Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- passwd root
- nano /etc/ssh/sshd_config ==> Port 19038
- service ssh restart
- ssh -p 19038 root@xx.xx.xx.xx
- apt-get update && apt-get upgrade
- iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
- # Запрет скрытого сканирования nmap.
- iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT && iptables -A INPUT -p icmp --icmp-type echo-request -j DROP && iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP && iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP && iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP
- # Блокируем ping и echo.
- iptables -A INPUT -p tcp --dport 25 -j DROP && iptables -A OUTPUT -p tcp --dport 25 -j DROP && iptables -A INPUT -p tcp --dport 21 -j DROP && iptables -A OUTPUT -p tcp --dport 21 -j DROP && iptables -A INPUT -p tcp --dport 22 -j DROP && iptables -A OUTPUT -p tcp --dport 22 -j DROP
- # Закрываем порты 21, 22, 25.
- iptables -N antiscan && iptables -A antiscan -s 213.184.250.166 -j ACCEPT && iptables -A antiscan -j DROP
- # Активируем антискан.
- apt-get install fail2ban
- service fail2ban start
- nano /etc/sysctl.conf ==>
- # Дропаем ICMP-редиректы (против атак типа MITM)
- net.ipv4.conf.all.accept_redirects=0
- net.ipv6.conf.all.accept_redirects=0
- # Включаем механизм TCP syncookies
- net.ipv4.tcp_syncookies=1
- # Различные твики (защита от спуфинга, увеличение очереди «полуоткрытых» TCP-соединений и так далее)
- net.ipv4.tcp_timestamps=0
- net.ipv4.conf.all.rp_filter=1
- net.ipv4.tcp_max_syn_backlog=1280
- kernel.core_uses_pid=1
- sysctl -p
- nano /etc/ssh/sshd_config ==>
- PasswordAuthentication no
- LoginGraceTime 5s
- nano /etc/hosts.allow ==> SSHD: xx.xx.xx.xx
- nano /etc/hosts.deny ==> SSHD: ALL
- service ssh restart
- apt-get install easy-rsa
- cd /usr/share/easy-rsa
- nano ./vars
- # Изменяем строку export KEY_SIZE=2048. 2048 уменьшаем до 1024.
- ln -s /usr/share/easy-rsa/openssl-0.9.8.cnf openssl.cnf
- source ./vars
- ./clean-all
- ./build-ca
- ./build-key-server server
- ./build-key 1
- ./build-dh
- apt-get install openvpn
- cp -R /usr/share/easy-rsa/keys/ /etc/openvpn/
- nano /etc/openvpn/server.conf ==> необходимая инфа для создания конфига openpvn
- nano /etc/sysctl.conf ==> net.ipv4.ip_forward = 1
- iptables -t nat -A POSTROUTING -s 10.100.0.0/24 -o ens3 -j MASQUERADE
- apt-get install iptables-persistent
- # для сохранения настроек iptables.
- reboot
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement