Don Daniello Blog

Na wstępie…

Ochrona przed DDoS to ważna rzecz dla serwerów, jeśli nie chcemy mieć problemów z dostępnością usług. Prędzej czy później znajdzie się ktoś komu przeszkadza nasz serwer, chce się pobawić, wredna konkurencja, nudzi mu się itd. i akurat nasz serwer przypadł mu do ataku. Na takich agentów jest wiele sposobów. Oczywiście opisuję tutaj metody na Linuxa, bo Windows załapuje DDoS przed podłączeniem do sieci (a dobry firewall kosztuje fortunę).
Do poniższych czynności potrzebne są uprawnienia roota (su).

Po pierwsze: APF (Advanced Policy-based Firewall)

Jest to rozbudowany firewall, troszkę inny niż iptables. Nic nie przeszkadza, aby mieć je oba, a wiadomo firewall bez wrednych reguł, nie zawadza.

Instalacja:

# cd /usr/src
# mkdir utils
# cd utils
# wget http://rfxnetworks.com/downloads/apf-current.tar.gz
# tar xfz apf-current.tar.gz
# cd apf-*
# ./install.sh

I już zainstalowane… ale nie gotowe. W plikach README.apf i README.antidos znajdziesz opisy konfiguracji, które warto przeczytać. Teraz wypada zmienić trochę konfigurację. Edytuj plik /etc/apf/conf.apf i zmień następujące linie:

DEVEL_MODE=”0″
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,3306″
IG_UDP_CPORTS=”53,111″
USE_AD=”1″

Teraz krótkie wyjaśnienie: Pierwsza linijka – wyłączamy development mode. Druga linijka: Określamy dozwolone porty WEJŚCIOWE TCP. Bardzo ważne by nie zapomnieć np o porcie 22 dla SSH i wszystkich innych nam potrzebnych. Trzecie linijka, to samo tylko, że porty UDP. Tutaj głównie DNS (port 53), Portmapper (port 111). Na końcu uruchamiamy AntiDDoS (czwarta linijka).

Dobra, namęczyliśmy się, pora to wykorzystać. Odpalamy APF komendą:

# apf –start

Jeśli wyświetli Ci się błąd (Unable to load iptables module (ip_tables), aborting), dodaj w configu APF (tym co wyżej), linię „SET_MONOKERN 1″.

Po drugie: DDoS Deflate

Do działania DDoS Deflate wymagany jest APF Instalacja:

# cd /usr/src/utils
# mkdir ddos
# cd ddos
# wget http://www.inetbase.com/scripts/ddos/install.sh
# sh install.sh

Teraz konfiguracja:
W pliku/usr/local/ddos/ddos.conf możesz zwiększyć czasy blokad (banów na IP).

Odpalamy:

# /usr/local/ddos/ddos.sh -c

Gotowe. DDoS Deflate został dodany do crona. co 5 minut uruchamia się i blokuje adresy IP w APF, które mają więcej niż ilość połączeń ustawiona w configu na czas określony w configu. Polecam czas blokady zwiększyć.

Po trzecie: Reguły do IPTables

Blokada przed atakiem DOS – Ping of Death
iptables -A INPUT -p ICMP –icmp-type echo-request -m length –length 60:65535 -j ACCEPT

Blokada przed atakiem DOS – Teardrop
iptables -A INPUT -p UDP -f -j DROP

Blokada przed atakiem DOS – SYN-flood
iptables -A INPUT -p TCP –syn -m iplimit –iplimit-above 9 -j DROP

Blokada przed atakiem DOS – Smurf
iptables -A INPUT -m pkttype –pkt-type broadcast -j DROP
iptables -A INPUT -p ICMP –icmp-type echo-request -m pkttype –pkttype broadcast -j DROP
iptables -A INPUT -p ICMP –icmp-type echo-request -m limit –limit 3/s -j ACCEPT

Blokada przed atakiem DOS – UDP-flood (Pepsi)
iptables -A INPUT -p UDP –dport 7 -j DROP
iptables -A INPUT -p UDP –dport 19 -j DROP

Blokada przed atakiem DOS – SMBnuke
iptables -A INPUT -p UDP –dport 135:139 -j DROP
iptables -A INPUT -p TCP –dport 135:139 -j DROP

Blokada przed atakiem DOS – Connection-flood
iptables -A INPUT -p TCP –syn -m iplimit –iplimit-above 3 -j DROP

Blokada przed atakiem DOS – Fraggle
iptables -A INPUT -p UDP -m pkttype –pkt-type broadcast -j DROP
iptables -A INPUT -p UDP -m limit –limit 3/s -j ACCEPT

Blokada przed atakiem DOS – Jolt
iptables -A INPUT -p ICMP -f -j DROP

Istnieje możliwość, że system zastrajkuje z powodu braku w kernelu jakiegoś modułu, wtedy należy sobie przekompilować jajko lub… dać sobie spokój jeśli to za trudne, piszę o tym tylko dlatego, zebyście wiedzieli, że tak może być.

Na zakończenie…

Teraz jesteśmy (prawie) bezpieczni.
Należy pamiętać aby dodać APF do autostartu, jeśli instalujemy z paczki jest to automatycznie, jeśli z opisanego wyżej sposobu, trzeba to zrobić samemu.
Zauważ, że wszystkie pliki instalacyjne zostawiamy w katalogu /usr/src/utils. Dlaczego ? Bo jak sama nazwa wskazuje, tam powinny się znaleźć ! (A nie śmiecić w /root)

written by Don Daniello \\ tags: ddos, Linux, ochrona

Wczoraj na blogu zawitał system oceniania. Wymaga jeszcze trochę dopracowania, ale działa. Dzisiaj już posypały się głosy od jednego użytkownika. Rozbawiło mnie, ż najlepszy artykuł (o przedrostku www) dostał najniższą ocenę, a najwyższą te badziewne dowcipy :p Cóż, pozostało zrobić jeszcze jakiś formularz do propozycji tematu o którym mógłbym napisać, nie ? Komentujcie
@Edit: Formularza to moze nie ma, ale jest specjalna strona, gdzie w komentarzach możecie zaproponować temat

written by Don Daniello \\ tags: nowy blog, system ocen

Proces partycjonowania dysku twardego podczas instalacji systemu jest trudną decyzją, której skutki ponosimy później i długo. Dlatego warto się nad tym zastanowić dłuższą chwilkę. Należy skupić się nad przeznaczeniem dysku. Co będzie nam potrzebne, czego używamy najwięcej. Przedstawię taktyki partycjonowania zarówno na Windowsa jak i Linuxa.

Windows

Po pierwsze, partycja dla Windowsa. Musi ona mieć co najmniej 10 GB (dla XP), jednak nie więcej niż 20 GB (dla XP). Co z tego, ze Windows XP zajmuje 5 GB. Później dochodzi hibernacja – 4 GB (tyle ile masz pamięci RAM), aktualizacje (SP troszkę zajmują), pliki współdzielone programów (np. Adobe) bardzo dużo zajmują na C: i wiele innych rzeczy także samo się tam wetnie. Partycja systemowa w formacie NTFS !

Co trzymamy na partycji systemowej (C:):
- pliki współdzielone programów (np. Adobe)
- sterowniki
- programów NIE INSTALUJ na partycji systemowej

Drugą partycją u mnie jest 30 GB partycja FAT-32. Jest to FAT po to by Linux także mógł na niej operować. Teraz jednak nie jest to już konieczne. Linux najczęściej dobrze radzi sobie z odczytem i zapisem na NTFS.
Na drugiej partycji możemy trzymać jakieś pliki najczęściej określane jako „śmieci”. U mnie są to wszelkiego rodzaju Dokumenty, Muzyka, Pliki pobrane z internetu (nieselekcjonowane), Projekty WWW, Skany, Czcionki, Sterowniki (do zainstalowania), Zdjęcia. Jest to partycja opcjonalna,  NTFS o ile nie mamy starszego Linuxa.

Trzecia partycja – NTFS, ok 50-100 GB (w zależności ile możemy dać). U mnie na takiej partycji są dwa foldery: „Gry” i „Programy”. Wiadomo do czego jej używamy ? Należy pamiętać, że teraz każda gra zajmuje najczęściej ok 10 GB i więcej.
Ważne by gry i programy były zainstalowane na innej partycji niż system. Gdy system się rypnie, lub go reinstalujemy, większość programów będzie działała na czystym systemie (nie wszystkie, niektóre wymagają wpisów w rejestrze i trzeba je przeinstalować).

Czwarta partycja – reszta dysku, NTFS. U mnie używana do trzymania filmów, filmów z kamery przed zakodowaniem (20GB na 1,5h), po zakodowaniu, instalki programów pobrane z internetu. Partycja niekoniecznie musi być osobno. Można ją połączyć w jedno z partycją trzecią, wtedy będziemy mieli gwarancje, że nie zabraknie miejsca.

Ogólnie: System osobno, dane osobno.

Linux

Tutaj najczęściej wystarczą dwie partycje. Jedna to katalog główny „/”, druga to SWAP.
SWAP powinien mieć wielkość 2-3* pamięć RAM komputera.

Warto zrobić „/” osobno i „/home” osobno. Dzięki temu jeśli system się rypnie my rypniemy system, wszystkie nasze dane (i ustawienia!) zostaną na oddzielnej partycji, nietknięte. Bardzo przydatne podczas częstego reinstalowania, eksperymentowania no i gdy nie chcemy mieć problemu, polecam tę opcję. W tym przypadku „/” to około 10-20 GB, „/home” to cała reszta.

Na serwerach często rozrasta się także „/var” przez co najłatwiej trzymać wszystko razem (dla bezpieczeństwa można użyć RAID, ale o tym kiedy indziej).

To by było na tyle głównych zasad Oczywiście wszystko zależy od każdego użytkownika, ale warto się nad tym zastanowić wcześniej, niż potem cierpieć. Mam nadzieję, że te rady komuś pomogą. Jak ktoś chce dodać coś od siebie, komentarze mile widziane.

written by Don Daniello \\ tags: dysk twardy, Linux, partycjonowanie, Windows

Zgubiłem gdzieś swój numerek użytkownika Linuxa i zrobiłem sobie nowy

Zachęcam do rejestracji na http://counter.li.org

written by Don Daniello \\ tags: Linux, registered user

Przeładuj stronę aby zobaczyć kolejny dowcip.

written by Don Daniello \\ tags: losowy dowcip