Merhabalar, Bu çözümlere ek denyhost ve/veya fail2ban uygulamaları kullanılabilir ya da iptable üzerinden belli bir IP aralığı değil de belli bir süre deneme saydırılarak bloklanabilir ki fail2ban da buna benzer çalışır.
Örnek; dakikada 3 kere denemeye izin verir: -A INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –set -A INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –update –seconds 60 –hitcount 4 -j DROP gibi... Deneme saydırmanız durumunda, şifre yerine keyle login olmanız önerilir. Zaten genel olarak key login şifreye göre daha güvenlidir. root daima ssh logine kapalı olmalıdır. Hatta ihtiyacınız yoksa root kullanıcısını tamamen devre dışı bırakmanız önerilir. Şifresiz sudo yapabilen bir kullanıcıyla da login olunamamalıdır. Şifre kullanarak sudo yapabilen bir kullanıcının bile login olduktan sonra erişimleri kısıtlı olmalı, kullanabileceği komutlar (su/sudo vs... ) bu komutlar üzerinden yapabileceği denemeler pam modülleri üzerinden sınırlandırılmalıdır. DNS, NFS erişimleri domain bilgisi kullanılarak (kerberos vs.) sınırlandırılmalı ve açıklarına karşı gerekli yamalar uygulanmalıdır. -- Teşekkürler. İyi Çalışmalar. SULUHAN 2017-09-06 18:11 GMT+03:00 Özgür Kılıçaslan <[email protected]>: > 5 Eylül 2017 15:17 tarihinde Arya Emini <[email protected]> yazdı: > >> Bir text dosyasina sunu kopyalayin >> >> :INPUT DROP [0:0] >> :FORWARD ACCEPT [0:0] >> :OUTPUT ACCEPT [0:0] >> -A INPUT -i lo -j ACCEPT >> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT >> -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT >> -A INPUT -s *SADECE_SSH_YAPABILEN_IP*/32 -p tcp -m tcp --dport 22 -j >> ACCEPT >> -A INPUT -s *COK_GUVENDIGINIZ_ALAYINA_GIDER_IP*/32 -j ACCEPT >> COMMIT >> >> sonra iptables-restore < birTextDosyasi.txt yapin. Bu, iptables >> varsayilan davranisini drop'a cekip yalnizca izin verdiginiz IP'lere giris >> izni veren bir kural olusturur. 80 ve 443 portlari da herkese acik olur. >> Bold yazili kisimlara kendi IP'nizi yazacaksiniz. Statik IP olmasi onemli >> tabi. Aksi halde IP degistikten sonra giris yapamayacaksiniz. >> >> Servis saglayiciniz size firewall sagliyordur. Bunu oradan yapmaniz daha >> iyi ancak bu da isinizi gorecektir. >> >> Dedigim gibi IP'niz degisirse siz de giremezsiniz. >> > > Merhaba, > Ev kullanıcıları için 'statik' denen IP'lerin de değişme ihtimali var. > > > -- > *Görünen*, *gerçek olsaydı bilime* gerek kalmazdı. > > _______________________________________________ > Linux-sunucu E-Posta Listesi > [email protected] > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > >
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
