon bindport=9050 ;SIP дохионы портыг өөрчлөх udpbindaddr=0.0.0.0 ;Үндсэн UDP хаяг tcpenable=тийм ;TCP дэмжлэгийг идэвхжүүлэх (магадгүй танд Avaya-тай байх;Default)d.0. TCP хаяг;tlsenable=no ;tlsbindaddr=0.0.0.0 ;tcpauthtimeout = 30 ;tcpauthlimit = 100 ;websocket_enabled = үнэн ;websocket_write_timeout = 100 transport=udp ;Өгөгдмөл тээвэрлэлтийн нэр = srvstope;_di=srvlookup;_sstope; =ef ;tos_video=af41 ;tos_text=af41 ;cos_sip=3 ;cos_audio=5 ;cos_video=4 ;cos_text=3 ;maxexpiry=3600 ;minexpiry=60 ;defaultexpiry= 120 ;=sub60xpiry=sub60xy=sub60xy ;maxforwards=70 qualifyfreq=60 ;Хост ашиглах боломжтой эсэхийг шалгах хугацааг 60 секунд болгож тохируулна уу;qualifygap=100 ;qualifypeers=1 ;keepalive=60 ;notifymimetype=text/plain ;buggymwi=no ;mwi_from=xesteriskv=no ;mwi_from=xsteritenvme;displaynv=redcool; =бүгд ;Бүх кодлогчийг зөвшөөрөхийг идэвхгүй болгох=a хууль ;Alaw-г зөвшөөрөх=ulaw ;Ulaw-г зөвшөөрөх ;autoframing=тийм ;mohinterpret=default ;mohsuggest=default ;parkinglot=plaza language=ru ;Системд орос хэлийг анхдагчаар tonezone=ru болгох ;Ру хэл дээр дэлхийн дууны бүсийг тодорхойлох relaxdtmf=yes Муу хүлээн зөвшөөрөгдсөн DTMF дохиог танихыг идэвхжүүлэх;trustrpid = үгүй ​​;sendrpid = yes rpid_update=yes ;Мөрийн төлөвийн өөрчлөлтийн талаар эсрэг талын серверт нэн даруй мэдэгдэх;trust_id_outbound = үгүй ​​;prematuremedia=no ;progressinband=callerid байхгүй=1)CUCM13. ;Хэрэв бид хаа нэгтээ CallerID-г тохируулаагүй бол бид үүнийг симбол болгодог useragent=Cisco-SIPGateway/IOS-12.x ;Мөн PBX-ийн хувьд бидэнд Cisco-SIPGateway байна ;promiscredir = no ;usereqphone = no dtmfmode=rfc2833 ;Товчийг тохируулна уу. утасны багц дээр дарах ая;compactheaders = тийм videosupport=yes ;Видео дуудлагын дэмжлэгийг идэвхжүүлэх;textsupport=үгүй maxcallbitrate=2048 ;Видео дуудлагын дээд хурд authfailureevents=тийм;Хэрэв нэвтэрч чадахгүй бол үе тэнгийн статусыг тохируулах=татгалзсан үргэлжauthr eject=yes ;Хэрэв баталгаажуулах хүсэлтээс татгалзсан бол хариу нь хэрэглэгчийг буруу оруулсан гэж хэлэхгүй, хэрэглэгчийн нэрийн дугаарын хамгаалалт auth_options_requests=yes ;Бид OPTION болон INVITE илгээх үед зөвшөөрөл авах шаардлагатай;accept_outofcall_message = no ;message_outof_message =outmessageu тийм ;MESSAGE хүсэлтийн баталгаажуулалтыг идэвхжүүлэх ;g726nonstandard = тийм ;outboundproxy=proxy.provider.domain:8080 ;supportpath=yes ;rtsavepath=yes ;matchexternaddrlocally = тийм ;dynamic_exclude_staticdenyes=0; 0.0.0/0.0.0.0 ;contactpermit=172.16.0.0/255.255.0.0 ;contactacl=named_acl_example ;rtp_engine=asterisk ;regcontext=sipregistrations regextenonqualify=yes ;Хэрэв энэ өргөтгөл идэвхжсэн бол энэ өргөтгөл идэвхжсэн бол * regcontext ;legacy_useroption_parsing=yes ;send_diversion=үгүй ;shrinkcallerid=yes ;use_q850_reason = үгүй ​​;refer_addheaders=yes autocreatepeer=үгүй ;Гэрчлэлтгүйгээр UAC бүртгэлийг идэвхгүй болгох t1min=200 the host time and delay1tims=200; 32000 rtptimeout= 600 ;600 секундын дараа RTP медиа урсгалын идэвхжил байхгүй бол дуудлагыг цуцлах rtpholdtimeout=300 ;300 секундын дараа Хүлээн авах горимд RTP медиа урсгалын идэвхжил байхгүй бол дуудлагыг зогсооно;rtpkeepalive= ;session-timers=originate ; session-expires=600 ;session-minse=90 ;session-refresher=uac ;sipdebug = yes ;recordhistory=yes ;dumphistory=yes ;allowsubscribe=no ;subscribecontext = default ;notifyringing = no ;notifyhold = yes ;notifyringcounter = =тийм ;Тоолууруудыг идэвхжүүлнэ дуудлагад t38pt_udptl=yes ;FEC алдаа засах T.38-д зориулсан дэмжлэгийг идэвхжүүлэх faxdetect=yes ;CNG болон T.38 илрүүлэхийг идэвхжүүлэх nat=auto_force_rport,auto_commedia ;Бид Nat-г автоматаар болон Астерискийн хүлээн авсан порт дээрх медиа өгөгдлийг олдог. SDP-д юу хүлээн авсан ;media_address = 172.16.42.1 ;subscribe_network_change_event = yes ;icesupport = yes directmedia=no ;Asterisk-ийг алгасах замаар RTP урсгалыг шууд дамжуулах ;directrtpsetup=yes ;directmediadeny=0.0.0.0.0.0.0.0. /16 ;directmediaacl=acl_example ;ignoresdpversion=тийм sdpsession=SIP дуудлага ;SDP сессийн нэрийг өөрчлөх sdpowner=CiscoSystemsSIP-GW-UserAgent ;SDP эзэмшигчийн мөр дэх хэрэглэгчийн талбарыг өөрчлөх ;encryption=no ;avpf_sye=avpfye=av. ;rtcachefriends= тийм ;rtsavesysname=yes ;rtupdate=yes ;rtautoclear=yes ;ignoreregexpire=yes ;domain=customer.com,customer-context ;allowexternaldomains=үгүй ;allowexternaldomains=үгүй;fromdomain=yes ;rtupdate=yes ;rtautoclear=yes тийм; Ашиглахыг идэвхжүүл jbforce = байхгүй jbmaxsize=200; RTP буферийн дээд хэмжээг 200 мс болгож тохируул; jbresyncthreshold = 1000 ;jbimpl = тогтмол ;jbtargetextra = 40 ;jblog = үгүй

3. Бид стандарт бус IAX порт ашигладаг.

Үүний тулд файлд /etc/asterisk/iax.confхэсэгт параметрийг өөрчлөх bindport = 4569параметр бүрт bindport = 9069

4. Одыг өөр хэрэглэгчээр ажиллуулах ёстой (root биш). Үүнийг хэрхэн хийх талаар нийтлэлд бичсэн болно.

5. SIP өргөтгөлийн зөвшөөрөгдсөн IP хаяг эсвэл сүлжээг тохируулах.

үгүйсгэх=0.0.0.0/0.0.0.0 ; Бүх зүйлийг үгүйсгэх зөвшөөрнө = 10.0.0.0/255.0.0.0 ; Мэдэгдэж байгаа зөвшөөрлийг зөвшөөрөх = 172.20.0.0/255.255.0.0 ; Мэдэгдэж байгаа зөвшөөрлийг зөвшөөрөх = 192.168.0.0/16 мэдэгдэж байна;

6. Нэг зэрэг дуудлагын хязгаарыг тогтоох.

call-limit=2 ;Хэрэглэгч шилжүүлэг хийх боломжтой болохын тулд утгыг 2 болго

7. Хэрэглэгч бүрийн хувьд гадагшаа чиглүүлэх өөр өөр дүрмүүдийг тохируул.

Анхдагч байдлаар ашигласан бүх маршрутыг устгаж, контекстийг ялгах замаар өөрийн гэсэн маршрутыг зааж өгөх шаардлагатай.

  • Орон нутгийн багц
  • Орон нутгийн дуудлага
  • Бүсийн дуудлага
  • Холын зайн дуудлага
  • Олон улсын дуудлага
ABC, DEF кодуудын бүрэн жагсаалтыг Россвязийн албан ёсны эх сурвалжаас авч болно.
Анхдагч маршрутын хувьд хийх exten => _X.,1,Hangup()

8. IPtables ашиглах

9. Fail2Ban ашигла

10. Бид бүх утасны төхөөрөмжийг тусдаа Voice VLAN-д харуулдаг. Энд сүлжээчдийг чангалах шаардлагатай байна.

11. Бид олон улсын 8-10 чиглэлд онцгой анхаарал хандуулдаг.

Бид зөвхөн тухайн байгууллагад ашиглагдаж буй чиглэлүүдийг тогтоож, шаардлагатай бол тэдгээрийг нэмж (өргөтгөх) хийдэг. Хэрэв хэрэглэгч эсвэл халдлага үйлдэгч үл мэдэгдэх олон улсын зорьсон газар ашиглаж, холболт тус бүр болон нэгэн зэрэг дуудлагын тоонд хязгаарлалт тавьсан бол бид имэйлээр мэдэгдэнэ. 8-10-р чиглэлийг хамгаалах бэлэн шийдлийг нийтлэлд тайлбарласан болно.

12. Ашиглагдаагүй суваг, үйлчилгээг идэвхгүй болгох.

Жишээлбэл, хэрэв та протоколыг ашиглаагүй бол MGCPэсвэл туранхай, файл дахь эдгээр модулиудыг идэвхгүй болгох /etc/asterisk/modules.conf:
noload => pbx_gtkconsole.so noload => chan_alsa.so noload => chan_console.so noload => res_ari.so noload => chan_dahdi.so noload => codec_dahdi.so noload => res_ari_device_states.so noload => lic.so noload => res_ari_app > res_ari_channels.so noload => res_ari_events.so noload => res_ari_playbacks.so noload => res_ari_endpoints.so noload => res_ari_recordings.so noload => res_ari_bridges.so noload => res_ari_asterisk.so noload => res_ari_asterisk.res noloads =>res_ari_sspound => .so noload => cdr_mysql.so noload => res_phoneprov.so noload => cdr_odbc.so noload => cdr_pgsql.so ;===================== = ==== ; PBX - noload => pbx_ael.so; Сувгууд -- noload => chan_mgcp.so noload => chan_skinny.so noload => chan_unistim.so noload => chan_pjsip.so noload => chan_modem.so noload => chan_modem_aopen.so noload => chan_modem_bestdata.so noload => chan_modem_bestdata.so_4. тийм noload => chan_alsa.so noload => chan_oss.so ; Codecs -- noload => codec_lpc10.so ; Форматууд -- noload => format_au.so noload => format_gsm.so noload => format_h263.so noload => format_ilbc.so noload => format_jpeg.so ; Програмууд -- noload => app_image.so noload => app_zapateller.so noload => app_zapbarge.so noload => app_zapscan.so noload => res_config_ldap.so

13. Firewall ашиглан IP-PBX руу алсаас нэвтрэх эрхийг хязгаарлах.

Хэрэв та хангахаар төлөвлөж байгаа бол алсаас хандахэрх бүхий ажилтнуудын хувьд үүнийг ашиглан зохион байгуулах нь хамгийн сайн арга юм VPN серверүүд(жишээ нь OpenVPN).

Таны мэдэж байгаагаар од бол IP-телефоны програм (сервер) юм. Өөрөөр хэлбэл, түүнтэй холбогдсон үйлчлүүлэгчид (бусад зүйлсийн дотор) шугам ашиглан бие биетэйгээ болон гадаад ертөнц рүү залгах боломжийг олгодог. утасны харилцаа холбоо. Энэ нь дараахь эрсдэлийг үүсгэдэг.

  1. үйлчлүүлэгчид нэвтрэх/нууц үг болон (ихэвчлэн) IP хаягаар тодорхойлогддог. Үүний зэрэгцээ нууц үгээ авах боломжтой (түүний нарийн төвөгтэй байдлаас хамааран эрт эсвэл хожуу, гэхдээ ямар ч тохиолдолд боломжтой) бөгөөд ихэнхдээ IP хаягийн хязгаарлалт нь бидний хүссэн шиг хатуу байдаггүй. (хамгийн тохиромжтой нь үйлчлүүлэгч бүр өөрийн гэсэн өвөрмөц IP хаягтай байх ёстой)
  2. Интернетээс ирж буй дуудлага (жишээлбэл, бусад од серверүүдээс). Эдгээр холболтын хувьд бүх зүйл илүү төвөгтэй байдаг, учир нь одоор (үндсэн тохиргоонд) холболт хийгдсэн IP хаягуудыг харуулахгүй.

Fail2ban програм нь галт хана (жишээ нь, iptables) болон зөв тохируулсан одтой (бүтэн мэдээлэл, түүний дотор үйлчлүүлэгчид болон бусад серверүүдийн IP хаягийг харуулдаг) холболт хийх оролдлого болон нууц үг таахыг үр дүнтэй хааж чадна.

Тохиргоог эхлүүлэхийн өмнө та iptables болон fail2ban-г суулгах хэрэгтэй. Мөн fail2ban-г тохируулахаас өмнө iptables аль хэдийн тохируулагдсан байх ёстой (мөн одоор холболтыг зөвшөөрөх)! Та iptables-ийг хэрхэн тохируулах талаар эндээс уншиж болно: Одтой ажиллахын тулд iptables тохируулах. Мөн та одоор өөрөө суулгахаасаа өмнө fail2ban-г суулгаж болох бөгөөд энэ тохиолдолд (наад зах нь онолын хувьд) суулгах явцад суулгаж болно. хамгийн сүүлийн үеийн хувилбаруудодоор суулгасан fail2ban-г илрүүлж автоматаар тохируулна. Гэсэн хэдий ч:

  1. Одыг суулгахаас өмнө IP утасны аюулгүй байдлын асуудлыг үргэлж авч үздэггүй. Энэ нь та аль хэдийн суулгасан (мөн тохируулагдсан) одтой систем дээр fail2ban-г суулгахыг хүсч байгаа байх.
  2. Бүх тохиолдолд автомат тохируулга нь зөв ажиллахаас гадна огт ажилладаггүй (мөн одны эсрэг бүх халдлагыг хааж эхэлдэг).

Одтой бүртгэлийг тохируулж байна

Юуны өмнө мэдээллийг шаардлагатай формат, хэлбэрээр цуглуулж эхлэхийн тулд одоор тэмдэглэгээ хийх нь утга учиртай юм. Үүнийг хийхийн тулд одны тохиргооны лавлахаас (анхдагчаар энэ нь /etc/asterisk) logger.conf файлыг олоод түүнд дараах өөрчлөлтийг хийнэ үү: тайлбарыг арилгах (мөрийн эхэнд цэг таслалыг арилгах):

Огнооны формат=%F %T ; ISO 8601 огнооны формат

Энэ нь огноог логонд зөв форматаар бичихийн тулд шаардлагатай.
жил-сар-өдөр цаг:минут:секунд

Одоор тэмдгийн 10-р хувилбараас эхлэн та одны хамгаалалтын хүрээг идэвхжүүлж болно. Үүнийг хийхийн тулд logger.conf файлаас мөрийг олоод тайлбарыг арилгана уу (эсвэл нэмнэ үү).

аюулгүй байдал => аюулгүй байдал

Сумын зүүн талд байгаа энэ мөрөнд үйл явдлууд хадгалагдах файлын нэр, баруун талд хадгалагдах түвшний (үйл явдлын төрөл) зэргийг заана. AT энэ жишээАюулгүй байдлын түвшинтэй холбоотой үйл явдлууд (зөвхөн тэдгээр нь) одоор тэмдэглэсэн бүртгэлийн хавтас дахь security нэртэй файлд хадгалагдах болно.
Мэдээжийн хэрэг, өөрчлөлт хийсний дараа одоор тохиргоог дахин унших шаардлагатай. Үүнийг хийхийн тулд та одны үйлчилгээг дахин ачаалж болно, эсвэл зүгээр л бүртгэлийн тохиргоог (одтой CLI-аас бүртгэл хөтлөгчийг дахин ачаалах) боломжтой.

Үүний дараа security нэртэй файл гарч ирнэ. Энэ файлын бүртгэлийн эргэлтийг тохируулахаа бүү мартаарай (бусад одтой бүртгэлтэй адил)!

Шүүлтүүрийн дүрмийг тохируулах

Одоо бид одны ерөнхий мессежийн урсгалаас (буруу хэрэглэгчийн нэр / нууц үг, зөвшөөрөлгүй IP хаягаас нэвтрэх оролдлого гэх мэт) аюултай үйл явдлуудыг задлах шүүлтүүр үүсгэх хэрэгтэй. Үүний зэрэгцээ бид ийм аюултай байж болзошгүй үйл явдлыг илрүүлэхээс гадна тухайн үйлдлийг гүйцэтгэсэн IP хаягийг тэндээс тусгаарлах хэрэгтэй. Өөрөөр хэлбэл, бид одтой үйл явдлын файлуудаас тодорхой мөрүүдийг хайж байгаа төдийгүй шүүлтүүрийн дүрмийг тохируулж байна.
Шүүлтийн дүрмийг /etc/fail2ban/filter.d/asterisk.conf файлд бичиж болно. Энэ файлын агуулгын жишээ энд байна:

# Fail2Ban тохиргооны файл # # # $Revision: $250 # # Нийтлэг угтваруудыг уншина уу. Хэрэв ямар нэгэн тохируулга байгаа бол тэдгээрийг # common.local #before = common.conf #_daemon = од # Сонголт: failregex # Тэмдэглэл.: бүртгэлийн файл дахь нууц үгийн алдааны мессежтэй тааруулахын тулд regex-ээс уншина уу. # хостыг "хост" нэртэй бүлэг тааруулах ёстой. " " шошгыг # стандарт IP/хостны нэр тааруулахад ашиглаж болох бөгөөд зөвхөн # (?:::f(4,6):)?(?P \S+)-н хоцрогдсон нэр болно # Утга: TEXT # # Од 1.8 ашигладаг Хост: Энд тусгагдсан портын формат failregex = АНХААРУУЛГА.* .*: ".*"-аас " :.*"-д бүртгүүлж чадсангүй - Нууц үг буруу байна АНХААРУУЛГА.* .*: ".*"-ээс " :.*-д бүртгүүлж чадсангүй. " - Тохирох түнш олдсонгүй МЭДЭГДЭЛ.* .*: ".*"-аас " :.*"-н бүртгэл амжилтгүй болсон - Хэрэглэгчийн нэр/атгагчийн нэр таарахгүй МЭДЭГДЭЛ.* .*: ".*"-аас " :.*"-н бүртгэл амжилтгүй боллоо. - Төхөөрөмж таарахгүй байна ACL МЭДЭГДЭЛ.* .*: ".*"-аас " :.*"-н бүртгэл амжилтгүй болсон - Орон нутгийн домэйн биш МЭДЭГДЭЛ.* .*: ".*"-аас " :.*"-д бүртгүүлэх ажиллагаа амжилтгүй болсон - Peer нь бүртгүүлэх ёсгүй. МЭДЭГДЭЛ.* .*: ".*"-аас " :.*"-н бүртгэл амжилтгүй болсон - ACL алдаа (зөвшөөрөх/татгалзах) МЭДЭГДЭЛ.* .*: ".*"-аас " "-ын бүртгэл амжилтгүй боллоо. Нууц үг буруу байна АНХААРУУЛГА.* .*: ".*"-аас " "-ын бүртгэл амжилтгүй болсон - Тохирох түнш олдсонгүй МЭДЭГДЭЛ.* .*: ".*"-аас " "-ын бүртгэл амжилтгүй болсон - Хэрэглэгчийн нэр/атгагчийн нэр таарахгүй МЭДЭГДЭЛ E.* .*: ".*"-аас " "-ын бүртгэл амжилтгүй болсон - Төхөөрөмж ACL МЭДЭГДЭЛ-тэй таарахгүй байна.* .*: ".*"-аас " "-ын бүртгэл амжилтгүй болсон - Орон нутгийн домэйн биш МЭДЭГДЭЛ.* .*: Бүртгэл -аас ".*" нь " "-д амжилтгүй болсон - Хамтран ажиллах хүн бүртгүүлэх ёсгүй. МЭДЭГДЭЛ.* .*: ".*"-аас ""-ын бүртгэл амжилтгүй болсон - ACL алдаа (зөвшөөрөх/татгалзах) МЭДЭГДЭЛ.* .*: "\ ".*\".*" " :.*"-д бүтэлгүйтсэн - Тохирох үе тэнгийнхэн олдсонгүй. МЭДЭГДЭЛ.* .*: "\".*\".*"-с бүртгүүлэх нь " :.*"-д амжилтгүй болсон - Нууц үг буруу байна АНХААРУУЛГА. * .*: ".*"-д бүртгэл байхгүй \(from) МЭДЭГДЭЛ.* .*: Хост ".*" (.*)-д зориулсан MD5 нэвтрэлт танилт амжилтгүй болсон АНХААРУУЛГА.* .*: Хэрэглэгчийг баталгаажуулж чадсангүй .*@ . * МЭДЭГДЭЛ.* ".*"$ гэж баталгаажуулж чадсангүй. МЭДЭГДЭЛ.* .*: Төхөөрөмжийг баталгаажуулах хуурамч татгалзал илгээж байна.*\<.>

Хувилбар болон өмнөх хувилбаруудад мөр дээрх avi гэх мэт мөрүүдийг ашигладаг, учир нь дээрх хувилбарт байхгүй портын дугаар дээрх мэдээлэл хувилбараас эхлэн лог дээр гарч ирсэн тул хуучин болон шинэ хувилбаруудыг харгалзан үздэг. , тиймээс та үүнд ямар нэгэн зүйлийг өөрчлөх шаардлагагүй

Хувилбар ба түүнээс дээш хувилбаруудад, хэрэв та бүртгэлийг идэвхжүүлсэн эсвэл идэвхжүүлсэн бол эдгээр бүртгэлд шүүлтүүрийн дүрмийг тохируулахаа бүү мартаарай.

Шүүлтүүрийн дүрмийг файлд бичиж болно.Энэ файлын агуулгын жишээг энд үзүүлэв

Тусгаарлагчийг тохируулах

Одоо бид шүүлтүүрүүдээ холбохын тулд тусгаарлагч гэж нэрлэгддэг зүйлийн тайлбарыг бий болгож, эдгээр мөрүүдийг аль файлаас хайх, дараа нь юу хийх хэрэгтэйг тайлбарлах хэрэгтэй.

Үүнийг хийхийн тулд файлыг нээнэ үү

  1. -тай холбоотой бусад дүрэм байхгүй эсвэл ороогүй эсэхийг шалгаарай. Энэ жилийн хувьд файлаас нэрээр нь хашилтгүйгээр хайлт хийхэд хангалттай бөгөөд хэрэв тэдгээр нь тус бүрт ийм дүрэм байгаа бол өмчийг тогтоосон эсэхийг шалгахад хангалттай.
  2. Хэрэв хувилбар нь жижиг эсвэл лог ашиглахыг хүсэхгүй байгаа бол лог ашиглахыг зөвлөж байна, тэгвэл та зөвхөн нэг дүрэм үүсгэх хэрэгтэй, үгүй ​​бол дүрэм үүсгэх шаардлагатай болно.

Дүрмийн дугаар

Энэ дүрмийг бүх хувилбарт зориулж үүсгэх шаардлагатай. Та шинэ дүрэм үүсгэх эсвэл байгаа аль нэгийг нь өөрчлөх боломжтой боловч шинэ дүрмийг идэвхгүй болгосон, учир нь бидний жишээн дээр энэ дүрмийг дуудаж файлд ашиглах болно. бүх үндсэн төрлийн одны үйл явдлууд хадгалагддаг.

настраиваемизоляторыдляосновныхсобытийправиловключенофильтркоторымбудетпользоватьсяправилоназываетсяназваниефильтраэтоимяфайлавкаталогеккакомуфайлулогамастерискаприменятьфильтрдляпоискапотенциальноопасныхсобытийколичествопотенциальноопасныхсобытийнайденныхфильтромдлясрабатываниядействиянакакойпериодвременивсекундахприменятьдействиезакакойпериодвременивсекундахискатьвпотенциальноопасныесобытиячтоделатьеслифильтробнаружилатакузапериодсекундвлогахобнаруженопотенциальноопасныхдействийсодногоадресаблокируемвсепортыдляэтогоипосылаемписьмодлясписокадресовподсетейдлякоторыхвсепотенциальноопасныесобытияигнорируются

Дүрмийн дугаар

Энэ дүрэм нь зөвхөн хувилбар эсвэл түүнээс хойшхи хувилбартай тохиолдолд л ажиллах ба бүртгэл идэвхжсэн бол дээрээс харна уу. Мөн та шинэ дүрэм үүсгэх эсвэл одоо байгаа идэвхгүй болгосон дүрмийг өөрчлөх боломжтой.

настраиваемизоляторыдлясобытийбезопасностиправиловключенофильтркоторымбудетпользоватьсяправилоназываетсяназваниефильтраэтоимяфайлавкаталогеккакомуфайлулогамастерискаприменятьфильтрдляпоискапотенциальноопасныхсобытийколичествопотенциальноопасныхсобытийнайденныхфильтромдлясрабатываниядействиянакакойпериодвременивсекундахприменятьдействиезакакойпериодвременивсекундахискатьвпотенциальноопасныесобытиячтоделатьеслифильтробнаружилатакузапериодсекундвлогахобнаруженопотенциальноопасныхдействийсодногоадресаблокируемвсепортыдляэтогоипосылаемписьмодлясписокадресовподсетейдлякоторыхвсепотенциальноопасныесобытияигнорируются

эхлэх

Одоо та эхлүүлэх эсвэл дахин эхлүүлэх хэрэгтэй бөгөөд хэрэв шаардлагатай бол, жишээлбэл, хараахан эхлээгүй байна

Үүнийг ажиллуулахын тулд та эхлээд ажиллуулах хэрэгтэй бөгөөд дараах тушаалыг ажиллуулна уу

Дахин эхлүүлэхийн тулд дараах тушаалыг ажиллуулна уу

Үүнийг амжилттай эхлүүлсэн, дүрмүүд ачаалагдсан эсэхийг шалгахын тулд дараах тушаалыг ажиллуулна уу

мөн хоёр дахь дүрэм байгаа бол

Дүрмийн жагсаалтыг харуулахын тулд дараах тушаалыг ажиллуулна уу

Хэрэв та дөнгөж суулгасан эсвэл систем ачаалах үед автоматаар эхлэхээр тохируулагдсан эсэхийг бүү мартаарай.

Ажлыг шалгаж байна

Баталгаажуулах үйл явцын гол зүйл бол өөр компьютер эсвэл сервер рүү локал хандалттай байх явдал бөгөөд ингэснээр таны хаяг хаагдсан тохиолдолд холбогдож, энэ хаалтыг арилгах боломжтой болно.

Холбоосын ажиллагааг шалгах шаардлагатай, учир нь та бүх зүйлийг зөв тохируулсан эсвэл хуулсан байсан ч таны тохируулсан түгжээ ажиллахгүй байх олон үйл явдлын хослол байж магадгүй юм.

Холбоосын ажиллагааг шалгах үйлдлүүдийн дараалал

  1. Та компьютерийг эхлүүлэх үед тохируулагдсан стартапууд байгаа эсэхийг шалгаарай
  2. Хэрэв та үүнд зориулж дүрмүүдийг тохируулсан бол бид тус бүрийг тус тусад нь шалгахыг зөвлөж байна. Үүнийг хийхийн тулд дүрмүүдийн аль нэгийг идэвхгүй болго.
  3. компьютерээ дахин эхлүүлээд шалгана уу
    1. үйлчилгээнүүд ажиллаж байна
    2. дүрмүүдийн нэг нь идэвхжсэн, нөгөө нь идэвхгүй байна

      Энэ тохиолдолд тахир дутуу дүрмийн хувьд мессеж гарч ирнэ

      мөн маягтын оруулсан мессежийн хувьд

  4. Үйлчлүүлэгчийг сервергүйгээр өөр компьютерээс эхлүүлж, зөвшөөрөл авахын тулд буруу өгөгдлийг зааж өгнө үү. Холболтын хаяг нь серверийн хаяг байх ёстой. Нэг буюу хэд хэдэн удаа нэвтэрч үзнэ үү. Хаяг хаагдах зөвшөөрлийн тоог дараах хэсэгт зааж өгсөн болно. дүрэм бүрийн параметрийг тусад нь.
  5. Хэрэв та серверт холбогдсон компьютер дээрээ клиентээ эхлүүлсэн бөгөөд энэ нь зөв тохируулагдсан бол таны хаяг хаагдсан бөгөөд та энэ компьютерээс серверт холбогдох боломжгүй байгаа бол үүнийг шалгаад өөр компьютер эсвэл дотооддоо холбогдож, үргэлжлүүлэн ажиллуулна уу. тушаалууд
  6. Команд харахыг ажиллуул

    идэвхжүүлсэн дүрмийн хувьд, харилцагчийн холбогдсон хаяг хаагдсаны жагсаалтад байгаа эсэхийг шалгаарай

  7. Одоо, догол мөр дэх үйлдлүүдтэй адилтгаж, жишээлбэл, хоёр дахь дүрмийг, жишээлбэл, эхний дүрмийг блокло.
  8. Компьютерийг дахин эхлүүлэхийн оронд зөвхөн нэг цэгээс цэг хүртэл алхмуудыг дагана уу, энэ нь үйлчилгээг дахин эхлүүлэхэд хангалттай юм.Үүний дараа таны үйлчлүүлэгчийг эхлүүлсэн компьютерийн хаяг шууд нээгдэх болно.
  9. Та хоёр дүрмийг тусад нь туршиж үзсэнийхээ дараа тэдгээрийг for болон for параметрийн аль алинд нь идэвхжүүлэхээ мартуузай Үүний дараа мэдээж үйлчилгээг дахин ачаалахаа бүү мартаарай.
  10. Мөн сүүлчийн цэг, хэрэв та дуусгасан эсвэл өмнөх оноо хэдхэн минутын турш хангалттай хурдан байвал хоёр дүрмийг идэвхжүүлсний дараа дараагийн дахин ачаалсны дараа та эхлүүлсэн үйлчлүүлэгчийн хаягаар дахин хаагдах болно.
    Болгоомжтой байгаарай

дүрмийн удирдлага

Хаягийн хаалтыг түр идэвхгүй болгох

Үүнийг хийхийн тулд та үйлчилгээг ашиглах хэрэгтэй. Эхлээд бид консол дээр дүрмийн жагсаалтыг харуулах бөгөөд дараа нь хоригоос хасахын тулд шаардлагатай дүрмүүдийг сонгох болно.

Дүрмийн жагсаалтыг харахын тулд командыг оруулна уу

Та иймэрхүү мессежийг харах болно

Бид тушаалыг бичдэг нэрийн дор дүрмийн гинжин хэлхээнд байгаа хаягийг хоригоос хасах сонирхолтой байна.

Командыг амжилттай гүйцэтгэсэн тохиолдолд ямар ч мессеж гарч ирэхгүй бөгөөд хэрэв бид тушаалыг дахин ажиллуулбал

Энэ хаяг нь блоклосон хэвээр байгаа хэдий ч хаалтаас алга болсныг бид харах болно. Үүний зэрэгцээ бид серверт дахин холбогдох боломжтой.

Хаягийн хаалтыг бүрмөсөн идэвхгүй болгох

Нууц үг болон бусад хууль бус үйлдлүүдийг таах оролдлого бүтэлгүйтсэнээс үл хамааран тодорхой хаяг эсвэл хэд хэдэн хаягийг блоклохгүйн тулд файлд нэмэлт тохиргоо хийх шаардлагатай болно.

Файлын дүрэм бүр нь энэ дүрмийн цагаан жагсаалтад орсон хаягуудын жагсаалтыг зааж өгөх параметрийг агуулж болно. Хоёр дүрэм байж болох тул таныхыг хоёр дүрмэнд бичсэн байх ёстойг анхаарна уу.

Параметр нь дараах хэлбэртэй байна

Өөрөөр хэлбэл, энэ тохиолдолд та дэд сүлжээ болон хувь хүний ​​хаягийг хоёуланг нь зааж өгч болно, цагаан жагсаалт унана

Туршилт хийсэн хаягийн блокыг тайлж байна

Тохиргооны зөв эсэхийг шалгах явцад та интернет дэх ирээдүйн халдлагыг хаах ажлыг шалгахын тулд үйлчлүүлэгчийг дахин дахин ажиллуулдаг бөгөөд дараагийн ажлын явцад та үе үе үйлдлүүд хийх шаардлагатай болдог. Энэ нь хажуу талаас нь хааж магадгүй юм.

Энэ асуудлыг шийдэх арга замууд бий

  1. Жагсаалтын дүрмийн хаягийг оруулна уу Гэхдээ заримдаа ажлын үе үе туршилт хийх нь зохисгүй байж болно.
  2. ОбычновремяэтодлительностьинтервалавсекундахзакотороесобытиеатакаподборпаролядолжноповторитьсяразпослечегобанвступитвсилунамногоменьшечемэтовремябанавсекундахпоистечениикоторогоадресудаляетсяизсписказаблокированныхНапримервыставляетсявминутачасЛибочасаденьилидажебольшеИтакдалееПоэтомуимеетсмыслсделатьпаузудлительностьюнеменеечемсмоментапоследнеготестированияизабаниванияВашегоадресапослечегоперезагрузитьсервисПриперезагрузкесервисавсеблокировкианнулируютсяОднакоприпоследующейзагрузкелогианализируютсясноваиесливлогахвтечениебылонеудачныхпопытокподключениясодногоэтотбудетсновазабаненсразупослезапуска

Тохиргооны туршилт

Та шүүлтүүрийг нэг эсвэл өөр бүртгэлд хэрхэн ашиглахыг шалгаж болно.Үүнийг хийхийн тулд та тушаалыг ажиллуулж болно

Халдагчдын хаягийг хориглохын тулд бүртгэлд байх ёстой алдааны мэдэгдлийн хэсгүүдийг агуулсан шүүлтүүрээр шүүгдэх лог бүхий энэ жишээ замын файл хаана байна

Эцэст нь дахин ачаалахын оронд дараах тушаалыг ажиллуулж болно

Эх сурвалжийн холбоосууд

Материалыг ялангуяа regexp-ийн албан ёсны вэбсайтаас авсан бөгөөд одны дүрмийг хэсгээс авсан болно.

Утас нь хямд байж болно
болон функциональ!

ITCUBE компани өгдөг өргөн хамрах хүрээ IP-телефоныг суурилуулах, нэгтгэх, тохируулах үйлчилгээ

Мэдээллийн технологийн үйлчилгээ өндөр чанартай байж чадна!

chmod 755 install_apf_bfd.sh

./install_apf_bfd.sh

APF тохиргоо нь /etc/apf/conf.apf дотор байна

Файлыг засварлаж эхлэхийн тулд дараах тушаалыг ашиглана уу.

нано /etc/apf/conf.apе

IFACE_IN болон IFACE_OUT-г тохируулна уу сүлжээний интерфейсинтернет харж байна. Сүлжээний интерфэйсийн хувьд дотоод сүлжээ, IFACE_TRUSTED тохируулна уу.

SET_TRIM="0"

APF нь QoS-ийг дэмжих чадвартай. SIP болон IAX-ийн хувьд та дараахь зүйлийг тохируулах хэрэгтэй.

TOS _8="21,20,80,4569,5060,10000_20000"

Хэрэв та SSH портыг өөрчилбөл conf.apf файлыг энэ шинэ порттой тааруулахын тулд засах хэрэгтэй.

HELPER_SSH_PORT="2222"

2222-ыг SSH-г удирдахаар сонгосон портын дугаараар солих хэрэгтэй.

Ирж буй траффик шүүлтүүрийг нэвтрэх портуудыг нээхэд ашигладаг; TCP болон UDP нь тусдаа тохиргоотой. Asterisk (Trixbox)-ын хувьд дараах портууд нээлттэй байх ёстой; болон TCP болон UDP жагсаалтад орсон. Хэрэв та TFTP ашигладаггүй бол 69-р портыг бүү нээ. SSH портоо өөрчлөхөө бүү мартаарай. Үгүй бол та нэвтрэх боломжгүй болно; Энд бид сүүлийн жишээн дээрх 2222 портыг ашиглаж байна. Бид энэ тохиргоонд IAX портуудыг оруулаагүй болно. Зөвхөн тодорхой хостууд IAX-г ашиглах боломжтой гэдгийг баталгаажуулах хялбар арга байдаг бөгөөд бид үүнийг дараа авч үзэх болно. Хэрэв та гадаад ертөнцөд үл үзэгдэх оффисын trunkуудыг гаргахын тулд IAX ашиглаж байгаа бол энэ нь хэрэг болно.

IG_TCP_CPORTS="2222,69,80,5060,6600,10000_20000"
IG_UDP_CPORTS="69,5060,10000_20000"

Би гадагшаа шүүлтүүрийг ашигладаггүй тул энэ нийтлэлд энэ талаар ярихгүй. Энэ нь EGF="0" гэж тохируулагдсан бөгөөд анхдагчаар идэвхгүй байна.

Сонголтуудын жагсаалтыг харахын тулд тушаалын мөр, apf-г дарцаггүйгээр ажиллуул.

#apf
apf(3402): (glob) статусын бүртгэл олдсонгүй, үүсгэсэн
APF хувилбар 9.6< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Зохиогчийн эрх (C) 1999-2007, R-fx Networks< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Зохиогчийн эрх (C) 2007, Райан Макдоналд< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Энэ програмыг GNU GPL-ийн нөхцлийн дагуу чөлөөтэй тарааж болно
хэрэглээ /usr/local/sbin/apf
-s|--star ......................... галт ханын бүх дүрмийг ачаална
-r|--дахин эхлүүлэх ....................... зогсоох (угаах) ба галт ханын дүрмийг дахин ачаална
-f|--stop........ ............. бүх галт ханын дүрмийг зогсоох (угаах).
-l|--list ...................................бүх галт ханын дүрмийг жагсаана
-t|--status ........................ галт ханын төлөвийн бүртгэлийг гаргана
-e|--refresh ....................... шинэчилж, итгэлцэл дэх dns нэрийг шийдвэрлэх
дүрэм
-a HOST CMT|--HOST COMMENT-ийг зөвшөөрөх ...-д хост (IP/FQDN) нэмэх
allow_hosts.rules болон шинэ дүрмийг галт хананд нэн даруй ачаална уу
-d HOST CMT|--HOST COMMENT-ийг үгүйсгэх .... хостыг (IP/FQDN) нэмэх
deny_hosts.rules болон шинэ дүрмийг галт хананд шууд ачаална уу
-u|--HOST устгах ...................-аас хостыг устгах
*_hosts.rules ба галт хананаас дүрмийг даруй устгана уу
-o|--ovars ........................ бүх тохиргооны сонголтуудыг гаргана

APF эхлүүлэхийн тулд бид дараах тушаалуудыг ашиглана:

# apf -s
apf(3445): (glob) галт ханыг идэвхжүүлж байна
apf(3489): (glob) тодорхойлсон (IFACE_IN) eth0 нь 192.168.1.31 хаягтай
apf(3489): (glob) тодорхойлсон (IFACE_OUT) eth0 нь 192.168.1.31 хаягтай
apf(3489): (glob) preroute.rules ачаалж байна http://r-fx.ca/downloads/reserved http://feeds.dshield.org/top10-2.txt
http://www.spamhaus.org/drop/drop.lasso
apf(3489): (sdrop) drop.lasso-г /etc/apf/sdrop_hosts.rules руу задлан шинжилж байна.
apf(3489): (sdrop) sdrop_hosts.rules-г ачаалж байна
apf(3489): (glob) нийтлэг уналтын портуудыг ачаалж байна
............ энэ баримт бичигт зориулж тайрсан.......
apf(3489): (glob) өгөгдмөл (орох) оролтын уналт
apf(3445): (glob) галт ханыг эхлүүлсэн
apf(3445): (glob) !!ХӨГЖЛИЙН горимыг идэвхжүүлсэн!! - галт хана арилах болно
5 минут тутамд.

APF ажиллаж байгаа бөгөөд dshield.org болон spamhaus.org сайтаас зарим дүрмийг татаж авч байгааг бид харж байна. Одоо та бүх зүйлийг зөв тохируулсан эсэхээ шалгахын тулд SSH-ээр Asterisk (Trixbox) серверт нэвтэрч шалгацгаая. Хэрэв та холбогдож чадахгүй бол 5 минут хүлээх хэрэгтэй бөгөөд дараа нь APF блокийг суллана. Та SSH-г ашиглаж чадна гэдэгтээ итгэлтэй байвал бид conf.apf дотор DEVEL_MODE = "1"-г DEVEL_MODE = "0" болгон өөрчилж, APF-г дахин эхлүүлэх боломжтой. APF ажиллаж эхлэх бөгөөд DEVELOPMETN_MODE горимд байгаа тухай анхааруулга өгөхгүй.

APF: нэмэлт тохируулга

Хэрэв та Asterisk (Trixbox) серверүүдээ IAX-аар холбохыг хүсвэл энэ нь тохиргооны төгсгөл биш юм. Үүнийг хийхийн тулд та conf.apf-д IAX портуудыг нэмэх хэрэгтэй болно. Энэ сонголт нь статик IP эсвэл DynDNS-тэй ажиллах болно. apf -a тушаал нь тодорхой IP хаяг руу нэвтрэх боломжийг олгодог. Энэ нь дэлхийн хэмжээнд хостыг галт ханын дүрмийг алгасаж Asterisk (Trixbox)-той холбогдох боломжийг олгоно.

apf -a 192.168.1.216

Энэ нь 192.168.1.216 системд галт ханатай сервер дээрх дурын порттой холбогдох боломжийг олгох бөгөөд ингэснээр галт ханын дүрмийг алгасах болно. Хэрэв та Asterisk (Trixbox) дээр хоёуланд нь APF ажиллуулж байгаа бол зөв IP хаягийг ашиглан нөгөө хост дээр ижил зүйлийг хийхээ мартуузай.

APF нь системийн администраторт хост эсвэл бүхэл бүтэн дэд сүлжээг хаах боломжийг олгодог. Хэрэв та хэн нэгэн FTP, Telnet, SSH гэх мэтээр таны машинтай холбогдохыг оролдож байгаа бол энэ нь ашигтай. Тодорхой хостыг хаахын тулд дараахыг ашиглана уу: блоклохыг хүссэн IP хаягаа ашиглахаа мартуузай.

apf -d 192.168.1.216

Бүрэн дэд сүлжээг (CIDR) хаахын тулд:

apf -d 202.86.128.0/24

APF нь UDP пакетуудын QoS-г дэмждэггүй. Зөвхөн TCP. Үүнийг засах хялбар арга бий. /etc/apf/internals нь functions.apf файлтай. Бид энэ файлыг гараар засах ёстой. Бид нэг мөр нэмэх шаардлагатай хэд хэдэн газар байдаг. Бид functions.apf файлаас TOS_ хэсгийг хайж байна. Энэ нь иймэрхүү харагдах болно:

хэрэв[! "$TOS_0" == "" ]; тэгээд
би `echo $TOS_0 |-д зориулсан tr "," ""`; хийх
i=`echo $i | tr "_" ":"`
$IPT -t mangle -A PREROUTING -p tcp --sport $i -j TOS --set-tos 0
$IPT -t mangle -A PREROUTING -p udp --sport $i -j TOS --set-tos 0
хийсэн
fi

Энэ нэмэлт мөрийг таны ашигладаг бүх TOS битэд зориулж хийх ёстой.

BFD

Харгис хүч илрүүлэх (толь бичгийн халдлага) нь зөвшөөрөлгүй нэвтрэх оролдлогыг илрүүлэхэд ашиглагддаг.

BFD-ийн тохиргооны файл нь /usr/local/bfd дотор байрлах ба conf.bfd нэртэй. Энэ файл нь APF-тэй адил олон тайлбар агуулсан. Бид зөвхөн тохируулгын зарим сонголтыг авч үзэх болно.

Бидний авч үзэх эхний тохиргооны хувьсагч бол TRIG; Энэ нь халдагчийг хаахаас өмнөх бүтэлгүй оролдлогуудын тоо юм. Анхдагч нь 15. Энэ нь нэг бүртгэлээс биш, нэг IP хаягаар хийсэн оролдлогын тоо гэдгийг санаарай. Тэгэхээр 1 IP хаягаас 15 гарч ирнэ амжилтгүй оролдлогоөөр бүртгэл ашиглан нэвтэрсэн ч энэ нь түгжигдсэн хэвээр байх болно.

BFD нь сайхан онцлогтой - харгис хүч илэрсэн үед имэйл илгээх. Асаахын тулд энэ сонголт, EMAIL_ALERTS-г 1 болгож тохируулах; Мэдэгдэл хүлээн авах хаягаа зааж өгөхөө бүү мартаарай - EMAIL_ADRESS.

BFD нь 3 минут тутамд cron-оор ажилладаг ба /etc/cron.d.

Та дараах тушаалыг ашиглан хориотой IP хаягуудын жагсаалтыг авах боломжтой.

BFD эхлүүлэхийн тулд дараах тушаалыг ашиглана уу:

bfd -s

Дүгнэлт

Энэ нь Asterisk (Trixbox) аюулгүй байдлын шалгалтыг дуусгана.

Энэ нийтлэлд зөвхөн Asterisk (Trixbox) хамгаалах үндсэн зарчмуудыг багтаасан болно. Мэдээжийн хэрэг, найдвартай VoIP системийг бий болгох нь үүгээр хязгаарлагдахгүй.

Өгүүллийн эхийг холбоос дээрээс олж болно

© Зохиогчийн эрх 2022, Компьютер эзэмших - Интернет. Skype. Нийгмийн сүлжээ. Windows хичээлүүд