Пароль!
openssl rand -base64 6 - генерирование пароля pwgen -Bs 8 1 - генерирование пароля
Шифрование!
apt-get install ecryptfs-utils - установить пакет шифрования ecryptfs-setup-swap - создать шифрованный swap ecryptfs-setup-private - создается специальный каталог ./Private ecryptfs-migrate-home -u vasya - зашифровать домашний каталог пользователя vasya mount | grep Private - проверить если шифрование ( ответ /home/vasya/.Private on /home/vasya type ecryptfs ) rm -r /home/vasya.* - если все ок не зашифрованную копию данных можно затереть
Delete
apt-get install secure-delete - установить программу для безопасного удаления файлов srm секретный-файл.txt home-video.mpg - удаления файлов безвозвратно dd if=/dev/zero of=/dev/sdb - затирание внешнего диска sdb
Защита сети!
apt-get install fail2ban - установить пакет для защиты от брутфорса ( конфиг /etc/fail2ban, перезапуск сервиса /etc/init.d/fail2ban restart) apt-get install ipkungfu - установим пакет для конфигурации firewall (для активации /etc/default/ipkungfu и меняем строку IPKFSTART = 0 на IPKFSTART = 1) Правим конфиг nano /etc/ipkungfu/ipkungfu.conf # Локальная сеть, если есть — пишем адрес сети вместе с маской, нет — пишем loopback-адрес LOCAL_NET="127.0.0.1" # Наша машина не является шлюзом GATEWAY=0 # Закрываем нужные порты FORBIDDEN_PORTS="135 137 139" # Блокируем пинги, 90% киддисов отвалится на этом этапе BLOCK_PINGS=1 # Дропаем подозрительные пакеты (разного рода флуд) SUSPECT="DROP" # Дропаем «неправильные» пакеты (некоторые типы DoS) KNOWN_BAD="DROP" # Сканирование портов? В трэш! PORT_SCAN="DROP"
Дополнительно внесем правки в /etc/sysctl.conf
nano /etc/systcl.conf # Дропаем ICMP-редиректы (против атак типа MITM) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # Включаем механизм TCP syncookies net.ipv4.tcp_syncookies=1 # Различные твики (защита от спуфинга, увеличение очереди «полуоткрытых» TCP-соединений и так далее) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_backlog=1280 kernel.core_uses_pid=1 Активируем изменения: sysctl -p
Выявляем вторжения!:
apt-get install snort - ставим по для выявления вторжений snort -D - запускаем после смотрим логи snort.
DNS:
https://anonymous-proxy-servers.net/wiki/index.php/Censorship-free_DNS_servers - днс сервера без цензуры nano /etc/resolv.conf nameserver 37.235.1.174 chattr +i /etc/resolv.conf - файл станет защищен от записи для всех
TOR:
apt-get install tor - устанавливаем браузер tor
Исследуем подключения:
netstat -na | grep ":порт\ " | wc -l - подсчет количества коннектов на определенный порт netstat -na | grep ":порт\ " | grep SYN_RCVD | wc -l - подсчет числа «полуоткрытых» TCP-соединений netstat -na | grep ":порт\ " | sort | uniq -c | sort -nr | less - просмотр списка IP-адресов, с которых идут запросы на подключение tcpdump -n -i eth0 -s 0 -w output.txt dst port порт and host IP-сервера - анализ подозрительных пакетов с помощью tcpdump iptables -A INPUT -s IP-атакующего -p tcp --destination-port порт -j DROP - дропаем подключения атакующего iptables -I INPUT -p tcp --syn --dport порт -m iplimit --iplimit-above 10 -j DROP - ограничиваем максимальное число «полуоткрытых» соединений с одного IP к конкретному порту iptables -A INPUT -p icmp -j DROP --icmp-type 8 - отключаем ответы на запросы ICMP ECHO