APF Nedir? APF kural tabanlı bir iptables güvenlik duvarıdır.Ayarlanması ve kullanılması özellikle sunucular için çok kolaydır.
[
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]]
Özellikleri - Kolay anlaşılan kural tabanlı ayar dosyası.
- Bağımsız giriş ve çıkış filtreleme.
- ID tabanlı çıkış kontrolu bu sayede belirtilen uygulamanın sahibine bakarak çıkış yapıp yapmamasına izin verebilirsiniz.
- Genell tcp/udp port ve icmp tipi ayarlar
- Sistemdeki her ip için özel yapılandırma.
- icmp ataklarını önlemek için icmp tabanlı koruma sistemi
- antidos yazılımı
- dshield.org engel listesi bu listede aktif olan saldırganlar tüm apf kullanan sunucularda erişim hakları engellenir.
- tcp/ip saldırılarını engelleemk için özel sysctl ayar dosyası
- İstenmiyen trafiği engellemekiçin özel hazırlanabilen kural dizisi
- Kernel seçeneklerini kullanabilme abort_on_overflow ve tcp syncookies gibi.
- Kolay yönetilebilir bir güvenlik duvarı yazılımı.
- Güvenebileceğiniz ve direk olarak engelleyeceğiniz hostları belirtebileceğiniz kural dosyası.
- APF ile uyumlu 3. parti uygulamaları.
Çok etkili bir güvenlik duvarı olmakla beraber sunucuların genelinde bu güvenlik duvarı kullanılmaktadır.Ayar dosyaları ve kurulumu kolaydır ve etkilidir.
[
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]]
Kurulum - /usr/local/src dizinine geçiyoruz.
cd /usr/local/src
- Dosyayı sunucuya indiriyoruz
wget
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]- Sıkıştırılmış arşiv dosyasını açıyoruz.
tar -xvzf apf-current.tar.gz
- Uygulamanın bulunduğu dizine giriyoruz.
cd apf-0.9.5-1/
- Kurulum scriptini çalıştırıyoruz.
./install.sh
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
Yüklendiğine gösteren mesaj ekrana geliyor:
.: APF installed Install path: /etc/apf Config path: /etc/apf/conf.apf Executable path: /usr/local/sbin/apf AntiDos install path: /etc/apf/ad/ AntiDos config path: /etc/apf/ad/conf.antidos DShield Client Parser: /etc/apf/extras/dshield/
- Ayar dosyasını açıp gerekli düzenlemeleri yapacağız
pico /etc/apf/conf.apfİlk önce değişkenlerin ne olduğunu size açıklayacağım sonra gerekli düzenlemeri yapacağız.
DEVM="1" Devolopment mod olarak açıklanıyor güvenlik duvarı ilk kurulduğunda standart olarak bu modda siz ayarları yapana kadar her 5 dakikada bir güvenlik duvarı kurallarını temizliyor.Böylece ssh portunu engelleseniz bile 5 dakika içerisinde girebilirsiniz.Herşeyin yolunda gittiğini anladıktan sonra bu değeri 0 olarak ayarlayın ve güvenlik duvarını yeniden başlatın. LGATE_MAC="" Yerek ağ mac adresidir.Buraya bir değer girildiği zaman sadece buradan gelen isteklere izin verilicektir.Biz bu değeri boş bırakacağız. LGATE_LOG="0" Değeri 1 olarak ayarlarsanız bütün ağ trafiğinin kayıdı tutulucaktır.Biz bu değeride 0 olarak bırakacağız. EN_VNET="0" Bu değeri 1 olarak ayarlarsanız sistemdeki tüm ipler için farklı kurallar kurabilirsiniz./etc/apf/vnet/ dizinine bu kuralı yerleştirebilrisiniz gene standart olarak bir template bu dizinde var. TIF="" Güvenilen ağlar . DROP_LOG="1" Kernel tabanlı loglama. LRATE="60" Iptables in dakikada logladığı olay sayısı. IG_TCP_CPORTS="22" S istemde içeriye tcp portlarını belirtir.22 yazan yere virgul ile açılıcak portları yazının devamında ekleyeceğiz. IG_UDP_CPORTS="" İçeriye açılıcak udp portlarını gösterir. EGF="0" Bu değeri 1 olarak açıcağız çıkan paketlerin filtrelenmesi. EG_TCP_CPORTS="22" Sitemden dışarıya açılacak tcp portları. EG_UDP_CPORTS="" Sistemden dışarıya açılıcak udp portları. USE_DS="0" Dshield.org un engellenenler listesine bu seçeneği 1 olarak seçerseniz katkıda bulunursunuz.
[
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]]
Cpanel de Yapılacak değişiklikler pico /etc/apf/conf.apf
- Dosya içinde aşağıdaki değişiklikleri yapıyoruz:
USE_DS="0" ve 3 satır altındaki USE_AD="0" kısımlarını bulup USE_DS="1" USE_AD="1" olarak değiştiriyoruz.
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] - IG_TCP_CPORTS yazan kısmı buluyoruz
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
içindeki portları silip aşağıdaki portları ekliyoruz:
IG_TCP_CPORTS="20,21,22,25,26,53,80,110,143,443,46 5,993,995,2082,2083,2086,2087,2095,2096"
- IG_UDP_CPORTS kısmını buluyoruz, içindeki portları silip aşağıdaki portları eklliyoruz:
IG_UDP_CPORTS="21,53,873"
- EFG kısmını buluyoruz EGF="0" olan değeri EGF="1" olarak değiştiriyoruz.
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] - EG_TCP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.
EG_TCP_CPORTS="21,22,25,26,27,37,43,53,80,110,113, 443,465,873,2089"
- EG_UDP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.
EG_UDP_CPORTS="20,21,37,53,873"
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
Ayar dosyası ile işimiz bitti dosyayı kaydedip çıkıyoruz.Diğer kontrol paneli yazılımları için yapıcağınız değişiklikler de bunlardır. ----Ensim -----IG_TCP_CPORTS="21,22,25,53,80,110,143,443,19638"IG _UDP_CPORTS="53"EGF="1"EG_TCP_CPORTS="21,22,25,53, 80,110,443"EG_UDP_CPORTS="20,21,53"----Plesk -----IG_TCP_CPORTS="20,21,22,25,53,80,110,143,443,465,9 93,995,8443"IG_UDP_CPORTS="37,53,873"EGF="1"EG_TCP _CPORTS="20,21,22,25,53,37,43,80,113,443,465,873"E G_UDP_CPORTS="53,873"---- Direct ADmin -----IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2222,800 0,8050,8005,3784"IG_UDP_CPORTS="21,53,8000,8050,80 05,3784"EGF="1"EG_TCP_CPORTS="21,22,25,37,43,53,80 ,443,8000,8050,8005,3784"EG_UDP_CPORTS="20,21,53,8 000,8050,8005,3784"[
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]]
Çalıştırma
/usr/local/sbin/apf -skomutunu uygulayarak güvenlik duvarımızı başlatıyoruz. SSH oturumumuzu kapatıp yeni bir oturum açıp sunucuya girmeye çalışıyoruz. Eğer herhangi bir sorunla karşılaşırda giremezseniz güvenlik duvarı kurallarının 5 dakika içinde silineceğini unutmayın.
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
Başarılı bir şekilde giriş yaptıysanız editörümüz ile apf nin ayar dosyasını tekrar açıp devolopment moddan çıkartıcaz böylece artık güvenlik duvarı kuralları 5 dakikada bir temizlenmeyecektir:
pico /etc/apf/conf.apfDEVM="1" olan kısımı bulup DEVM="0" değiştiriyorsunuz./usr/local/sbin/apf -rkomutu ile tekrar başlatıyoruz...
[
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]]
Güvenlik Duvarı ile kullanabileceğiniz parametreler
/usr/local/sbin/apf -s Güvenlik Duvarını açar. /usr/local/sbin/apf -r Güvenlik Duvarını yeniden başlatır. /usr/local/sbin/apf -st Güvenlik Duvarının durumunu gösterir. /usr/local/sbin/apf -f Güvenlik Duvarını durdurur. /usr/local/sbin/apf -l Kuralları listeler. [
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]]
Bir kullanıcının apf yardımı ile sistemden uzaklaştırılması - /usr/local/sbin/apf -d ipnumarası
şeklindedir.
Sistemden uzaklaştırmak istediğiniz ip numarası 81.214.247.127 ise
/usr/local/sbin/apf -d 81.214.247.127yazmanız yeterlidir.
[
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]]
Otomatik çalıştırma
Son olarak apf nin sunucu yeniden başlatıldığında otomatik olarak başlatılmasını sağlamak için aşağıdkai komutu giriyoruz.
chkconfig --level 2345 apf on
Servera bir nmap çekip açık portlara bakalım:
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
[
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]]
APF antidos modülünün kurulumu
Antidos modülü bir log analiz modülüdür arka arkaya gelen istekleri değerlendirerek bunu sizin belirlediğiniz değeri aştığında saldırganların sistemden uzaklaştırılmasını sağlamaktadır.
/etc/apf/ad/conf.antidosyazıp konfigurasyon dosyasını açıyoruz,LP_KLOG="0" kısmını bulupLP_KLOG="1" şeklinde değiştiriyoruzDET_SF="0" kısmını bulupDET_SF="1" şeklinde değiştiriyoruzTRIG="12" kısmını bulupTRIG="10" şeklinde değiştiriyoruzSF_TRIG="25" kısmını bulupSF_TRIG="12" şeklinde değiştiriyoruzDROP_IF="0" kısmını bulupDROP_IF="1" şeklinde değiştiriyoruzIPT_BL="0" kısmını bulupIPT_BL="1" şeklinde değiştiriyoruz
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
USR_ALERT="0" kısmını bulup,USR_ALERT="1" olarak değiştiriyoruz. DET_SF="0" kısmını bulup, DET_SF="1" olarak değiştiriyoruz. Option: USR="
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir."kısmını bulup mail adresinizi yazıyorsunuz.
Dosyayı kaydedip çıktıktan sonra,
crontab -eyazarak crpntab ı açıyoruz buraya aşağıdaki girdiyi yazıyoruz
*/2 * * * * root /etc/apf/ad/antidos -a >> /dev/null 2>&1ve contabdan çıkıp
/usr/local/sbin/apf -rkomutu ile güvenlik duvarını tekrar başlatıyoruz.
[
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]]
APF Güvenlik Duvarının durumunu size mail ile bildirilsin
APF güvenlik duvarının durumunun yani çalışıp çalışmadığının ve loglarının size bildirilmesini istiyorsanız aşağıdaki değişikliği yapın
- /etc/cron.daily/ klasörüne giriyoruz
cd /etc/cron.daily
- Bilgilendirme dosyasını açıyoruz
pico apfdurumbilgisi.sh
- İçinde aşağıdaki kodu yapıştırıyoruz mail adresinizi değiştirmeyi unutmayın.
#!/bin/bashtail -100 /var/log/apf_log | mail -s "APF Durum Bilgisi"
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.- Kaydedip çıkıyoruz ve dosyaya gerekli izini vereceğiz şimdi.
chmod 755 apfdurumbilgisi.shArtık hergün elinize çalışıp çalışmadığına dair bir rapor gelicektir.
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
[
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]]
Bağlantılar [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
alıntı linux-sevenler.org
*
alıntı yapmam sebebım apf kurdugunuzda servere ozel konfigurasyonları var panellere gore onları yapmazsanız o portlar kapanacaktır