介绍
Artillery是一个多用途的防御工具,用于基于Linux的系统,包括Honeypot功能,操作系统强化,文件系统监控和实时威胁分析。虽然它为您的系统提供了相当大的安全性,但它意味着用作多层安全方案的一部分,并与Web应用程序防火墙(如ModSecurity)发挥得很好。 Artillery的一些最有用的功能是Honeypot,文件系统监控和实时威胁分析方面,因此本文将主要侧重那些。Honeypot设计用于回复端口和漏洞扫描器与一些最常见的攻击端口,如SSH,MSSQL,RPC / SMB等。这实际上使你的Linux服务器似乎是一个基于Windows的服务器,将是一个攻击者。 文件系统监视通过主动监视通常的目标目录以更改(/ tmp,/ var / www)和监视对攻击者极为重要的文件(/ etc / passwd,/ etc / shadow /,〜/ .ssh / authorized_keys )。Artillery被配置为默认情况下监视这些最常见的文件和目录,但允许用户轻松包含任何您需要监视的文件或目录。 将Artillery与许多其他防御工具分开的更有趣的功能之一是“Artillery Threat Intelligence Feed”,它将关于已知攻击者的IP地址和信息集中到一个中央馈送中,然后可以由任何运行Artillery的机器使用来检测和禁止已知的攻击者从您的服务器实时。
下载和安装Artillery
下载Artillery需要在您的服务器上安装git。如果当前未安装,则需要通过分发包管理器安装。下面的命令应该做的伎俩:
apt-get update && apt-get install git
安装git完成后,我们现在准备克隆Artillery包。
git clone https://github.com/trustedsec/artillery/ artillery/
现在我们可以移动到Artillery目录并启动安装程序。
cd /artillery
./setup.py
您将在安装期间得到三个提示,需要y / n个答案。继续,每个回答是。请注意,安装结束时可能会遇到错误,提示/var/artillery/database/temp.database不存在。如果遇到此错误,以下命令将解决该问题。
mkdir /var/artillery/database
touch /var/artillery/database/temp.database
service artillery restart
配置Artillery
我们现在有一个功能安装的Artillery。开箱即用的Artillery是预先配置为典型的Linux安装,但强烈建议自定义配置,以适应您的个人VPS的需求。我们将带您完成编辑配置文件。 使用nano打开配置文件。
nano /var/artillery/config
更改以下行允许自定义目录的文件系统监视:
MONITOR_FOLDERS=”/var/www”,”/etc”
只需在“/ etc”后添加任何你想监视的目录。例如,如果你想监控/ root,你可以添加“/ root”。最终结果看起来像这样。
MONITOR_FOLDERS=”/var/www”,”/etc”,”/root”
EXCLUDE条目允许您指定不应监视的文件夹或文件。如果不希望/ etc / passwd被监视,例如,您将更改条目如下:
EXCLUDE=/etc/passwd
您还可以根据需要将IP地址列入白名单。如果您是访问虚拟服务器的团队的一员,并且您不希望任何人因为无法输入正确的SSH密码4次而被禁止,这将非常有用。如果您计划针对您的Droplet运行自动端口或漏洞扫描程序,建议至少将自己的IP地址列入白名单,因为这样做会导致禁止,您将无法再连接。默认情况下,环回地址列入白名单,要添加其他IP,只需输入逗号,然后输入IP即可:
WHITELIST_IP=127.0.0.1,localhost,xxx.xxx.xxx.xxx <-Replace the x's with your IP address.
此外,您可以指定Honeypot应报告为打开的端口。如前所述,Honeypot默认配置为在最常被攻击的端口上生成Honeypot,但如果您觉得有必要,您可以通过添加逗号分隔的条目来添加其他端口。要添加端口1024和139,请更改以下行:
PORTS="135,445,22,1433,3389,8080,21,5900,25,53,110,1723,1337,10000,5800,44443"
至
PORTS="135,445,22,1433,3389,8080,21,5900,25,53,110,1723,1337,10000,5800,44443,1024"
建议通过将auto_update的值更改为on来启用自动更新。
AUTO_UPDATE=ON
默认情况下,Artillery配置为尝试减轻对端口80(http)和443(https)的DoS(拒绝服务)攻击。如果您的Droplet在其他端口(8080,8180,10000)上运行Web服务,您还可以通过添加端口(以逗号分隔)在这些端口上启用DoS保护。
ANTI_DOS_PORTS=80,443,8080,8180,10000
如果要禁用DoS保护,只需将ANTI_DOS的值更改为off。
ANTI_DOS=ON
Artillery维修
Artillery设计为在安装后作为服务运行。在安装过程中,Artillery自行启动,因此不需要重新启动服务器。 Artillery将在每次重新启动Droplet后自动启动,在后台提供持续的保护。 与Apache一样,Artillery可以通过运行以下命令作为服务启动和重新启动:
service artillery start # <-Starts the service.
service artillery restart # <-Restarts the service.
您还可以使用ps aux和top来检查Artillery的当前系统资源使用情况,如下所示: 记录Process ID Artillery正在运行。
ps aux | grep artillery
使用Artillery的进程ID替换PID。
top -p PID
重要的是要注意,如果用户连续4次未能提供正确的SSH密码,则它们将被禁止,并且无法再连接到服务器。如果发生这种情况,并且授权用户被禁止,Artillery包括一个脚本来重置禁止。脚本用法是: 移动到Artillery目录
cd /var/artillery
将x替换为禁止用户的ip。
./reset-bans.py xxx.xxx.xxx.xxx
我们现在应该有一个工作安装Artillery配置您的需要。Artillery是系统资源,所以不应该需要升级你的Droplet上的CPU /内存容纳它。还要注意,为了简洁起见,我们没有覆盖配置文件中的每个条目;相反,我们覆盖了最常见和重要的条目。随时试用并查看哪些配置选项最适合您。
