yum-verify выполняет действия, схожие с rpm -V (—verify), — проверяет корректность установленных пакетов и их конфигурационных файлов, что может помочь при поиске следов взлома. Выводит информацию в более удобном виде, и даёт более точное описание несоответствий. Устанавливаем: # yum install yum-verify После установки — для YUM будут доступны новые опции: verify — не проверяет файлы… Читать далее »
Задача утилиты rkhunter — поиск известных бекдоров, руткитов и эксплоитов. Использует локальную базу, которую периодически обновляет, умеет отправлять отчёты на почту. Имеется в репозитории Epel, но можно установить вручную, скачав архив отсюда>>>. Устанавливаем из репозитория: # yum install rkhunter
Задача утилиты Fail2ban — мониторинг файлов (таких как /var/log/secure) и поиск в них следов bruteforce и других попыток некорректной авторизации. Так же, проверяет сервисы SSH, Dovecot, Nginx и другие. При обнаружении таковых — доступ с IP блокируется на фаерволе сервера. Установка выполняется на CentOS 6.6. Устанавливаем: # yum install fail2ban
AIDE (Advanced Intrusion Detection Enviornment) — система предотвращения взлома системы. Домашняя страница проекта — тут>>>. Суть системы — она создаёт свою базу данных директорий и файлов, и периодически отслеживает изменения в них. Устанавливаем: # yum -y install aide Проверяем: # aide -v Aide 0.14
PSAD — утилита для определения попыток сканирования открытых портов, при обнаружении таковых — отправляет оповещение на почту и может заблокировать атакующий хост. Для определения сканирования — использует указанную в конфигурации службу логирования, в данном случае — rsyslog. Устанавливаем: # yum -y install psad Редактируем /etc/rsyslog.conf. Добавляем строку: # for PSAD kern.info | /var/lib/psad/psadfifo IPTABLES генерирует очень… Читать далее »
Создаём файл пароля, как и в случае с Apache HTTP: # htpasswd -c /var/www/vhosts/.htpasswd username New password: Re-type new password: Adding password for user username Редактируем файл настроек виртуалхоста, например /etc/nginx/conf.d/newsite.com.conf, и добавляем строки: auth_basic — указатель того, что имеет место авторизация + заголовок страницы; auth_basic_user_file — указывает на файл с логинами-паролями;
В примере будем использовать бесплатный SSL-сертификат от Comodo, получить его можно тут>>>. Процедура заказа и установки платного (коммерческого) сертификата — практически та же самая, не считая деталей при оформлении заказа. Создание Private Key сервера и .CSR — запроса на получение сертификата Для начала — создаём сертификат, который мы будем использовать в нашем приложении:
Для анализа пакетов SSL есть отличный инструмент — SSLDUMP. Страница разработчика — http://ssldump.sourceforge.net. Установка и примеры выполняются на: # uname -ro FreeBSD 9.0-RELEASE-p3 Установка ssldump Не забываем обновить порты: # portsnap fetch update
Задача — импортировать все данные из хранилища формата .JKS в формат .PEM. Сначала — перенесём данные в формат PKCS12 с использованием утилиты keytool, с помощью которой и выполнялось создание и наполнение хранилища .JKS и сохраним всё в файл с расширением .p12: # keytool -importkeystore -srckeystore oldstorename.jks -destkeystore newstorename.p12 -srcstoretype JKS -deststoretype PKCS12 -srcalias myalias -destalias… Читать далее »
Что такое TLS можно почитать тут>>>. Наша задача — обеспечить шифрование между LDAP-сервером и его клиентом — phpLdapAdmin. Хотя они и работают в данном случае на одном хосте — но даже в таком случае это имеет смысл, особенно — если на сервере имеются учётные записи для других пользователей с доступом к консоли. Почему — будет… Читать далее »