KZoli: /* A fail2ban telepítése */

2025-03-20T10:09:08Z

A fail2ban telepítése

← Régebbi változat		A lap 2025. március 20., 10:09-kori változata
167. sor:		167. sor:
	maxretry = 3		maxretry = 3
	bantime = 600		bantime = 600
	ignoreip = IP.IP.IP.IP IP.IP.IP.IP/MASK</pre>		#ignoreip = IP.IP.IP.IP IP.IP.IP.IP/MASK</pre>
	A majdani publikus kihelyezésre gondolva célszerű bekapcsolni a Postfix védelmét is:		A majdani publikus kihelyezésre gondolva célszerű bekapcsolni a Postfix védelmét is:
	<pre>sudo touch /etc/fail2ban/jail.d/postfix.conf; sudo chmod 600 /etc/fail2ban/jail.d/postfix.conf		<pre>sudo touch /etc/fail2ban/jail.d/postfix.conf; sudo chmod 600 /etc/fail2ban/jail.d/postfix.conf
180. sor:		180. sor:

	''Opcionális'' gyors tesztként egy, a telepítés alatt álló szervert TCP-n keresztül elérő gépről (ne a saját munkaállomásunkról!) próbáljunk SSH-n sikertelenül bejelentkezni, és figyeljük a ''/var/log/fail2ban.log'' állományban az IP kitiltását, illetve 10 perc utáni újraengedélyezését. Ha megadtunk megbízható IP-t vagy tartományt, ellenőrizhetjük, hogy az innen indított sikertelen lekérésekre a kitiltás nem történik meg.		''Opcionális'' gyors tesztként egy, a telepítés alatt álló szervert TCP-n keresztül elérő gépről (ne a saját munkaállomásunkról!) próbáljunk SSH-n sikertelenül bejelentkezni, és figyeljük a ''/var/log/fail2ban.log'' állományban az IP kitiltását, illetve 10 perc utáni újraengedélyezését. Ha megadtunk megbízható IP-t vagy tartományt, ellenőrizhetjük, hogy az innen indított sikertelen lekérésekre a kitiltás nem történik meg.

	==Csomagszűrő tűzfal beállítása==		==Csomagszűrő tűzfal beállítása==
	A házirend szerint valamennyi szervert ''bastion host''-ként kell kialakítani, azaz saját (csomagszűrő) tűzfallal kell rendelkezzen. A gyakorlatban ez a Linux kernel ''netfilter'' (''iptables'') konfigurálását jelenti, amelyet ebben a leírásban az Ubuntu terjesztésben alapértelmezetten telepített [https://en.wikipedia.org/wiki/Uncomplicated_Firewall UFW] (Uncomplicated Firewall) parancssori frontend segítségével valósítunk meg.		A házirend szerint valamennyi szervert ''bastion host''-ként kell kialakítani, azaz saját (csomagszűrő) tűzfallal kell rendelkezzen. A gyakorlatban ez a Linux kernel ''netfilter'' (''iptables'') konfigurálását jelenti, amelyet ebben a leírásban az Ubuntu terjesztésben alapértelmezetten telepített [https://en.wikipedia.org/wiki/Uncomplicated_Firewall UFW] (Uncomplicated Firewall) parancssori frontend segítségével valósítunk meg.

KZoli: Új oldal, tartalma: „Ez a fejezet egy alaptelepített Ubuntu Fossa szervergép nyilvános elérésűvé tételéhez minimálisan szükséges b…”

2025-02-09T14:18:44Z

Új oldal, tartalma: „Ez a fejezet egy alaptelepített Ubuntu Fossa szervergép nyilvános elérésűvé tételéhez minimálisan szükséges b…”

Új lap

Ez a fejezet egy [[Ubuntu szerver alaptelepítés (22.04 LTS)|alaptelepített]] Ubuntu Fossa szervergép nyilvános elérésűvé tételéhez minimálisan szükséges beállításokkal foglalkozik. Az alábbiak jó része a [http://www.debian.org/doc/manuals/securing-debian-howto/ Securing Debian Manual] illetve a közismert (és nagyon régi) [http://www.szabilinux.hu/bw/bw00.html Zákány-dolgozat] alapján készült.

'''TODO:''' [https://apparmor.net/ AppArmor], [https://wiki.debian.org/SELinux SELinux], [https://en.wikipedia.org/wiki/PaX PaX], [https://grsecurity.net/ grsecurity]

'''Work in progress''' - kritikával olvasd!

==Kernel paraméterek==
'''TODO!'''

A beállított paraméterek az alábbi paranccsal (vagy a számítógép újraindításával) érvényesíthetőek:
<pre>sudo sysctl --system</pre>

==File jogosultságok szigorítása==
Az alábbi script lefuttatásával megszüntetjük a ''worldwide'' olvasható ''home'' könyvtárakat, másolatot készítünk a ''master boot record''-ról, és megszigorítjuk néhány fontos könyvtár és file elérhetőségét. Célszerű ezt a scriptet futtatási jog nélkül (pl. chmod 600) a ''/root/install/security.sh'' állományba tenni, és indirekt lefuttatni:
<pre>sudo mkdir /root/install/
sudo touch /root/install/security.sh
sudo chmod 600 /root/install/security.sh
sudo mcedit /root/install/security.sh
[...]
sudo /bin/bash /root/install/security.sh</pre>
<pre>#!/bin/sh
# Checklist to set up some security settings.
# From Linux Security Quick Reference Guide - http://www.LinuxSecurity.com
# https://github.com/shadowbq/Cheat-Sheets/blob/master/posix/Linux%20Security%20Quick%20Reference%20Guide.pdf

BOOTDEV=/dev/sda # Modify, if you boot from another device

sudo chmod -R o-rwx /root # Hide root's home dir
sudo chmod -R o-rwx /home/* # Hide user's home dirs

# Save MBR to file - keep a backup on floppy disk or CD!
sudo dd if=$BOOTDEV of=/$(dirname $0)/mbr.`hostname`.`date +%Y%m%d` bs=512 count=1

# Permissions for critical system files
chmod o-r /var/log # Logfile directory
chmod 600 /etc/crontab # System-wide crontab
chmod o-x /etc/logrotate.conf # Controls rotating of system log files
chmod o-x /etc/logrotate.d # Controls rotating of system log files
chmod o-rwx /var/log/wtmp # Who is logged in now. Use who to view
chmod o-rwx /etc/security # System access security policy files
chmod o-rwx /etc/init.d # Program start-up files
chmod o-rwx /etc/ssh # Secure shell config files
chmod o-rwx /etc/sysctl.conf # Contains kernel tunable options
chmod o-rwx /etc/sysctl.d # Contains kernel tunable options (includes)
</pre>
Megjegyzés: Nem biztos, hogy minden, a scriptben hivatkozott file létezik (és írható), ez indokolja az esetleges hibaüzeneteket.
==Partíciók csatolásának szigorítása==
''Opcionális'' beállítás, csak akkor használható, ha eleve erre készülve particionáltunk. Előtelepített VM esetén valószínűleg nem alkalmazható.

Ebben a szakaszban a partíciókat úgy csatoljuk fel, hogy csak a ''/'' (esetleg még a ''/srv'' vagy ''/srv/chroot'') partíció legyen írható és futtatható egyszerre. Célszerű a telepítő által létrehozott ''/etc/fstab file''-t két példányban lemásolni:
<pre>sudo cp /etc/fstab /etc/fstab.secure
sudo cp /etc/fstab /etc/fstab.unsecure</pre>
és az alábbi táblázat szerint kitölteni (a táblázat forrása a [http://www.szabilinux.hu/bw/bw00.html Zákány-dolgozatban] található):
{| border="1" cellpadding="5" cellspacing="0" align="left"
|-
! style="background:#efefef;" | partíció
! style="background:#efefef;" | fstab.secure
! style="background:#efefef;" | fstab.unsecure
|-
| root
| acl,defaults,errors=remount-ro
| acl,defaults,errors=remount-ro
|-
| srv/chroot
| acl,defaults
| acl,defaults
|-
| boot
| ro,nosuid,noexec,nodev,acl,defaults
| acl,defaults
|-
| tmp
| nosuid,noexec,nodev,acl,defaults
| acl,defaults
|-
| usr
| ro,nodev,acl,defaults
| acl,defaults
|-
| var
| nosuid,noexec,nodev,user_xattr,acl,defaults
| user_xattr,acl,defaults
|-
| var/www
| nosuid,noexec,nodev,user_xattr,acl,defaults
| user_xattr,acl,defaults
|} 
'''Megjegyzés:''' a táblázat szerinti beállításokkal engedélyezzük a Posix ACL-ek és a ''/var'' jellegű partíciókon a kiterjesztett fájlattribútumok használatát is.

'''Megjegyzés:''' SSD meghajtó esetén célszerű a ''discard'' opcióval engedélyezni a [http://en.wikipedia.org/wiki/Trim_%28computing%29 TRIM] használatát minden partíción (a ''swap'' partíción is!).

Ezt követően, a mindenkori ''fstab'' felülírása után, egy partícióra vonatkozóan a biztonságos és az engedékeny konfiguráció között a
<pre>sudo mount -o remount /XXX</pre>
paranccsal válthatunk.

Ahhoz, hogy biztonságos konfigurációban is lehessen csomagot telepíteni, illetve rendszert frissíteni, hozzunk létre egy bejegyzést az ''apt.conf.d'' könyvtárban (ügyeljünk arra, hogy a shell scripttől eltérően a megjegyzés jele a //):
<pre>sudo mcedit /etc/apt/apt.conf.d/10security</pre>
<pre>
// Lehetove teszi az apt hasznalatat szigoruan csatolt particiok eseten.
// garancsi.attila@mimoza.hu 2005-04-07

DPkg::Pre-Invoke {
"/bin/mount -o remount,rw /boot";
"/bin/mount -o remount,exec,suid /tmp";
"/bin/mount -o remount,rw /usr";
"/bin/mount -o remount,exec /var";
};

DPkg::Post-Invoke {
"/bin/mount -o remount /boot";
"/bin/mount -o remount /tmp";
"/bin/mount -o remount /usr";
"/bin/mount -o remount /var";
};</pre>
Ezután az ''apt'' használatához már nem kell remountolni (de a szimpla ''dpkg''-hoz - pl. kernel frissítés - vagy ''tarball''-ból telepítéshez igen!)
==Felesleges szolgáltatások leállítása==
Az Ubutu Fossa-ban a [http://www.freedesktop.org/wiki/Software/systemd/ systemd system and service manager] az alapértelmezett eszköz a szolgáltatások kezelésére, emiatt - a korábbi Debian/Ubuntu kiadásokkal ellentétben - a ''/etc/rc${runlevel}.d/'' illetve ''/etc/init.d/'' alatti állományok és linkek szerkesztése, illetve a ''sysv-rc-conf'' használata elavult. Így a
<pre>systemctl list-unit-files --type=service
sudo systemctl enable SERVICE
sudo systemctl disable SERVICE</pre>
parancsok szolgálnak a telepített szolgáltatások listázására, illetve egy-egy szolgáltatás permanens engedélyezésére vagy letiltására (bővebben ld. pl. [https://fedoraproject.org/wiki/SysVinit_to_Systemd_Cheatsheet itt] vagy [http://dynacont.net/documentation/linux/Useful_SystemD_commands/ itt]). Igyekezzünk tehát a fentieket kizárólag a ''systemctl'' használatával megoldani.
A nyitott portokról és az azokon figyelő szolgáltatásokról az alábbi parancsok adnak közelítő tájékoztatást:
<pre>sudo netstat -tanulp | egrep '(LISTEN)|(ESTAB)' | less
sudo lsof -i | grep 'LISTEN' | less</pre>
A listázott szolgáltatásokról egyenként kell eldönteni, hogy van-e velük teendő. A ''netstat'' szerint, a leírt alaptelepítés után az alábbi, potenciálisan távolról is elérhető szolgáltatások futnak:
{| border="1" cellpadding="5" cellspacing="0" align="left"
|-
! style="background:#efefef;" | Szolgáltatás
! style="background:#efefef;" | Port
! style="background:#efefef;" | Leírás
! style="background:#efefef;" | Teendő
|- ! style="vertical-align: top;"
| master
| TCP:25
| SMTP szerver (levélküldés és -fogadás).
| ''Szükséges.'' Kihelyezés után a szervernek tudnia kell levelet fogadni, így ellenőrzendő, hogy ezt a forgalmat a tűzfalon beengedjük-e.
|- ! style="vertical-align: top;"
| systemd- resolved
| TCP:53 UDP:53
| ''cache-only'' DNS szerver helyi szolgáltatásoknak
| ''Szükséges.'' Mivel csak helyi szolgáltatást nyújt, a tűzfalon át nem kell hozzá kapcsolódást engedni.
|- ! style="vertical-align: top;"
| sshd
| TCP:22 (vagy ahova konfiguráltuk)
| Biztonságos távoli shell.
| ''Szükséges'', ellenőrizni kell, hogy a tűzfalon beengedjük-e.
|- ! style="vertical-align: top;"
| zabbix-agent2
| TCP:10050
| A szervergép monitorozása (telemetria).
| ''Szükséges'', de a tűzfalon csak akkor kell beengedni, ha az adatokat távoli eszközön gyűjtjük és értékeljük.
|} 
''Megjegyzés: a fenti lista változhat, a netstat eredményét minden esetben egyedileg kell kiértékelni!''

==A fail2ban telepítése==
A [http://www.fail2ban.org/wiki/index.php/Main_Page fail2ban] egy ''framework'', amely hálózati szolgáltatások naplóinak figyelésére, és a szolgáltatással visszaélés (''abuse'', pl. SSH ''brute force'' vagy ''dictionary attack'') jeleit mutató távoli kliensek ideiglenes kitiltására szolgál a csomagszűrő tűzfal (''netfilter'') átmeneti átkonfigurálásával.

''Megjegyzés:'' a fail2ban (''iptables'' hívásokkal) közvetlenül módosítja a ''netfilter''-t; ''ufw'' integráció '''TODO!'''.
<pre>sudo apt install fail2ban # Függőségként hozza magával a python-t</pre>
Telepítés után a ''fail2ban'' számos, előre definiált védelme közül csak az SSH van bekapcsolva (ld. ''/etc/fail2ban/jail.d/defaults-debian.conf''). Ha van megbízható (''trusted'') IP címünk vagy tartományunk, amellyel szemben az SSH védelmet szeretnénk mellőzni, készítsünk egy ''overlay'' állományt a védelem átkonfigurálására:
<pre>sudo touch /etc/fail2ban/jail.d/sshd.conf; sudo chmod 600 /etc/fail2ban/jail.d/sshd.conf
sudo mcedit /etc/fail2ban/jail.d/sshd.conf</pre>
<pre>
[sshd]
enabled = true
findtime = 600
maxretry = 3
bantime = 600
ignoreip = IP.IP.IP.IP IP.IP.IP.IP/MASK</pre>
A majdani publikus kihelyezésre gondolva célszerű bekapcsolni a Postfix védelmét is:
<pre>sudo touch /etc/fail2ban/jail.d/postfix.conf; sudo chmod 600 /etc/fail2ban/jail.d/postfix.conf
sudo mcedit /etc/fail2ban/jail.d/postfix.conf</pre>
<pre>
[postfix]
enabled = true
</pre>
A beállításokat a ''fail2ban'' újraindításával érvényesítsük:
<pre>sudo systemctl restart fail2ban; sudo tail -f /var/log/fail2ban.log # Jail 'sshd' started | Jail 'postfix' started</pre>
A későbbiekben telepítendő, védeni kívánt egyéb szolgáltatások helyi beállításait az ugyanitt létrehozandó, ''/etc/fail2ban/jail.d/*.conf'' beállító állományokban adhatjuk meg.

''Opcionális'' gyors tesztként egy, a telepítés alatt álló szervert TCP-n keresztül elérő gépről (ne a saját munkaállomásunkról!) próbáljunk SSH-n sikertelenül bejelentkezni, és figyeljük a ''/var/log/fail2ban.log'' állományban az IP kitiltását, illetve 10 perc utáni újraengedélyezését. Ha megadtunk megbízható IP-t vagy tartományt, ellenőrizhetjük, hogy az innen indított sikertelen lekérésekre a kitiltás nem történik meg.
==Csomagszűrő tűzfal beállítása==
A házirend szerint valamennyi szervert ''bastion host''-ként kell kialakítani, azaz saját (csomagszűrő) tűzfallal kell rendelkezzen. A gyakorlatban ez a Linux kernel ''netfilter'' (''iptables'') konfigurálását jelenti, amelyet ebben a leírásban az Ubuntu terjesztésben alapértelmezetten telepített [https://en.wikipedia.org/wiki/Uncomplicated_Firewall UFW] (Uncomplicated Firewall) parancssori frontend segítségével valósítunk meg.

Alapértelmezésben az ''ufw'' inaktív, és az ''iptables'' nem tartalmaz szabályokat:
<pre>sudo ufw status # inactive
sudo iptables -n -L # mindhárom chain üres</pre>

* Ez a leírás a majdani publikus eléréshez szükséges, alapvető csomagszűrést valósít meg, egy darab hálózati interface-szel rendelkező szervergépen.
* Ez a leírás csak IPv4-re vonatkozik - IPv6 '''TODO!'''
===Az IPv6 tiltása===
'''''Figyelem:''''' az IPv6 tiltása modern környezetben a szervergépen nem javasolt (akkor sem, ha a helyi hálózat nem támogatja)!

'''Az alábbi szakasz elavultnak tekintendő.'''
<blockquote>
Tisztán IPv4 környezetben ''opcionálisan'' érdemes teljesen letiltani az IPv6 forgalmat. Ehhez adjunk hozzá egy kernel paramétert a ''grub''-ban átadott boot paraméterekhez:
<pre>sudo mcedit /etc/default/grub</pre>
<pre>
[...]
GRUB_CMDLINE_LINUX_DEFAULT="[...] ipv6.disable=1"
[...]</pre>
Érvényesítsük a beállításokat:
<pre>sudo update-grub</pre>
majd indítsuk újra a gépet.

Ellenőrzés: újraindítás után az ''ifconfig'' vagy ''ip a'' parancsok kimenete már nem mutat IPv6 címeket.

Az IPv6 tiltását tudassuk az alábbi szolgáltatásokkal is:
* '''Postfix'''
<pre>sudo mcedit /etc/postfix/main.cf</pre>
Módosítsuk ''all''-ról ''ipv4''-re:
<pre>
[...]
inet_protocols = ipv4
[...]</pre>
Ezután indítsuk újra a szolgáltatást:
<pre>sudo systemctl restart postfix</pre>
</blockquote>

===UFW alapbeállítások===
Amennyiben az IPv6-ot fentebb letiltottuk (''nem javasolt''), ezt a beállítást vezessük át a ''/etc/default/ufw'' állományban is:
<pre>sudo mcedit /etc/default/ufw</pre>
<pre>
[...]
# Set to yes to apply rules to support IPv6 (no means only IPv6 on loopback
# accepted). You will need to 'disable' and then 'enable' the firewall for
# the changes to take affect.
IPV6=no
[...]</pre>

Ezen kívül érdemes elkülöníteni a csomagszűrés bekapcsolását követően várhatóan terjedelmessé növő tűzfal naplót a kernel naplójától. Ehhez a ''/etc/rsyslog.d/20-ufw.conf'' (Ubuntu 24.04 vagy újabb esetén a ''/etc/rsyslog.d/21-cloudinit.conf'') állományban engedélyezzük az alapértelmezetten kikommentezett utolsó sort:
<pre>sudo mcedit /etc/rsyslog.d/20-ufw.conf # Ubuntu 22.04
sudo mcedit /etc/rsyslog.d/21-cloudinit.conf # Ubuntu 24.04</pre>
<pre>
# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
& stop
</pre>

Ezután állítsunk be egy alap (IPv4) csomagszűrő szabálykészletet.

===A bejövő forgalom engedélyezése===
Mivel a ''/etc/default/ufw'' állományban előírt ''ufw'' policy a bejövő forgalom tiltása, mielőtt aktiválnánk a csomagszűrést, mindenképpen engedélyezzük a kívülről csatlakozást legalább az OpenSSH szolgáltatáshoz:
<pre>sudo ufw app info OpenSSH # case-sensitive! - ellenőrizzük a portszámot
sudo ufw allow OpenSSH # ha a TCP/22-es portot használjuk, állítsuk be a szabályt</pre>
A fenti parancsban az alkalmazással együtt települő alkalmazásleírásra (''/etc/ufw/applications.d'' alatti állomány) hivatkoztunk, így nem kellett közvetlenül portszámokat megadni. Ha más portot használunk, írjunk egy specifikus szabályt:
<pre>sudo ufw allow in NNNNN/tcp comment 'OpenSSH at NNNNN' # NNNNN a használt TCP port száma</pre>
A létrehozott tűzfal szabályok a tűzfal inaktív állapotában is megtekinthetőek a ''/etc/ufw/user.rules'' állományban.

Ezután bekapcsolhatjuk a csomagszűrést:
<pre>sudo ufw enable
sudo ufw status verbose # Status: active
sudo iptables -n -L # A létrehozott iptables beállítások</pre>
Amennyiben a telepítés alatti szervergép Internet mail host (azaz ''smarthost'' nélkül küld leveleket), érdemes bekapcsolni a levélfogadáshoz tartozó szabályokat is az esetleges visszapattanó levelek kezelése érdekében. Ehhez használhatjuk a
<pre>sudo ufw allow Postfix</pre>
parancsot, amely a TCP/25, TCP/465 és TCP/587 portokat fogja engedélyezni.

Amennyiben a telepítés alatti szervergép monitorozása távoli adatkiértékeléssel történik (telemetria), szükséges engedélyezni a ''zabbix-agent2'' távoli lekérdezését:
<pre>sudo ufw allow in 10050/tcp comment 'Zabbix Agent at 10050'</pre>

===A kimenő forgalom szigorítása===
Alapértelmezetten a kimenő forgalomra az ''ACCEPT'' policy van beállítva, azaz a kimenő forgalmat nem szűrjük. ''Opcionálisan'' de javasoltan érdemes lehet kifelé csak a ping és traceroute, a DNS lekérés, a levélküldés SMTP-vel (+SMTPs, [https://en.wikipedia.org/wiki/Message_submission_agent MSA]), az időszinkron NTP protokollal, PGP kulcsszerverek elérése ([https://en.wikipedia.org/wiki/Key_server_(cryptographic) HKP]), a web és az FTP forgalmakat engedélyezni. ''Opcionálisan'' az SSH is engedélyezett lehet.

Az ICMP forgalom megtartására szúrjuk be az alábbi parancssort a ''/etc/ufw/before.rules'' állományba:
<pre>sudo mcedit /etc/ufw/before.rules</pre>
<pre>
[...]
# ok all icmp for output
-A ufw-before-output -p icmp -j ACCEPT

# allow dhcp client to work
[...]</pre>
A többi korlátozást az alábbi parancsok egyszeri kiadásával írhatjuk elő:
<pre>sudo ufw allow out domain
sudo ufw allow out smtp
sudo ufw allow out smtps
sudo ufw allow out submission
sudo ufw allow out ntp
sudo ufw allow out hkp
sudo ufw allow out http
sudo ufw allow out https
sudo ufw allow out ftp
sudo ufw default reject outgoing # Minden mást visszadobunk
</pre>
Ellenőrzésképpen kérjünk egy státuszt:
<pre>sudo ufw status numbered</pre>
<pre>
Status: active

To Action From
-- ------ ----
[ 1] OpenSSH ALLOW IN Anywhere
[ 2] Postfix ALLOW IN Anywhere
[ 3] 53 ALLOW OUT Anywhere (out)
[ 4] 25/tcp ALLOW OUT Anywhere (out)
[ 5] 465/tcp ALLOW OUT Anywhere (out)
[ 6] 587/tcp ALLOW OUT Anywhere (out)
[ 7] 123/udp ALLOW OUT Anywhere (out)
[ 8] 11371/tcp ALLOW OUT Anywhere (out)
[ 9] 80/tcp ALLOW OUT Anywhere (out)
[10] 443/tcp ALLOW OUT Anywhere (out)
[11] 21/tcp ALLOW OUT Anywhere (out)
</pre>
Ezzel az alapvető csomagszűrést beállítottuk.
==Logcheck==
'''TODO!'''

==Publikus környezetbe kihelyezés==
A biztonsági megerősítést követően a szerver publikus környezetbe (DMZ, ''production'') kihelyezhető. A kihelyezésnél figyeljünk:
* a statikus IP megadására, ha szükséges (''/etc/netplan/*.yaml'');
* a domain név esetleges megváltoztatására;
* amennyiben erre készülve particionáltunk, a szigorú partíció-csatolásra (''/etc/fstab.secure'');
* a gép előtti (hosting szintű) esetleges hálózati forgalomszűrés beállíttatására;
* arra, hogy nyilvánosan elérhető gépeken mindig erős (lehetőleg generált) jelszavak legyenek!

Internet mail host esetén szükség lehet ezen kívül a technikai levelezés átkonfigurálására. Az alábbi paranccsal ellenőrizhetjük, hogy a szerver milyen FQHN-nel (''Fully Qualified HostName'') jelentkezik be levélküldéskor:
<pre>echo "Teszt" | mail -s Teszt helocheck@abuseat.org; sudo tail -f /var/log/mail.log</pre>
Ez egy azonnal visszapattanó levelet eredményez, amelybe a ''helocheck'' beleírja az általunk ténylegesen használt FQHN-et. Ha ez nem egyezne meg a
<pre>dig -x IP.IP.IP.IP # szerver publikus IP címe</pre>
paranccsal megtudható ''reverse''-zel, akkor érdemes beállítanunk a helyes (reverse) FQHN-et, mert ezt sok levélfogadó ellenőrzi, és eltérés esetén megbízhatatlannak minősítheti szervergépünket. Ehhez szerkesszük meg a ''/etc/postfix/main.cf'' állományt:
<pre>sudo mcedit /etc/postfix/main.cf</pre>
és szúrjuk be (pl. a fájl végére) a helyes FQHN-et:
<pre>
[...]
smtp_helo_name=FQHN </pre>
Érvényesítsük a beállításokat:
<pre>sudo systemctl reload postfix</pre>
és ismételjük meg a ''helocheck'' tesztet.

==Irodalom==
* [http://www.szabilinux.hu/bw/bw00.html Biztonságos Web-szerver kialakítása Debian GNU/Linux 2.2 rendszeren]
* [https://www.debian.org/doc/manuals/securing-debian-manual/index.en.html Securing Debian Manual]

Ubuntu szerver általános biztonsági beállításai (24.04 LTS) - Laptörténet

KZoli: /* A fail2ban telepítése */

KZoli: Új oldal, tartalma: „Ez a fejezet egy alaptelepített Ubuntu Fossa szervergép nyilvános elérésűvé tételéhez minimálisan szükséges b…”