Windows的使用者大多都習慣使用圖形介面,而當Windows使用者要去連線使用Linux的環境時,大多都是使用文字介面做連線。而對於文字介面不熟悉的使用者也可以使用Xrdp(X windows Remote Desktop Protocol)這套的中繼程式來幫忙完成Windows遠端桌面可以直接連接Linux。而近來在對於惡意攻擊這塊除了寫死防火牆等網路路由設定外,也可以 安裝Fail2ban 這個套件來輔助大家達到封鎖惡意攻擊的常用連線。
遠端桌面安裝
- 安裝Xrdp
Sudo apt-get update
sudo apt-get install xrdp
- 安裝xfce4圖形介面
sudo apt-get install xfce4 -y
- 設定參數避免黑屏或連線閃退等目前常遇到的問題。
新增參數在相對位置,設定檔路徑/etc/xrdp/start
export DESKTOP_SESSION=ubuntu
export XDG_CURRENT_DESKTOP=ubuntu:GNOME
export GNOME_SHELL_SESSION_MODE=ubuntu
unset DBUS_SESSION_BUS_ADDRESS
unset XDG_RUNTIME_DIR
startxfce4
- 新增xrdp遠端桌面使用者憑證授權存取
Sudo adduser xrdp ssl-cert
- 設定xrdp登入使用者桌面的預設桌面環境
echo xfce4-session > ~/.xsession - 確認防火牆連線是否有開通
sudo netstat -tlnp | grep 3389
- 遠端登入畫面
- 登入xfce4桌面
還有其他桌面可以使用如:Gnome
除了使用xrdp外也可以使用如:X2GO,RDP以及VNC等的遠端軟體來實現windows可以直接遠端桌面操作Linux作業系統。當然圖形介面有圖形介面的好處優點,能夠圖形與文字介面兩者之間使用的很順暢,來因應不同的情況去做使用這樣能讓我們事半功倍!
安裝Fail2Ban
- sudo apt-get install fail2ban
- 安裝完成後/etc/fail2ban底下會有這些檔案分別代表:
● /etc/fail2ban/fail2ban.conf #fail2ban的配置文件
● /etc/fail2ban/jail.conf #阻檔設定文件目錄
● /etc/fail2ban/filter.d/ #具體過濾規則文件目錄
● /etc/fail2ban/action.d/ #具體過濾規則檢測到後採取相對應措施的目錄
- Fail2ban偵測的方式:
● 設定Jail.conf,選擇要監控的項目(或者自定義)這邊使用sshd,系統會依照Jail.conf內節點[sshd]自動去找filter.d/sshd.conf,對應到filter.d/sshd.conf,符合篩選的狀態,執行action.d內設定的動作。
● 例如:sshd的jail.conf設定檔寫banaction=iptables-mutiport,則會執行action.d/iptables.mutiport.conf;
● 例如設定action = %(action_mw)s,則會阻擋來源,並發出含有 whois報表的email通知信。 - 先備份Jail.conf設定檔:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local - 檢查目前開啟的設定 sudo fail2ban-client status
- 發現有一個jail設定執行中,檢查一下是哪個檔案有啟動。
需檢查jail.d 底下的設定檔,以及jail.conf。
- 檢查 jail.d底下設定檔已經有一個enabled=true的設定。
- Sudo vim /etc/fail2ban/jail.conf查看設定參數。
查看Jail.conf 內sshd的設定
- 查看目前啟動的Jail檔設定與封鎖狀態
sudo fail2ban-client status sshd
- 測試登入封鎖,故意輸入錯誤,第五次錯誤後立刻被封鎖
- 手動解除封鎖
sudo fail2ban-client unban IP
sudo fail2ban-client unban -all
- 封鎖設定值可以參考 /etc/fail2ban/jail.conf
● Bantime:封鎖時間
● Findtime:搜尋到設定
● Ignoreip:白名單IP
別忘了把常用的連線加入白名單
Jail.conf設定有一個預設值,如果節點內沒有設定,才會套用Jail.conf內的預設參數來做使用。
除了大家常用的sshd防止惡意登入外,也可以自己新增想監控的port服務去做設定,如常用的Fail2ban封鎖如:SSH、Apache、FTP、postfix等。
新的設備除了設定防火牆規則,以及網路設備的設定外,現在還有新的選擇!就是 安裝Fail2ban 來防止電腦受到惡意攻擊。
Fail2ban也可以設定通知信來做告知系統管理者,讓管理者底下設備遭受攻擊時,可以即時收到訊息來應對這些惡意連線。