arkadaşlar ddsoun %100 çöüzümü yok.Ama bu yüğzdediği yükselte bilirsiniz yapacaklarınız aşagıda açıklayıcı bır bıcımde yazılmıstır.
1.)APF kurun
1.) /usr/local/src dizinine geçiyoruz.
Kod:
cd /usr/local/src
2.) Dosyayı sunucuya indiriyoruz
Kod:
wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
3.)Sıkıştırılmış arşiv dosyasını açıyoruz.
Kod:
tar -xvzf apf-current.tar.gz
4.)Uygulamanın bulunduğu dizine giriyoruz
Kod:
cd apf-0.9.5-1/
5.)Kurulum scriptini çalıştırıyoruz.
Kod:
./install.sh
yüklendiğine gösteren mesaj ekrana geliyor
Alıntı:
.: APF installed
Install path: /etc/apf
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/
6.)Ayar dosyasını açıp gerekli düzenlemeleri yapacağız
Kod:
pico /etc/apf/conf.apf
İlk önce değişkenlerin ne olduğunu size açıklayacağım sonra gerekli düzenlemeri yapacağız.
DEVM="1"
evolopment mod olarak açıklanıyor firewall ilk kurulduğunda standart olarak bu modda siz ayarları yapana kadar her 5 dakikada bir firewall kurallarını temizliyor.Böylece ssh portunu engelleseniz bile 5 dakika içerisinde girebilirsiniz.Herşeyin yolunda gittiğini anladıktan sonra bu değeri 0 olarak ayarlayın ve firewall ı yeniden başlatın.
LGATE_MAC="": Yerek ağ mac adresidir.Buraya bir değer girildiği zaman sadece buradan gelen isteklere izin verilicektir.Biz bu değeri boş bırakacağız.
LGATE_LOG="0": Değeri 1 olarak ayarlarsanız bütün ağ trafiğinin kayıdı tutulucaktır.Biz bu değeride 0 olarak bırakacağız.
EN_VNET="0": Bu değeri 1 olarak ayarlarsanız sistemdeki tüm ipler için farklı kurallar kurabilirsiniz./etc/apf/vnet/ dizinine bu kuralı yerleştirebilrisiniz gene standart olarak bir template bu dizinde var.
TIF="":Güvenilen ağlar .
DROP_LOG="1": Kernel tabanlı loglama.
LRATE="60": Iptables in dakikada logladığı olay sayısı.
IG_TCP_CPORTS="22":Sistemde içeriye tcp portlarını belirtir.22 yazan yere virgul ile açılıcak portları yazının devamında ekleyeceğiz.
IG_UDP_CPORTS="": İçeriye açılıcak udp portlarını gösterir.
EGF="0":Bu değeri 1 olarak açıcağız çıkan paketlerin filtrelenmesi.
EG_TCP_CPORTS="22":Sitemden dışarıya açılacak tcp portları.
EG_UDP_CPORTS="":Sistemden dışarıya açılıcak udp portları.
USE_DS="0"Dshield.org un engellenenler listesine bu seçeneği 1 olarak seçerseniz katkıda bulunursunuz.
Şimdi cpanel sunucuları için yapacağımız değişiklikleri adım adım anlatalım.
Kod:
pico /etc/apf/conf.apf
1.)Yazarak tekrar ayar dosyamızı açıyoruz
Kod:
USE_DS="0"
ve 3 satır altındaki
Kod:
USE_AD="0"
kısımlarını bulup
Kod:
USE_DS="1"
Kod:
USE_AD="1"
olarak değiştiriyoruz.
2.) IG_TCP_CPORTS yazan kısmı buluyoruz
içindeki portları silip aşağıdaki portları ekliyoruz
Kod:
20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096
Görünümü şu şekilde oluyor
Kod:
IG_TCP_CPORTS="20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096"
3.) IG_UDP_CPORTS kısmını buluyoruz
içindeki portları silip aşağıdaki portları eklliyoruz
Kod:
21,53,873
Görünümü şu şekilde oluyor
Kod:
IG_UDP_CPORTS="21,53,873"
3.)EFG kısmını buluyoruz EGF="0" olan değeri EGF="1" olarak değiştiriyoruz.
4.) EG_TCP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.
Kod:
21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089
Görünümü şu şekilde oluyor
Kod:
EG_TCP_CPORTS="21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089"
5.) EG_UDP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.
Kod:
20,21,37,53,873
Görünümü şu şekilde oluyor
Kod:
EG_UDP_CPORTS="20,21,37,53,873"
ayar dosyası ile işimiz bitti dosyayı kaydedip çıkıyoruz.
Diğer kontrol paneli yazılımları için yapıcağınız değişiklikler de bunlardır.
Alıntı:
----Ensim -----
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,19638"
IG_UDP_CPORTS="53"
EGF="1"
EG_TCP_CPORTS="21,22,25,53,80,110,443"
EG_UDP_CPORTS="20,21,53"
----Plesk -----
IG_TCP_CPORTS="20,21,22,25,53,80,110,143,443,465,993,995,8443"
IG_UDP_CPORTS="37,53,873"
EGF="1"
EG_TCP_CPORTS="20,21,22,25,53,37,43,80,113,443,465,873"
EG_UDP_CPORTS="53,873"
6.) Kod:
/usr/local/sbin/apf -s
komutunu uygulayarak firewall umuzu başlatıyoruz.SSH oturumumuzu kapatıp yeni bir oturum açıp sunucuya girmeye çalışıyoruz.Eğer herhangi bir sorunla karşılaşırda giremezseniz firewall kurallarının 5 dakika içinde silineceğini unutmayın.
7.)Başarılı bir şekilde giriş yaptıysanız editörümüz ile apf nin ayar dosyasını tekrar açıp devolopment moddan çıkartıcaz böylece artık firewall un kuralları 5 dakikada bir temizlenmeyecektir
Kod:
pico /etc/apf/conf.apf
DEVM="1" olan kısımı bulup DEVM="0" değiştiriyorsunuz.
8.) Kod:
/usr/local/sbin/apf -r
komutunu vererke firewall u yeniden başlatıyoruz.
Firewall ile kullanabileceğiniz parametreler
/usr/local/sbin/apf -s : Firewall u açar.
/usr/local/sbin/apf -r : Firewall u yeniden başlatır.
/usr/local/sbin/apf -st : Firewall un durumunu gösterir.
/usr/local/sbin/apf -f : Firewall u durdurur.
/usr/local/sbin/apf -l : Kuralları listeler.
Bir kullanıcının apf yardımı ile sistemden uzaklaştırılması
Kod:
/usr/local/sbin/apf -d ipnumarası
şeklindedir sistemden uzaklaştırmak istediğiniz ip numarası 81.214.247.127 ise
Kod:
/usr/local/sbin/apf -d 81.214.247.127
yazmanız yeterlidir.
Son olarak apf nin sunucu yeniden başlatıldığında otomatik olarak başlatılmasını sağlamak için aşağıdkai komutu giriyoruz.
Kod:
chkconfig --level 2345 apf on
Servera bir nmap çekip açık portlara bakalım.
Herşey istediğimiz gibi
APF antidos modülünün kurulumu:
Antidos modülü bir log analiz modülüdür arka arkaya gelen istekleri değerlendirerek bunu sizin belirlediğiniz değeri aştığında saldırganların sistemden uzaklaştırılmasını sağlamaktadır.
Kod:
/etc/apf/ad/conf.antidos
yazıp konfigurasyon dosyasını açıyoruz
LP_KLOG="0" kısmını bulup
LP_KLOG="1"
olarak değiştiriyoruz.
USR_ALERT="0" kısmını bulup
USR_ALERT="1" olarak değiştiriyoruz.
DET_SF="0" kısmını bulup
DET_SF="1" olarak değiştiriyoruz
Option: USR="[email protected]"kısmını bulup mail adresinizi yazıyorsunuz.
dosyayı kaydedip çıktıktan sonra
Kod:
crontab -e
yazarak crpntab ı açıyoruz buraya aşağıdaki girdiyi yazıyoruz
Kod:
*/2 * * * * root /etc/apf/ad/antidos -a >> /dev/lisanssız 2>&1
ve contabdan çıkıp
Kod:
/usr/local/sbin/apf -r
komutu ile firewall a restart atıyoruz.
APF Firewall unun durumu size mail ile bildirilsin
APF firewall unun durumunun yani çalışıp çalışmadığının ve loglarının size bildirilmesini istiyorsanız aşağıdaki değişikliği yapın
1.)/etc/cron.daily/ klasörüne giriyoruz
Kod:
cd /etc/cron.daily
2.)bilgilendirme dosyasını açıyoruz
Kod:
pico apfdurumbilgisi.sh
3.)İçinde aşağıdaki kodu yapıştırıyoruz mail adresinizi değiştirmeyi unutmayın.
Kod:
#!/bin/bash
tail -100 /var/log/apf_log | mail -s "APF Durum Bilgisi" [email protected]
4.)Kaydedip çıkıyoruz ve dosyaya gerekli izini vereceğiz şimdi.
Kod:
chmod 755 apfdurumbilgisi.sh
artık hergün elinize çalışıp çalışmadığına dair bir rapor gelicektir.
(alıntıdır)
2.)BFD(Brute Force Dedection) kurarak coklu ıpleri engelleyın
1.)Dosyayı sistemimize çekiyoruz.
Kod:
wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz
2.)Sıkıştırılmış arşiv dosyasını açıyoruz.
Kod:
tar -xvzf bfd-current.tar.gz
3.)Kurulum klasörüne geçiyoruz.
Kod:
cd bfd-*
Uygulamayı sisteme kuruyoruz.
Kod:
./install.sh
4.)Ayar dosyasını açıp gerekli yerleri değiştireceğiz.
Kod:
pico /usr/local/bfd/conf.bfd
ALERT_USR="0"
kısmını
ALERT_USR="1"
şeklinde
EMAIL_USR="root"
kısmınıda mail adresiniz gelecke şekilde değiştiriyorsunuz
EMAIL_USR="[email protected]"
ctrl+x tuş kombinasyonunu kullanarak dosyayı kaydedip çıkıyoruz.
Eğer kendi ipnizin serverdan uzaklaştırılmamasını istiyorsanız;
Kod:
pico -w /usr/local/bfd/ignore.hosts
yazıp kendi ip numaranızı listeye ekliyorsunuz tabi ip numaranız sabir olmalı.
5.)Bfd yi çalıştırıyoruz.
Kod:
/usr/local/sbin/bfd -s
buda bıtınce sımdı sıra geldı bir oınlem almaya daha oda black lıst hazırlamak
unutmayın butur lamerlar proxy kulnarak saldırırlar dıger turlu yakalanma riskleri buyuktur.simdi bunları engelmeye calısacagız
ektekı ıp gırıslerınızı apf den yasaklayın .Ben proxylerı buldukca sızlere burda yazacagım .Böylece lamerlar proxy ıle sıtenıze daldığında yasaklı ipler devreye gırer.
Devamı gelecek
1.)APF kurun
1.) /usr/local/src dizinine geçiyoruz.
Kod:
cd /usr/local/src
2.) Dosyayı sunucuya indiriyoruz
Kod:
wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
3.)Sıkıştırılmış arşiv dosyasını açıyoruz.
Kod:
tar -xvzf apf-current.tar.gz
4.)Uygulamanın bulunduğu dizine giriyoruz
Kod:
cd apf-0.9.5-1/
5.)Kurulum scriptini çalıştırıyoruz.
Kod:
./install.sh
yüklendiğine gösteren mesaj ekrana geliyor
Alıntı:
.: APF installed
Install path: /etc/apf
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/
6.)Ayar dosyasını açıp gerekli düzenlemeleri yapacağız
Kod:
pico /etc/apf/conf.apf
İlk önce değişkenlerin ne olduğunu size açıklayacağım sonra gerekli düzenlemeri yapacağız.
DEVM="1"
evolopment mod olarak açıklanıyor firewall ilk kurulduğunda standart olarak bu modda siz ayarları yapana kadar her 5 dakikada bir firewall kurallarını temizliyor.Böylece ssh portunu engelleseniz bile 5 dakika içerisinde girebilirsiniz.Herşeyin yolunda gittiğini anladıktan sonra bu değeri 0 olarak ayarlayın ve firewall ı yeniden başlatın. LGATE_MAC="": Yerek ağ mac adresidir.Buraya bir değer girildiği zaman sadece buradan gelen isteklere izin verilicektir.Biz bu değeri boş bırakacağız.
LGATE_LOG="0": Değeri 1 olarak ayarlarsanız bütün ağ trafiğinin kayıdı tutulucaktır.Biz bu değeride 0 olarak bırakacağız.
EN_VNET="0": Bu değeri 1 olarak ayarlarsanız sistemdeki tüm ipler için farklı kurallar kurabilirsiniz./etc/apf/vnet/ dizinine bu kuralı yerleştirebilrisiniz gene standart olarak bir template bu dizinde var.
TIF="":Güvenilen ağlar .
DROP_LOG="1": Kernel tabanlı loglama.
LRATE="60": Iptables in dakikada logladığı olay sayısı.
IG_TCP_CPORTS="22":Sistemde içeriye tcp portlarını belirtir.22 yazan yere virgul ile açılıcak portları yazının devamında ekleyeceğiz.
IG_UDP_CPORTS="": İçeriye açılıcak udp portlarını gösterir.
EGF="0":Bu değeri 1 olarak açıcağız çıkan paketlerin filtrelenmesi.
EG_TCP_CPORTS="22":Sitemden dışarıya açılacak tcp portları.
EG_UDP_CPORTS="":Sistemden dışarıya açılıcak udp portları.
USE_DS="0"Dshield.org un engellenenler listesine bu seçeneği 1 olarak seçerseniz katkıda bulunursunuz.
Şimdi cpanel sunucuları için yapacağımız değişiklikleri adım adım anlatalım.
Kod:
pico /etc/apf/conf.apf
1.)Yazarak tekrar ayar dosyamızı açıyoruz
Kod:
USE_DS="0"
ve 3 satır altındaki
Kod:
USE_AD="0"
kısımlarını bulup
Kod:
USE_DS="1"
Kod:
USE_AD="1"
olarak değiştiriyoruz.
2.) IG_TCP_CPORTS yazan kısmı buluyoruz
içindeki portları silip aşağıdaki portları ekliyoruz
Kod:
20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096
Görünümü şu şekilde oluyor
Kod:
IG_TCP_CPORTS="20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096"
3.) IG_UDP_CPORTS kısmını buluyoruz
içindeki portları silip aşağıdaki portları eklliyoruz
Kod:
21,53,873
Görünümü şu şekilde oluyor
Kod:
IG_UDP_CPORTS="21,53,873"
3.)EFG kısmını buluyoruz EGF="0" olan değeri EGF="1" olarak değiştiriyoruz.
4.) EG_TCP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.
Kod:
21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089
Görünümü şu şekilde oluyor
Kod:
EG_TCP_CPORTS="21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089"
5.) EG_UDP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.
Kod:
20,21,37,53,873
Görünümü şu şekilde oluyor
Kod:
EG_UDP_CPORTS="20,21,37,53,873"
ayar dosyası ile işimiz bitti dosyayı kaydedip çıkıyoruz.
Diğer kontrol paneli yazılımları için yapıcağınız değişiklikler de bunlardır.
Alıntı:
----Ensim -----
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,19638"
IG_UDP_CPORTS="53"
EGF="1"
EG_TCP_CPORTS="21,22,25,53,80,110,443"
EG_UDP_CPORTS="20,21,53"
----Plesk -----
IG_TCP_CPORTS="20,21,22,25,53,80,110,143,443,465,993,995,8443"
IG_UDP_CPORTS="37,53,873"
EGF="1"
EG_TCP_CPORTS="20,21,22,25,53,37,43,80,113,443,465,873"
EG_UDP_CPORTS="53,873"
6.) Kod:
/usr/local/sbin/apf -s
komutunu uygulayarak firewall umuzu başlatıyoruz.SSH oturumumuzu kapatıp yeni bir oturum açıp sunucuya girmeye çalışıyoruz.Eğer herhangi bir sorunla karşılaşırda giremezseniz firewall kurallarının 5 dakika içinde silineceğini unutmayın.
7.)Başarılı bir şekilde giriş yaptıysanız editörümüz ile apf nin ayar dosyasını tekrar açıp devolopment moddan çıkartıcaz böylece artık firewall un kuralları 5 dakikada bir temizlenmeyecektir
Kod:
pico /etc/apf/conf.apf
DEVM="1" olan kısımı bulup DEVM="0" değiştiriyorsunuz.
8.) Kod:
/usr/local/sbin/apf -r
komutunu vererke firewall u yeniden başlatıyoruz.
Firewall ile kullanabileceğiniz parametreler
/usr/local/sbin/apf -s : Firewall u açar.
/usr/local/sbin/apf -r : Firewall u yeniden başlatır.
/usr/local/sbin/apf -st : Firewall un durumunu gösterir.
/usr/local/sbin/apf -f : Firewall u durdurur.
/usr/local/sbin/apf -l : Kuralları listeler.
Bir kullanıcının apf yardımı ile sistemden uzaklaştırılması
Kod:
/usr/local/sbin/apf -d ipnumarası
şeklindedir sistemden uzaklaştırmak istediğiniz ip numarası 81.214.247.127 ise
Kod:
/usr/local/sbin/apf -d 81.214.247.127
yazmanız yeterlidir.
Son olarak apf nin sunucu yeniden başlatıldığında otomatik olarak başlatılmasını sağlamak için aşağıdkai komutu giriyoruz.
Kod:
chkconfig --level 2345 apf on
Servera bir nmap çekip açık portlara bakalım.
Herşey istediğimiz gibi
APF antidos modülünün kurulumu:
Antidos modülü bir log analiz modülüdür arka arkaya gelen istekleri değerlendirerek bunu sizin belirlediğiniz değeri aştığında saldırganların sistemden uzaklaştırılmasını sağlamaktadır.
Kod:
/etc/apf/ad/conf.antidos
yazıp konfigurasyon dosyasını açıyoruz
LP_KLOG="0" kısmını bulup
LP_KLOG="1"
olarak değiştiriyoruz.
USR_ALERT="0" kısmını bulup
USR_ALERT="1" olarak değiştiriyoruz.
DET_SF="0" kısmını bulup
DET_SF="1" olarak değiştiriyoruz
Option: USR="[email protected]"kısmını bulup mail adresinizi yazıyorsunuz.
dosyayı kaydedip çıktıktan sonra
Kod:
crontab -e
yazarak crpntab ı açıyoruz buraya aşağıdaki girdiyi yazıyoruz
Kod:
*/2 * * * * root /etc/apf/ad/antidos -a >> /dev/lisanssız 2>&1
ve contabdan çıkıp
Kod:
/usr/local/sbin/apf -r
komutu ile firewall a restart atıyoruz.
APF Firewall unun durumu size mail ile bildirilsin
APF firewall unun durumunun yani çalışıp çalışmadığının ve loglarının size bildirilmesini istiyorsanız aşağıdaki değişikliği yapın
1.)/etc/cron.daily/ klasörüne giriyoruz
Kod:
cd /etc/cron.daily
2.)bilgilendirme dosyasını açıyoruz
Kod:
pico apfdurumbilgisi.sh
3.)İçinde aşağıdaki kodu yapıştırıyoruz mail adresinizi değiştirmeyi unutmayın.
Kod:
#!/bin/bash
tail -100 /var/log/apf_log | mail -s "APF Durum Bilgisi" [email protected]
4.)Kaydedip çıkıyoruz ve dosyaya gerekli izini vereceğiz şimdi.
Kod:
chmod 755 apfdurumbilgisi.sh
artık hergün elinize çalışıp çalışmadığına dair bir rapor gelicektir.
(alıntıdır)
2.)BFD(Brute Force Dedection) kurarak coklu ıpleri engelleyın
1.)Dosyayı sistemimize çekiyoruz.
Kod:
wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz
2.)Sıkıştırılmış arşiv dosyasını açıyoruz.
Kod:
tar -xvzf bfd-current.tar.gz
3.)Kurulum klasörüne geçiyoruz.
Kod:
cd bfd-*
Uygulamayı sisteme kuruyoruz.
Kod:
./install.sh
4.)Ayar dosyasını açıp gerekli yerleri değiştireceğiz.
Kod:
pico /usr/local/bfd/conf.bfd
ALERT_USR="0"
kısmını
ALERT_USR="1"
şeklinde
EMAIL_USR="root"
kısmınıda mail adresiniz gelecke şekilde değiştiriyorsunuz
EMAIL_USR="[email protected]"
ctrl+x tuş kombinasyonunu kullanarak dosyayı kaydedip çıkıyoruz.
Eğer kendi ipnizin serverdan uzaklaştırılmamasını istiyorsanız;
Kod:
pico -w /usr/local/bfd/ignore.hosts
yazıp kendi ip numaranızı listeye ekliyorsunuz tabi ip numaranız sabir olmalı.
5.)Bfd yi çalıştırıyoruz.
Kod:
/usr/local/sbin/bfd -s
buda bıtınce sımdı sıra geldı bir oınlem almaya daha oda black lıst hazırlamak
unutmayın butur lamerlar proxy kulnarak saldırırlar dıger turlu yakalanma riskleri buyuktur.simdi bunları engelmeye calısacagız
ektekı ıp gırıslerınızı apf den yasaklayın .Ben proxylerı buldukca sızlere burda yazacagım .Böylece lamerlar proxy ıle sıtenıze daldığında yasaklı ipler devreye gırer.
Devamı gelecek
