По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В сегодняшней статье расскажем о первичной защите Вашего Asterisk’a - Fail2ban. На самом деле Fail2ban - это стандартный функционал любой операционной системы на базе Linux, который сканирует лог-файлы и блокирует подозрительные IP –адреса.
На самом деле Fail2ban - это стандартный функционал любой операционной системы на базе Linux, который сканирует лог-файлы и блокирует подозрительные IP –адреса.
Fail2ban - это система предотвращения вторжений (Intrusion Prevention System), которая защищает сервер от атак типа Brute-force (Полный перебор). Написанный на языке программирования Python, Fail2ban может работать поверх систем POSIX, которые оперируют локально установленным брандмауэром (Firewall) или системой контроля пакетов, таких как TCP Wrapper или IPTABLES
Стоит заметить, что Fail2ban является лишь системой предотвращения вторжений, но не в коем случае не системой обнаружения вторжений или анти-хакерским инструментом
Когда речь идёт о работе Fail2ban с Asterisk, необходимо рассказать о роли IPTABLES в данном взаимодействии.
IPTABLES - это административный инструмент оболочки Linux, который предназначается для управления фильтрацией IP адресов и NAT.
IPTABLES используется проверки таблиц правил фильтрации пакетов IP в ядре Linux . В IPTABLES могут быть определены несколько различных таблиц. Каждая таблица содержит ряд встроенных цепочек (chains) и может также содержать цепочки, определяемые пользователем.
Каждая цепь представляет собой список правил, которым могут совпадать пакеты. Каждое правило определяет, что делать с пакетом, который имеет соответствие правилам.
Для проверки IPTABLES, необходимо ввести следующую команду с правами рута:
# iptables –L
Эта команда отобразит список цепочек (chains), которые называются INPUT, FORWARD и OUTPUT, в самом низу ещё есть кастомные цепи, созданные пользователем.
Дефолтные IPTABLES выглядят примерно следующим образом:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
По умолчанию , IPTABLES разрешают весь трафик. Когда IPTABLES работает в паре с Fail2ban, то трафик не будет блокироваться, пока Fail2ban не создаст запрещающих правил. Fail2ban , по умолчанию, вставляет правила в верхней части цепи, поэтому они имеют приоритет над правилами, настроенными в IPTABLES пользователем. Это хорошо, потому что можно сначала разрешить весь SIP трафик, а затем Fail2ban будет блокировать отдельных хостов, которые совершили попытку нападения, до тех пор, пока они не будут разрешены этим правилом снова.
Стандартная настройка Fail2ban приведена ниже.
Данные изменения, вносятся в файл /etc/fail2ban/jail.conf
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@merionet.ru]
logpath = /var/log/asterisk/security
maxretry = 5
bantime = 259200
А теперь расшифруем, что же означает данная запись. Это фильтр, который на 3 дня банит любой IP-адрес, который 5 раз пытался неудачно получить доступ к Asterisk, а потом отправляет e-mail, уведомляющий о данном факте.
Так как многие используют у себя в качестве платформы виртуализации Hyper-V, сегодня мы решили немного рассказать о том, как "правильно" использовать данную платформу – в плане сохранения ресурсов и просто с точки зрения логики. Рекомендации описанные ниже вполне смогут сохранить вам немного драгоценных вычислительных ресурсов. Поэтому ниже вы найдете 14 хинтов, которые могут помочь сохранить ресурсы.
Не плодите виртуальные сущности!
Первый хинт, и достаточно очевидный -не создавайте ненужных виртуальных машин и не оставляйте их запущенными! Процесс VMMS.exe постоянно проверяет статус всех виртуальных машин, в том числе и без каких-либо активных процессов, помимо ОС запущенных на них. Таким образом, на данный процесс тратятся дорогие ресурсы.
Далее, задумайтесь, сколько виртуальных коммутаторов у вас создано – подумайте, в каком случае вы можете просто использовать VLAN или другие механизмы сегментирования для логического разделения сети между виртуальными машинами. Причина такая же как и в предыдущем случае – VMMS.exe постоянно проверяет состояние виртуальных свитчей и тратит ресурсы!
Настройте антивирус так, чтобы он не проверял Hyper-V процессы и директории, так как такое ПО как антивирус постоянно производит I/O операции для файлов, и, соответственно, может отобрать ресурс у процессов, выполняемых между виртуальными машинами. То есть:
Процессы Hyper-V - VMMS.exe и VMWP.exe
Папки с виртуальными машинами - файлы с виртуальными жесткими дисками и файлы конфигурации
Папки со снэпшотами-V - снэпшоты и чекпоинты
Используйте официально поддерживаемы гостевые ОС – будет быстрее!
Старайтесь использовать только те гостевые системы, на которые возможно установить Integration Services – дополнения, которые включают в себя VMBUS и VSP/VSC компоненты, используется для значительного улучшения связи между Windows, на котором установлен Hyper-V и виртуальными машинами. Список поддерживаемых систем можно найти по ссылке: https://docs.microsoft.com
Кроме того, старайтесь хранить виртуальные машины, которые не поддерживают установку Integration Services на отдельном сервере Hyper-V. Если это невозможно – используйте отдельный виртуальный свитч. Дело в том, что они используют совершенно разные механизмы общения с оригинальной системой – коммуникации через VMBUS и коммуникации через эмуляцию. Эмуляция быстрее, но возможна только при установленных Integration Services.
Старайтесь использовать виртуальные машины Generation Type 2 (второго поколения), которые загружаются с помощью SCSI контроллера, вместо IDE (SCSI быстрее). Кроме того, машины второго поколения используют VMBUS и VSP/VSC архитектуру на boot уровне, что улучшает общую производительность.
Внимательнее относитесь к расположению виртуальных машин!
Не храните виртуальные машины на одном жестком диске вместе с системными файлами и файлами гипервизора – опять же из-за того, что ОС занимает свою долю в операциях ввода-ввывода, и у жесткого диска легко не может хватить производительности для задач, выполняемых на виртуальных машинах. Соответственно, всегда изменяйте папку хранения виртуальных машин по умолчанию на что-то иное. Изначально, путь выглядит так:C:ProgramDataWindowsHyper-VVirtual Machines
Если возможно – используйте для каждой виртуальной машины разные тома. Наличие нескольких виртуальных машин на одном логическом томе также повышает количество производимых I/O операций.
Регулярно дефрагментируйте жесткий диск перед созданием виртуального жесткого диска и просто проводите дефрагментацию разделов, где хранятся виртуальные машины.
Старайтесь использовать SCSi контроллеры для виртуальных жестких дисков – выиграйте по скорости. Для приложений вроде SQL лучше хранить логи и сами данные на разных SCSi разделах
При создании виртуальной машины лучше используйте виртуальные жесткие диски фиксированного размера – это так же даст прирост производительности.
В общем о ресурсах
В то же время, рекомендуется использовать динамически аллоцируемую оперативную память. Однако, для некоторых приложений также лучше будет использовать изначально большой объем фиксированной ОЗУ – но это применимо только к узкому ряду приложений, вроде Sharepoint.
Старайтесь использовать Windows Server Core Operating System, так как там нет графической оболочки, система потребляет меньше ресурсов.
Если же вы используете обычный Windows с обычным, всем очень хорошо знакомым GUI всегда закрывайте другие окна, приложения и так далее – все, что хотя бы теоретически может повлиять на производительность.
Redis – это высокопроизводительная БД, которая хранит данные в памяти, доступ к которым осуществляется по ключу доступа. Она может использоваться в качестве базы данных, кэша и брокера сообщений и поддерживает различные структуры данных, такие как строки, хэши, списки, наборы и т. Д. Redis обеспечивает высокую доступность через Redis Sentinel и автоматическое разбиение между несколькими узлами Redis с помощью Redis Cluster.
Это руководство описывает установку и настройку Redis в CentOS 8. Подробно про Redis можно прочесть в этой статье.
Установка Redis в CentOS 8
Redis версии 5.0.x включен в стандартные репозитории CentOS 8. Для его установки выполните следующие команды от имени пользователя root или пользователя с привилегиями sudo (про то как получить права sudo можно прочесть тут)
sudo dnf install redis-server
После завершения установки включите и запустите службу Redis:
sudo systemctl enable --now redis
Чтобы проверить, работает ли сервер Redis, введите:
sudo systemctl status redis
Получим следующий вывод:
? redis.service - Redis persistent key-value database
Loaded: loaded (/usr/lib/systemd/system/redis.service; enabled; vendor preset: disabled)
Drop-In: /etc/systemd/system/redis.service.d
L-limit.conf
Active: active (running) since Sat 2020-02-08 20:54:46 UTC; 7s ago
Вот и все! Redis установлен и работает на вашем сервере CentOS 8.
Настройка удаленного доступа Redis
По умолчанию Redis не разрешает удаленные подключения. Вы можете подключиться к серверу Redis только с 127.0.0.1 (localhost) - компьютера, на котором работает Redis.
Если вы используете установку с одним сервером, где клиент, подключающийся к базе данных, также работает на том же хосте, вам не нужен удаленный доступ.
Чтобы настроить Redis для приема удаленных подключений, откройте файл конфигурации Redis в текстовом редакторе:
sudo nano /etc/redis.conf
Найдите строку, начинающуюся с bind 127.0.0.1, и добавьте внутренний IP-адрес вашего сервера после 127.0.0.1.
bind 127.0.0.1 192.168.1.10
Убедитесь, что вы заменили 192.168.1.10 своим IP-адресом. Сохраните файл и закройте редактор. Если вы хотите, чтобы Redis прослушивал все интерфейсы, просто закомментируйте строку.
Перезапустите службу Redis, чтобы изменения вступили в силу:
sudo systemctl restart redis
Используйте следующую команду ss, чтобы убедиться, что сервер Redis прослушивает ваш локальный интерфейс через порт 6379:
ss -an | grep 6379
Вы должны увидеть что-то вроде этого:
tcp LISTEN 0 128 192.168.1.10:6379 0.0.0.0:*
tcp LISTEN 0 128 127.0.0.1:6379 0.0.0.0:*
Затем вам нужно настроить фаервол для доступа трафика с TCP-порта 6379.
Скорее всего вы захотите разрешить доступ к серверу Redis только с определенного IP-адреса или диапазона IP-адресов. Например, чтобы разрешить подключения только с подсети 192.168.2.0/24, выполните следующие команды:
sudo firewall-cmd --new-zone=redis –permanent
sudo firewall-cmd --zone=redis --add-port=6379/tcp –permanent
sudo firewall-cmd --zone=redis --add-source=192.168.2.0/24 –permanent
sudo firewall-cmd --reload
Приведенные выше команды создают новую зону с именем redis, открывают порт 6379 и разрешают доступ из частной сети. На этом этапе сервер Redis будет принимать удаленные подключения через порт TCP 6379.
Убедитесь, что ваш фаервол настроен на прием соединений только из доверенных диапазонов IP-адресов. Чтобы убедиться, что все настроено правильно, вы можете попробовать пропинговать сервер Redis с удаленного компьютера, используя утилиту redis-cli, которая предоставляет интерфейс командной строки для сервера Redis:
redis-cli -h ping
Команда должна вернуть ответ PONG:
PONG
Если это так, то значит, что мы все сделали правильно!