Att säkra en Server som Raspberry Pi

Gruppmedlemmar: Snehpal Singh, Rohan Kapadia, Mandar Pednakar, Prathamesh Timse

Första, vi hårdvara konfigurera Raspberry Pi med manualen och genom att köra boot, gör önskade ändringar och ställa in lösenordet.

Nu, vi gör Raspberry Pi vår webserver använder vi följande kod:

Det första vi kommer att uppdatera klockan, uppdatera våra källor och sedan uppgradera alla förinstallerade paket. Skriv följande på kommandoraden (Tryck RETUR/enter efter varje rad):

sudo dpkg-reconfigure tzdata

sudo apt-get update

sudo apt-get upgrade

Nästa, vi vill installera Hexxeh's RPI uppdateringsverktyget för att hålla Raspberry Pi uppdaterad. För att göra detta, springa den följande befallningen (Tryck RETUR/enter efter varje rad):

sudo lämplig-få installera ca-certifikat
sudo lämplig-få installera git-core

sudo wget https://raw.github.com/Hexxeh/rpi-update/master/r... - O /usr/bin/rpi-update & & sudo chmod + x /usr/bin/rpi-update

sudo rpi-uppdatering

sudo shutdown - r nu

sudo lämplig-få installera apache2 php5 libapache2-mod-php5

sudo service apache2 vila

sudo lämplig-få installera mysql-server mysql-client php5-mysql

sudo chown -R pi/var/www

sudo lämplig-få installera vsftpd

sudo nano /etc/vsftpd.conf

anonymous_enable = ja till anonymous_enable = NO. Avkommentera local_enable = ja och write_enable = YES. gå till botten med filen och lägga till force_dot_files = YES.

sudo service vsftpd omstart

Nu har satt vi upp iptables regeln att förhindra mot vanliga DoS attacker användande följande kod:

# Avvisa falska paket
iptables - en mata in -s 10.0.0.0/8 -j tappar

iptables - en mata in -s 169.254.0.0/16 -j tappar

iptables - en mata in -s 172.16.0.0/12 -j tappar

iptables - en mata in -s 127.0.0.0/8 -j tappar

iptables - en mata in -s 224.0.0.0/4 -j tappar

iptables - en mata in -d 224.0.0.0/4 -j tappar

iptables - en mata in -s 240.0.0.0/5 -j tappar

iptables - en mata in -d 240.0.0.0/5 -j tappar

iptables - en mata in -s 0.0.0.0/8 -j tappar

iptables - en mata in -d 0.0.0.0/8 -j tappar

iptables - en mata in -d 239.255.255.0/24 -j tappar

iptables - en mata in -d 255.255.255.255 -j tappar

# Stop smurf attacker

iptables - A INPUT -p icmp -m icmp--icmp-typ-Adressmaskbegäran - j tappar

iptables - A INPUT -p icmp -m icmp--icmp-typen timestamp-begäran - j tappar

iptables - A INPUT -p icmp -m icmp -j tappar

# Släpp alla ogiltiga paket

iptables - en INPUT -m state--ogiltig stat -j tappar

iptables - en framåt -m state--ogiltig stat -j droppe iptables - en OUTPUT -m state--ogiltig stat -j tappar

# Tappa överdriven RST paket för att undvika smurf attacker

iptables - A INPUT -p tcp -m tcp--tcp-flaggor RST RST -m gräns--begränsa 2/andra--limit-burst 2 -j accepterar

# Försök att blockera portscans

# Alla som försökte portscan oss är låst för en hel dag.

iptables - en mata in -m senaste--namn portscan--rcheck--sekunder 86400 -j tappar

iptables - A vidarebefordra -m senaste--namn portscan--rcheck--sekunder 86400 -j tappar

# När dagen har gått, ta bort dem från listan portscan

iptables - en mata in -m senaste--namn portscan--ta bort

iptables - A vidarebefordra -m senaste--namn portscan--ta bort

# Dessa regler Lägg till skannrar i listan portscan och logga försök.

iptables - A INPUT -p tcp -m tcp--dport 139 - m senaste--namn portscan--ange -j Stock--log-prefix "Portscan:"

iptables - A INPUT -p tcp -m tcp--dport 139 - m senaste--namn portscan--ange -j tappar

iptables - en framåt -p tcp -m tcp--dport 139 - m senaste--namnge portscan--ange -j Stock--log-prefix "Portscan:" iptables - en framåt -p tcp -m tcp--dport 139 - m senaste--namnge portscan--ange -j tappar

Nu har satt vi upp skript för avancerade brandväggsskydd och brute force-attacker:

wget http://rfxnetworks.com/downloads/apf-current.tar...
# tjära xfz apf-current.tar.gz

# CD-apf-*

#./install.sh

Kör den med:

# apf--start

BFD:

wget http://rfxnetworks.com/downloads/bfd-current.tar...
# tjära xfz bfd-current.tar.gz

# CD-bfd-*

#./install.sh

Kör den med:

/usr/local/sbin/BFD -s

Nu webbservern är säkert mot grundläggande DDoS attacker och har avancerade brandväggsskydd.