Tempo fa in questo articolo sull'hardening di base dei sistemi linux si è parlato delle tecniche basilari per mettere in sicurezza un sistema linux esposto sulla rete. In questo articolo vedremo come aumentare di un altro gradino la sicurezza utilizzando alcuni tra gli script più famosi, ovvero: apf (Advanced Policy-based Firewall), bfd (Brute Force Detection) e DDoS Deflate. In questo articolo vedremo come installare i citati scripts e la prima configurazione, inoltre, vedremo dove si trovano i file di configurazione per eventuali regolazioni "di fino". Questo articolo è rivolto a persone che hanno una buona padronanza dei sistemi linux, inoltre, l'uso del solo "copia e incolla" incosciente può causare un blocco del vostro sistema, come sempre consiglio di ragionare prima di compiere azioni avventate.
Installazione e configurazione di APF: Advanced Policy-based Firewall
Questo script consente di pilotare iptables, su questa pagina si trovano informazioni più dettagliate su apf. Per installare APF bisogna guadagnare i permessi di root e scaricare il seguente file:
# wget http://rfxnetworks.com/downloads/apf-current.tar.gz
scompattiamo e installiamo
# tar xfz apf-current.tar.gz # cd apf-* # ./install.sh
a questo punto il firewall è installato e bisogna configurarlo, apriamo il file:
/etc/apf/conf.apf
le prime opzioni da configurare sono le seguenti e rispettivamente servono per: attivare il firewall (di default, attraverso un cron job, ogni 5 minuti vengono aggiornate le regole); configurazione degli ingressi TCP e UDP attivi; AntiDos.
DEVEL_MODE="1" IG_TCP_CPORTS="21,22,25,53,80,110,143,443,3306" IG_UDP_CPORTS="53,111" USE_AD="1"
successivamente possiamo far partire APF con il comando:
# apf --start
Se non siamo contenti della configurazione possiamo muoverci tra la configurazione di APF, ogni singola impostazione è strettamente descritta nel file stesso. Se vogliamo modificare la configurazione AntiDos, per renderla più restrittiva dobbiamo editare il seguente file:
/etc/apf/ad/conf.antidos
Installazione e configurazione di BFD: Brute Force Detection
Questo è uno script che analizza i file di log alla ricerca di errori di autenticazione, per maggiori informazioni sul funzionamento si può consultare questa pagina. Per installare BFD, come al solito guadagnamo i privilegi di root e rispettivamente con i seguenti comandi scarichiamo, scompattiamo e installiamo lo script:
# wget http://rfxnetworks.com/downloads/bfd-current.tar.gz # tar xfz bfd-current.tar.gz # cd bfd-* # ./install.sh
il file di configurazione si trova nella seguente posizione:
/usr/local/bfd/conf.bfd
attiviamo lo script e impostiamo una mail modificando le seguenti impostazioni
ALERT="1" EMAIL_USR="username@yourdomain.com"
come per il precedente script possiamo modificare una miriade di impostazioni che si trovano nel file di configurazione, non è complicato in quanto ogni impostazione è minuziosamente descritta. Buona cosa è editare il file
/usr/local/bfd/ignore.hosts
inserendo il vostro IP, per evitare, in caso di errori, che lo script neghi a voi stessi l'accesso. Non ci resta che far partire lo script:
/usr/local/sbin/bfd -s
Installazione e configurazione di DDoS Deflate
Questo script inizialmente è stato sviluppare per funzionare sui server MediaLayer per arginare gli attacchi (D)Dos, molti sysadmin vista l'efficacia decidono di installarlo sui propri server. Come al solito guadagnamo i privilegi di amministratore e con i seguenti comandi scarichiamo e installiamo DDoS Deflate:
# wget http://www.inetbase.com/scripts/ddos/install.sh # sh install.sh
e già pronto per funzionare ma se vogliamo modificare qualche impostazione possiamo modificare il file:
/usr/local/ddos/ddos.conf
non ci resta che avviare lo script:
# /usr/local/ddos/ddos.sh -c
Conclusioni
In questo articolo abbiamo visto come aumentare di una tacca la sicurezza del nostro sistema linux, ricordate sempre che la sicurezza in modo assoluto non esiste e buona fortuna.
Saluti
PS Per gli script appena installati ricordate che al riavvio non partiranno, bisogna impostarli per farli partire al reboot.