Waleed Hamra提出的问题 -server

Waleed Hamra

Asked: 2017-08-08 03:09:20 +0800 CST

如何保护桥接 br0 接口？

1

我有一个 Ubuntu 服务器，充当 KVM 主机，以及一些暴露在网络下运行的虚拟机。

VM 有自己的 iptables 规则，它们通过主机上的直接网桥 br0 联网。

我的问题是，我应该如何处理主机上 iptables 中的这个网桥。我是否将其视为自己的设备并像对待任何接口一样保护它？有什么我应该知道的，如果我在主机上阻止它，可能会阻止访客的流量？或者也许将我的规则写入原始接口 eno1？

我的当前设置如下所示：（virbr0 未被任何 VM 使用，vmnet0 是正在运行的来宾网络）

br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet xxx.HOSTIP.xxx  netmask 255.255.255.0  broadcast 62.210.172.255
        inet6 fe80::d6ae:52ff:fece:993a  prefixlen 64  scopeid 0x20<link>
        inet6 xxx:HOSTIPv6::xxx  prefixlen xx  scopeid 0x0<global>
        ether d4:ae:52:ce:99:3a  txqueuelen 1000  (Ethernet)
        RX packets 753413  bytes 59239171 (59.2 MB)
        RX errors 0  dropped 51  overruns 0  frame 0
        TX packets 115967  bytes 17911763 (17.9 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether d4:ae:52:ce:99:3a  txqueuelen 1000  (Ethernet)
        RX packets 993041  bytes 303457181 (303.4 MB)
        RX errors 0  dropped 599  overruns 0  frame 0
        TX packets 151299  bytes 22226710 (22.2 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 182799  bytes 19199389 (19.1 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 182799  bytes 19199389 (19.1 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

virbr0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 192.168.122.1  netmask 255.255.255.0  broadcast 192.168.122.255
        ether 52:54:00:3c:92:cf  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vnet0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::fc54:ff:fe00:825e  prefixlen 64  scopeid 0x20<link>
        ether fe:54:00:00:82:5e  txqueuelen 1000  (Ethernet)
        RX packets 25390  bytes 2725539 (2.7 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 683484  bytes 266619773 (266.6 MB)
        TX errors 0  dropped 16075 overruns 0  carrier 0  collisions 0

Waleed Hamra

Asked: 2017-01-13 02:53:10 +0800 CST

为什么fail2ban发现但不禁止

8

我注意到我的 Ubuntu Xenial 服务器上有一些奇怪的东西。
它在默认端口上有 SSH，并且有 fail2ban。
Fail2ban 正在检测服务器上的蛮力尝试并相应地记录：

2017-01-12 10:58:19,927 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:03:27,808 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:08:37,936 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:13:51,538 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:18:57,939 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:24:10,399 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:29:23,161 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:34:34,064 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:39:44,540 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x

xxxx 在所有情况下都是相同的 IP，而这家伙只是在钓鱼随机用户名，如 auth.log 中所示：

Jan 12 12:05:46 MYSERVER sshd[23579]: Invalid user journalist from x.x.x.x
Jan 12 12:05:46 MYSERVER sshd[23579]: input_userauth_request: invalid user journalist [preauth]
Jan 12 12:05:46 MYSERVER sshd[23579]: Received disconnect from x.x.x.x port 47995:11: Normal Shutdown, Thank you for playing [preauth]
Jan 12 12:05:46 MYSERVER sshd[23579]: Disconnected from x.x.x.x port 47995 [preauth]

Fail2ban 看到它们，他将它们列为“找到”，但没有禁止。有任何想法吗？

编辑：

cat /etc/fail2ban/jail.d/myjails.local
[apache-auth]
enabled = true

[sshd-ddos]
enabled = true

[recidive]
enabled = true

[dovecot]
enabled = true

[postfix]
enabled=true

其余配置文件根据 Ubuntu 的健全默认设置保持不变，即/etc/fail2ban/jail.conf：

[sshd]

port    = ssh
logpath = %(sshd_log)s


[sshd-ddos]
# This jail corresponds to the standard configuration in Fail2ban.
# The mail-whois action send a notification e-mail with a whois request
# in the body.
port    = ssh
logpath = %(sshd_log)s

我们有：

cat /etc/fail2ban/jail.d/defaults-debian.conf
[sshd]
enabled = true

Waleed Hamra

Asked: 2013-06-29 01:41:27 +0800 CST

Apache2基于端口的条件部分

4

我对 apache 配置中的 if 语句了解不多，我想知道是否只有在某个端口上收到请求时才能应用配置的一部分。

简而言之，这是关于 SSL。我有基于名称的虚拟主机，我可以为端口 80 进行配置，然后将其全部复制到端口 443，并添加相关的 SSL 配置。

但这似乎是多余的。我想知道我是否可以有类似的东西：

<VirtualHost *:80 *:443>

然后我可以说：

<IfModule mod_ssl.c>
    SSLEngine on
SSLCertificateFile ...
SSLCertificateKeyFile ...
SSLCACertificateFile ...
</IfModule>

在检查连接是否在端口 443 上的 if 语句中......或者这样的事情是不可能的？服务器支持 SNI，我不担心不兼容 SNI 的浏览器。

Waleed Hamra

Asked: 2013-06-28 04:43:05 +0800 CST

如何将备份 MX 的例外添加到 tumgreyspf？

0

我有一个运行 postfix/dovecot 作为电子邮件服务器的 Ubuntu raring 服务器，使用 tumgreyspf 进行灰名单和 SPF 检查。

我的问题是我还有一个备用 MX 服务器，它应该临时存储我的电子邮件，以防我的主服务器出现故障。如果发现主服务器在线且正常运行，它通常会拒绝接收电子邮件。

问题是当它确实需要完成它的工作时，tumgreyspf 会拒绝来自备份 MX 的所有电子邮件，并出现如下错误：

Jun 27 16:18:13 hamra postfix/smtpd[28732]: NOQUEUE: reject: RCPT from mxbackup.mydomain.com[x.x.x.x]: 550 5.7.1 <[email protected]>: Recipient address rejected: QUEUE_ID="" SPF Reports: 'SPF fail - not authorized'; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<mxbackup.mydomain.com>

有任何想法吗？

Waleed Hamra

Asked: 2012-11-20 05:21:20 +0800 CST

应对 DNS 放大攻击的措施

7

我最近发现我的服务器被用作 DNS DDOS 的一部分。基本上，我的 BIND 设置允许递归，它用于使用 IP 欺骗攻击某个 IP 地址。

我采取了必要的措施来阻止这种情况，并禁用了递归。我不再是一个放大器，我想这解决了大问题，但我仍然收到大量的查询，而 BIND 对所有这些查询都回复“拒绝”。

我只是想知道我还能做些什么。我想我可以配置 fail2ban 来阻止它们，做一些类似于Debian 推荐的事情，但根据其他网站和合理的逻辑，这并不理想，因为攻击者可以轻易地让我阻止任何 IP 访问我的服务器。

那么还能做什么呢？还是我应该等待攻击者放弃？还是希望他们重新扫描并将我作为扩音器除名？

Waleed Hamra

Asked: 2012-11-18 02:55:52 +0800 CST

可能对 BIND 进行 UDP 攻击？

4

大家好，

上个月我很惊讶我的 EC2 实例（ubuntu 精确服务器），它应该仍然在免费层下，积累了大量的流量......今天，在检查我当前的账单时，我注意到我已经有大量的流量，虽然还在月中，但我担心月底的帐单会是...

我安装了 bandwidthd，几分钟后，我注意到有很多 UDP 流量到“108.162.233.15”。这显然是一个 cloudflare IP，我没有任何使用 cloudflare 的东西（据我所知）。

所以我运行“iftop”来查看正在使用哪些端口，并且我看到了从端口 80 到我的端口 53 的 UDP 流量...为什么网络服务器会查询 dns？

所以我停止在我的服务器上绑定，并在前台调试模式下运行它，看到以下查询，不断重复：

17-Nov-2012 12:30:58.216 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: endrequest
17-Nov-2012 12:30:58.217 client @0x7fbee05126e0: udprecv
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: endrequest

我的问题是……这正常吗？我应该担心吗？还是这与我的数据费用完全无关，我应该等待从 bandwidthd 看到更多数据？

先感谢您。

如何保护桥接 br0 接口？

为什么fail2ban发现但不禁止

Apache2基于端口的条件部分

如何将备份 MX 的例外添加到 tumgreyspf？

应对 DNS 放大攻击的措施

可能对 BIND 进行 UDP 攻击？

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

Waleed Hamra's questions