Kuidas vältida jõhkra jõu rünnakut oma Linuxi serverisse [tegeliku elu õppetunnid]

Toimetaja märkused: See postitus aitab enamasti neid, kes oma veebisaiti Ubuntu Linux Serveris haldavad. Sellest hoolimata on see huvitav ja annab ülevaate serveri haldamise tegelikkusest.

ALGUS

Viimase kahe nädala jooksul on minu andmebaas jooksnud pidevalt samal kellaajal päevas, iga päev. Ma eirasin seda alguses ja arvasin, et see on lühiajaline probleem, kuid siis ei läinud see enam kuskile. Tegelikult muutus ajaga tohutuks probleemiks ja kukkus päeva jooksul mitu korda mu andmebaasi, minu jaoks sai see lahinguks serveri elus hoidmise ja löömise eest.

Kui foorumitelt abi küsisin, rahustasid mõned, et mu andmebaas on rikutud, mõned ütlesid, et minu apache konfiguratsioon pole õige jne. Kuid pärast ikka ja jälle kõigi koosseisude vaatlemist ei tundunud probleemi olevat. "Mida kuradit mu server iga päev peaaegu täpselt samal ajal päeva jooksul maha võtab", küsin oma hostiteenuse pakkujalt (SliceHost) meeskond otsevestluse ajal. Jagan mõnda rida oma Apache'i tõrke logist vahetult enne mu katkestamist ja arvan, mida ma neist kuulen “

See muster tõrkelogis tundub mulle jõhkra jõu rünnakuna”.

Minu tõrkelogi näitas seda (selle võib leida aadressil var / log / apache2 /).

BRUTE FORCE jõudu

“Brute Force Attack”, hüüan oma hääle tipus. “Brute Force Attack”, hüüan jälle. Muidugi ma tean, mis on Brute Force Attack, kuid nimi ise on nii hirmutav, rääkimata tähenduse teadmisest. Neile, kes ei tea, mis on Brute Force Attack, vaadake Vikipeedia. Selgub, et mõni tüüp (või gal) üritas mu parooli hävitada Brute Force Attacki meetodi abil ja ebaõnnestus üks kuu kaks nädalat otse, milline luuser. "Kannatlikkus, kannatlikkus... .." ütleb mu süda, kuid mu meel on kõik kinni, sest see on esimene kord, kui keegi mu serverit ründab.

Slicehosti meeskond oli piisavalt suur, et mind aidata, enne kui juhatas mind nende foorumitele, kus nad rahustasid, et mind võiks aidata suurem suurem kogukond, aga kas ma võiksin kunagi oodata? EI, ma ei saaks.

Nii et läksin edasi ja googeldas Google'ist kuradima, kuid kahjuks hõivasid kõik tulemused SEO hoorad ja ma ei suutnud oma tegelikule probleemile lahendust leida. Enamik tulemusi olid foorumipostitused, kus teistel kasutajatel oli sama probleem ja neil polnud veel vastuseid, kuna Google indekseeris neid kõiki.

Kuid oodake, Slicehosti meeskond soovitas mul ka installida fail2ban, kuidas ma võin selle oma serveri seadistamise korral isegi unustada. Nii et ma läksin edasi, installisin fail2ban, konfigureerisin kõik sätted ja see polnud kohe valmis. See ei pannud mind naeratama, rääkimata sellest, et olin õnnelik, kuna tahtsin teha rohkem.

Lahendus

Veelgi enam, ma pidasin silmas IP-aadressi blokeerimist, kust vägivaldne rünnak pärineb. Sain teada, et selleks on kaks meetodit - üks on läbi htaccess-i ja teine ​​blokeerib otse läbi iptables. Läksin teise meetodiga edasi, kuna see on viljakam ja hõlpsamini teostatav.

Aga kui lihtne? Erinevad saidid ajasid mind päeva jooksul erinevatel aegadel minema, mainides erinevaid käske, mis tuli terminali eri kellaaegadel sisestada. Mida kuradit? Lõpuks sain teada täpse käsu, mis tuli sisestada.

IP-aadressi blokeerimiseks sisestage oma terminali järgmine käsk:

iptable -I SISEND -S 25.55.55.55 -j DROP

IP-aadressi blokeeringu tühjendamiseks sisestage järgmine teave:

iptable -D INPUT -s 25.55.55.55 -j DROP

Kus 25.55.55.55 võib olla ükskõik milline IP-aadress. Neile, kes on Linuxi serverimajutuse alal uued, leiate IP-aadressi Apache'i tõrkelogi failist, kuid olge ettevaatlikud, ärge blokeerige oma IP-aadressi, isegi ekslikult.

IP-koodi eduka blokeerimise kontrollimiseks tippige järgmine käsk:

iptable - L

Allolevas ekraanipildis näete kolme erinevat aadressi, mille olen blokeerinud.

Õnneks pole viimase kahe päeva jooksul minu andmebaas alla käinud, kuid õppisin selle hullumeelse mäesuusatamise ajal kindlasti palju õppetunde.

1. Ärge kunagi ignoreerige vähimatki probleemi.

2. Miski pole võimatu, kõik probleemid saab lahendatud.

3. Varundamine, varundamine, varundamine. Kui teil seda pole, kruvitakse teid.

4. Ärge kunagi usaldage Google'i või mõne muu otsingumootori kuvatud tulemusi. Mõnel juhul on enamik esilehel tulemusi jama ja lahenduse leidmiseks peate tegelikult sügavamale kaevama.

5. Lisage oma serverisse täiendav turvakiht, see võib võtta aega, kuid te ei kahetse seda.

Kui soovite arvamust jagada, jätke kommentaar. Mulle meeldiks kuulda oma lugejate arvamust. Naudi!