Att säkra en Server som Raspberry Pi
Gruppmedlemmar: Snehpal Singh, Rohan Kapadia, Mandar Pednakar, Prathamesh Timse
Första, vi hårdvara konfigurera Raspberry Pi med manualen och genom att köra boot, gör önskade ändringar och ställa in lösenordet.
Nu, vi gör Raspberry Pi vår webserver använder vi följande kod:
Det första vi kommer att uppdatera klockan, uppdatera våra källor och sedan uppgradera alla förinstallerade paket. Skriv följande på kommandoraden (Tryck RETUR/enter efter varje rad):
sudo dpkg-reconfigure tzdata
sudo apt-get update
sudo apt-get upgrade
Nästa, vi vill installera Hexxeh's RPI uppdateringsverktyget för att hålla Raspberry Pi uppdaterad. För att göra detta, springa den följande befallningen (Tryck RETUR/enter efter varje rad):
sudo lämplig-få installera ca-certifikat
sudo lämplig-få installera git-core
sudo wget https://raw.github.com/Hexxeh/rpi-update/master/r... - O /usr/bin/rpi-update & & sudo chmod + x /usr/bin/rpi-update
sudo rpi-uppdatering
sudo shutdown - r nu
sudo lämplig-få installera apache2 php5 libapache2-mod-php5
sudo service apache2 vila
sudo lämplig-få installera mysql-server mysql-client php5-mysql
sudo chown -R pi/var/www
sudo lämplig-få installera vsftpd
sudo nano /etc/vsftpd.conf
anonymous_enable = ja till anonymous_enable = NO. Avkommentera local_enable = ja och write_enable = YES. gå till botten med filen och lägga till force_dot_files = YES.
sudo service vsftpd omstart
Nu har satt vi upp iptables regeln att förhindra mot vanliga DoS attacker användande följande kod:
# Avvisa falska paket
iptables - en mata in -s 10.0.0.0/8 -j tappar
iptables - en mata in -s 169.254.0.0/16 -j tappar
iptables - en mata in -s 172.16.0.0/12 -j tappar
iptables - en mata in -s 127.0.0.0/8 -j tappar
iptables - en mata in -s 224.0.0.0/4 -j tappar
iptables - en mata in -d 224.0.0.0/4 -j tappar
iptables - en mata in -s 240.0.0.0/5 -j tappar
iptables - en mata in -d 240.0.0.0/5 -j tappar
iptables - en mata in -s 0.0.0.0/8 -j tappar
iptables - en mata in -d 0.0.0.0/8 -j tappar
iptables - en mata in -d 239.255.255.0/24 -j tappar
iptables - en mata in -d 255.255.255.255 -j tappar
# Stop smurf attacker
iptables - A INPUT -p icmp -m icmp--icmp-typ-Adressmaskbegäran - j tappar
iptables - A INPUT -p icmp -m icmp--icmp-typen timestamp-begäran - j tappar
iptables - A INPUT -p icmp -m icmp -j tappar
# Släpp alla ogiltiga paket
iptables - en INPUT -m state--ogiltig stat -j tappar
iptables - en framåt -m state--ogiltig stat -j droppe iptables - en OUTPUT -m state--ogiltig stat -j tappar
# Tappa överdriven RST paket för att undvika smurf attacker
iptables - A INPUT -p tcp -m tcp--tcp-flaggor RST RST -m gräns--begränsa 2/andra--limit-burst 2 -j accepterar
# Försök att blockera portscans
# Alla som försökte portscan oss är låst för en hel dag.
iptables - en mata in -m senaste--namn portscan--rcheck--sekunder 86400 -j tappar
iptables - A vidarebefordra -m senaste--namn portscan--rcheck--sekunder 86400 -j tappar
# När dagen har gått, ta bort dem från listan portscan
iptables - en mata in -m senaste--namn portscan--ta bort
iptables - A vidarebefordra -m senaste--namn portscan--ta bort
# Dessa regler Lägg till skannrar i listan portscan och logga försök.
iptables - A INPUT -p tcp -m tcp--dport 139 - m senaste--namn portscan--ange -j Stock--log-prefix "Portscan:"
iptables - A INPUT -p tcp -m tcp--dport 139 - m senaste--namn portscan--ange -j tappar
iptables - en framåt -p tcp -m tcp--dport 139 - m senaste--namnge portscan--ange -j Stock--log-prefix "Portscan:" iptables - en framåt -p tcp -m tcp--dport 139 - m senaste--namnge portscan--ange -j tappar
Nu har satt vi upp skript för avancerade brandväggsskydd och brute force-attacker:
wget http://rfxnetworks.com/downloads/apf-current.tar...
# tjära xfz apf-current.tar.gz
# CD-apf-*
#./install.sh
Kör den med:
# apf--start
BFD:
wget http://rfxnetworks.com/downloads/bfd-current.tar...
# tjära xfz bfd-current.tar.gz
# CD-bfd-*
#./install.sh
Kör den med:
/usr/local/sbin/BFD -s
Nu webbservern är säkert mot grundläggande DDoS attacker och har avancerade brandväggsskydd.