IPTABLES + IPSET, чтобы забанить большие списки ip адресов

iptables — это широко используемое программное обеспечение брандмауэра в Linux. Использование iptables для блокировки IP — относительно простой способ борьбы с сетевыми атаками. Он также относительно распространен, но в качестве структуры данных использует связанные списки, а эффективность очень низкая.

ipset — предоставляет метод, он заключается в помещении обрабатываемого IP-адреса в набор и установке правила iptables для этого набора. Как и iptable, наборы IP — это элементы ядра Linux, а команда ipset — это инструмент для управления ими.

Таким образом, стратегия запрета состоит из трех шагов: iptables включает правило запрета, обнаруживает плохой IP-адрес и добавляет плохой IP-адрес в правило запрета.

Вы можете использовать эти команды для обобщения процесса блокировки IP-адресов с помощью ipset и iptables.

# Создаем набор список с названием ipban
ipset create ipban hash:ip
# Создаем правило запрещающее всему списку ip в наборе ipban доступ
iptables -I INPUT -m set --match-set ipban src -j DROP 
# добавляем ip в список
ipset add ipban 4.5.6.7 
ipset add ipban 1.2.3.4 
ipset add ipban ...
# Просмотр списка ipban 
ipset list ipban
# Удаление ip из списка ipban
ipset del ipban 4.5.6.7

Установка MySQL 5.7 на CentOS 9

Вы ищете руководство, которое поможет вам установить MySQL 5.7 на Linux-сервере или рабочей станции CentOS 9/RHEL 9?

Шаг 1. Добавьте репозиторий MySQL

Отключите репозиторий AppStream MySQL по умолчанию:

sudo dnf remove @mysql
sudo dnf module reset mysql
sudo dnf module disable mysql

Для EL 9 нет репозитория MySQL, поэтому вместо него мы будем использовать репозиторий EL 7. Создайте новый файл репозитория.

sudo mcedit /etc/yum.repos.d/mysql-community.repo
Читать далее «Установка MySQL 5.7 на CentOS 9»

CentOS 9 начальная настройка

Первым делом установим Midnight Commander, с ним проще настраивать

sudo dnf install mc

Далее настройка сети

устанавливаем NetworkManager

sudo dnf install NetworkManager
systemctl enable NetworkManager
systemctl start NetworkManager

смотрим наши сетевые интерфейсы

ip a
Читать далее «CentOS 9 начальная настройка»

Iptables как забанить или разбанить ip

Баним перманентно и сохраняем это правило

/sbin/iptables -I INPUT -s xxx.xxx.xxx.xxx -p tcp -j DROP && /sbin/service iptables save

или подсеть

/sbin/iptables -I INPUT -s xxx.xxx.xxx.0/24 -p tcp -j DROP && /sbin/service iptables save

Как разбанить ip в iptables

Из командной строки

/sbin/iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP

Или по номеру строки

/sbin/iptables -L INPUT -n --line-numbers | grep xxx.xxx.xxx.xxx

в ответ получаем следующее

5    DROP       tcp  --  xxx.xxx.xxx.xxx      0.0.0.0/0

данное правило у нас находится на 5 строке, ее и нужно удалить

/sbin/iptables -D INPUT 5

Как запретить удаление файла в Linux, даже для Root

В Unix-подобных операционных системах, включая Linux, root — это имя учетной записи или пользователя, который по умолчанию может изменять все каталоги и файлы в системе. В этой статье мы покажем, как сделать каталоги или файлы в Linux недоступными для удаления даже пользователем root.

Чтобы сделать файл неуязвимым для любого пользователя системы, включая root, вам необходимо сделать его неизменяемым с помощью команды chattr. Эта команда изменяет атрибуты файлов в файловой системе Linux.

Приведенная ниже команда делает файл /backups/passwd файл неизменяемым. Это означает, что файл нельзя изменить любым образом: его нельзя удалить или переименовать. Вы даже не можете создать ссылку на него, и никакие данные также не могут быть записаны в файл.

Обратите внимание, что вам нужны привилегии суперпользователя, чтобы установить или удалить этот атрибут:

sudo chattr +i /backups/passwd

или

sudo chattr +i -V /backups/passwd

Для просмотра атрибутов файла используется команда lsattr, как показано ниже:

lsattr /backups/passwd

Теперь попробуйте удалить неизменяемый файл, как от имени обычного пользователя, так и как root.

rm /backups/passwd
sudo rm /backups/passwd

Используя флаг -R, вы можете рекурсивно изменять атрибуты каталогов и их содержимого.

sudo chattr +i -RV /backups/

Чтобы снова изменить файл, используйте флаг -i, чтобы удалить вышеуказанный атрибут, как показано ниже.

sudo chattr -i /backups/ passwd

10 полезных утилит для мониторинга Linux-сервера

Мониторинг сервера — одна из самых главных обязанностей любого системного администратора, а в этой статье мы постараемся рассмотреть некоторые из полезнейших инструментов сис админа, позволяющие сделать выполнение этих обязанностей более комфортнее и быстрее. Мы рассмотрим только простые утилиты, не требующие сложной настройки и даже установки — многие из них уже по умолчанию устанавливаются с системой.

Читать далее «10 полезных утилит для мониторинга Linux-сервера»

Настоящий стресс-тест процессора для Linux

СТРЕСС ТЕСТ
CENTOS

Чтобы максимально загрузить процессор компьютера или сервера на Linux, нужно воспользоваться программой stress. Пакет есть во всех пакетных менеджерах. В примере ниже я использую CentOS

yum install stress

Программа очень маленькая, поэтому установится очень быстро.

Чтобы запустить стресс-тест в linux и нагрузить наш CPU на 100%, нужно выполнить команду:

stress --cpu 8

Где 8 – это количество ядер центрального процессора.

Стресс-тест запускается моментально. Для его остановки давим кнопки Ctrl+С.

Установка DLNA на домашний сервер

DLNA-сервер позволяет организовать удобный просмотр медиа контента по протоколу DLNA/UPnP и его централизацию. В одной домашней сети сможете просматривать видео, фото и слушать музыку по сети, даже через wi-fi.

Репозиторий EPEL:
yum install epel-release

cd /opt/ — в этот каталог обычно закачивают инсталяционные пакеты теперь воспользуемся пакетом wget если его нет то ставим yum install wget выполним команду

Репозиторий NUX (здесь minidlna — сервер, транслирующий скаченный контент в локальную сеть):
rpm --import http://li.nux.ro/download/nux/RPM-GPG-KEY-nux.ro
rpm -Uvh http://li.nux.ro/download/nux/dextop/el6/i386/nux-dextop-release-0-3.el6.nux.noarch.rpm

wget http://downloads.sourceforge.net/project/minidlna/minidlna/1.0.24/minidlna_1.0.24_src.tar.gz

в каталоге появится файл minidlna_1.0.24_src.tar.gz распакуем его

tar -zxvf ./minidlna_1.0.24_src.tar.gz

появится каталог minidlna-1.0.24 заходим в него

Читать далее «Установка DLNA на домашний сервер»

Просматриваем список пользователей в Linux

Полный список пользователей

cat /etc/passwd

Если ИД у пользователя имеет меньше четырех цифр, то это системные данные, в которые вносить изменения крайне нежелательно. Дело в том, что они создаются самой ОС в процессе установки для обеспечения наиболее безопасной работы большинства сервисов.

Читать далее «Просматриваем список пользователей в Linux»