Cách thiết lập một Honeypot Pháo binh trên VPS Ubuntu
Pháo binh là một công cụ phòng thủ đa mục đích cho các hệ thống dựa trên Linux bao gồm khả năng honeypot, tăng cường hệ điều hành, giám sát hệ thống file và phân tích mối đe dọa theo thời gian thực. Một mình nó cung cấp một lượng bảo mật hợp lý cho hệ thống của bạn, nhưng nó được sử dụng như một phần của sơ đồ bảo mật nhiều lớp và hoạt động tốt với firewall ứng dụng web như ModSecurity.Một số tính năng hữu ích nhất của Pháo binh là honeypot, giám sát hệ thống file và các khía cạnh phân tích mối đe dọa theo thời gian thực, vì vậy bài viết này sẽ chủ yếu tập trung vào những tính năng đó. Honeypot được thiết kế để trả lời máy quét cổng và lỗ hổng bằng một số cổng bị tấn công phổ biến nhất như SSH, MSSQL, RPC / SMB, v.v. Điều này thực sự làm cho server Linux của bạn có vẻ là server dựa trên Windows đối với kẻ tấn công.
Giám sát hệ thống file hoạt động bằng cách chủ động giám sát các folder được nhắm đến thường để tìm các thay đổi (/ tmp, / var / www) và giám sát các file có tầm quan trọng lớn đối với những kẻ tấn công (/ etc / passwd, / etc / shadow /, ~ / .ssh / allow_keys ). Pháo binh được cấu hình để theo dõi các file và folder phổ biến nhất này theo mặc định, nhưng cho phép user dễ dàng đưa vào các file hoặc folder nào mà bạn cảm thấy cần theo dõi.
Một trong những tính năng thú vị hơn khiến Pháo binh khác biệt với nhiều công cụ phòng thủ khác là “Nguồn cấp dữ liệu tình báo về mối đe dọa pháo binh” tổng hợp địa chỉ ip và thông tin về những kẻ tấn công đã biết vào nguồn cấp dữ liệu trung tâm, sau đó được dùng bởi bất kỳ máy nào đang chạy Pháo binh để phát hiện và cấm những kẻ tấn công đã biết khỏi server của bạn trong thời gian thực.
Download và Cài đặt Pháo binh
Việc download Pháo binh yêu cầu cài đặt git trên server của bạn. Nếu nó hiện chưa được cài đặt, bạn cần cài đặt nó thông qua trình quản lý gói phân phối của bạn . Lệnh sau sẽ thực hiện thủ thuật:
apt-get update && apt-get install git
Sau khi cài đặt xong git, ta đã sẵn sàng sao chép các gói Pháo binh.
git clone https://github.com/trustedsec/artillery/ artillery/
Bây giờ ta có thể di chuyển đến folder Pháo binh và chạy trình cài đặt.
cd /artillery ./setup.py
Bạn sẽ được đưa ra ba dấu nhắc trong quá trình cài đặt yêu cầu câu trả lời y / n. Hãy tiếp tục và trả lời có cho từng câu hỏi. Lưu ý bạn có thể gặp lỗi khi kết thúc cài đặt nói rằng /var/artillery/database/temp.database không tồn tại. Nếu bạn gặp lỗi này, các lệnh sau sẽ khắc phục sự cố.
mkdir /var/artillery/database touch /var/artillery/database/temp.database service artillery restart
Cấu hình Pháo binh
Bây giờ ta có một cài đặt chức năng của Pháo binh. Ngoài ra, Artillery được cấu hình trước cho các bản cài đặt Linux điển hình, nhưng bạn nên tùy chỉnh các cấu hình để phù hợp với nhu cầu của VPS cá nhân của bạn. Ta sẽ hướng dẫn bạn chỉnh sửa file cấu hình ngay bây giờ.
Mở file cấu hình bằng nano.
nano /var/artillery/config
Thay đổi dòng sau cho phép giám sát hệ thống file cho các folder tùy chỉnh:
MONITOR_FOLDERS=”/var/www”,”/etc”
Chỉ cần thêm bất kỳ folder nào bạn muốn theo dõi sau “/ etc”. Ví dụ, nếu bạn muốn theo dõi / root, bạn sẽ thêm, ”/ root”. Kết quả cuối cùng sẽ như thế này.
MONITOR_FOLDERS=”/var/www”,”/etc”,”/root”
Mục EXCLUDE cho phép bạn chỉ định các folder hoặc file KHÔNG NÊN được giám sát. Ví dụ: nếu bạn không muốn / etc / passwd bị giám sát, bạn sẽ thay đổi mục nhập như sau:
EXCLUDE=/etc/passwd
Bạn cũng có thể đưa các địa chỉ IP vào danh sách trắng nếu cần. Điều này rất hữu ích nếu bạn là thành viên của group truy cập vào server ảo và bạn không muốn bị ai đó cấm vì không nhập đúng password SSH 4 lần. Bạn nên đưa ít nhất địa chỉ IP của bạn vào danh sách trắng nếu bạn định chạy các trình quét cổng tự động hoặc lỗ hổng bảo mật chống lại server của bạn vì làm như vậy sẽ gây ra lệnh cấm và bạn sẽ không thể kết nối được nữa. Theo mặc định, địa chỉ lặp lại được đưa vào danh sách trắng, để thêm IP bổ sung, chỉ cần nhập dấu phẩy và sau đó nhập IP như sau:
WHITELIST_IP=127.0.0.1,localhost,xxx.xxx.xxx.xxx <-Replace the x's with your IP address.
Ngoài ra, bạn có thể chỉ định các cổng mà honeypot sẽ báo cáo là đang mở. Như đã đề cập trước đó, honeypot được cấu hình theo mặc định để sinh ra honeypot trên các cổng thường bị tấn công nhất, nhưng nếu bạn cảm thấy cần thiết, bạn có thể thêm các cổng bổ sung bằng cách thêm các mục được phân tách bằng dấu phẩy. Để thêm các cổng 1024 và 139, bạn sẽ thay đổi dòng sau:
PORTS="135,445,22,1433,3389,8080,21,5900,25,53,110,1723,1337,10000,5800,44443"
đến
PORTS="135,445,22,1433,3389,8080,21,5900,25,53,110,1723,1337,10000,5800,44443,1024"
Bạn nên bật cập nhật tự động bằng cách thay đổi giá trị của auto_update thành bật.
AUTO_UPDATE=ON
Theo mặc định, Pháo binh được cấu hình để cố gắng giảm thiểu các cuộc tấn công DoS (Từ chối dịch vụ) chống lại các cổng 80 (http) và 443 (https). Nếu server của bạn chạy các dịch vụ web trên các cổng khác (8080,8180,10000), bạn có thể bật tính năng bảo vệ DoS trên các cổng đó bằng cách thêm các cổng, phân tách bằng dấu phẩy.
ANTI_DOS_PORTS=80,443,8080,8180,10000
Nếu bạn muốn tắt bảo vệ DoS, chỉ cần thay đổi giá trị của ANTI_DOS thành tắt.
ANTI_DOS=ON
Bảo dưỡng Pháo binh
Pháo binh được thiết kế để chạy như một dịch vụ sau khi lắp đặt. Trong quá trình cài đặt, Pháo binh tự khởi động nên không cần khởi động lại server .
Pháo binh sẽ tự khởi động sau mỗi lần khởi động lại server của bạn, cung cấp khả năng bảo vệ liên tục trong nền.
Giống như Apache, Artillery có thể được khởi động và khởi động lại như một dịch vụ bằng cách chạy các lệnh sau:
service artillery start # <-Starts the service. service artillery restart # <-Restarts the service.
Bạn cũng có thể kiểm tra việc sử dụng tài nguyên hệ thống hiện tại của Pháo binh với ps aux và trên cùng như sau:
Lưu ý Process ID Artillery đang chạy như.
ps aux | grep artillery
Thay thế PID bằng ID quy trình của Pháo binh.
top -p PID
Điều quan trọng cần lưu ý là nếu user không cung cấp đúng password SSH 4 lần liên tiếp, họ sẽ bị cấm và không thể kết nối với server nữa. Nếu điều này xảy ra và user được ủy quyền đã bị cấm, Pháo binh sẽ bao gồm một tập lệnh để đặt lại lệnh cấm. Cách sử dụng script là:
Chuyển đến folder pháo binh
cd /var/artillery
Thay thế x bằng ip của user bị cấm.
./reset-bans.py xxx.xxx.xxx.xxx
Bây giờ ta sẽ có một bản cài đặt Pháo binh đang hoạt động được cấu hình theo nhu cầu của bạn. Pháo binh tốn ít tài nguyên hệ thống nên không cần nâng cấp CPU / Bộ nhớ trên server của bạn để chứa nó. Cũng lưu ý vì lợi ích ngắn gọn, ta đã không đề cập đến mọi mục nhập trong file cấu hình; thay vào đó, ta đề cập đến các mục nhập phổ biến và quan trọng nhất. Hãy thử nghiệm và xem tùy chọn cấu hình nào phù hợp nhất với bạn.
<div class = “author”> Gửi bởi: <a
href = “https://twitter.com/Su1ph3r”> Paul White </div>
Các tin liên quan
Cách triển khai Bộ sao chép trong MongoDB trên VPS Ubuntu2013-12-03
Cách tạo một cụm Sharded trong MongoDB bằng VPS Ubuntu 12.04
2013-12-02
Cách sử dụng ApacheBench để thực hiện kiểm tra tải trên VPS Ubuntu 13.10
2013-11-25
Cách cài đặt control panel Ajenti trên Ubuntu 13.04
2013-11-12
Cách thiết lập và cài đặt Django CMS trên VPS Debian 7 hoặc Ubuntu 13
2013-11-12
Cách cài đặt Dropplets trên Ubuntu 13.04 NGINX VPS
2013-10-25
Cách sử dụng HAProxy để thiết lập cân bằng tải HTTP trên VPS Ubuntu
2013-09-26
Cách tạo Omega 4 Drupal Subtheme trên Ubuntu VPS
2013-09-26
Cách sử dụng tính năng trùng lặp với GPG để tự động hóa an toàn các bản backup trên Ubuntu
2013-09-19
Cách cấu hình một cụm đa node với Cassandra trên VPS Ubuntu
2013-09-11