No description
.gitignore | ||
config | ||
Makefile | ||
motd | ||
README.md | ||
security-default.png | ||
shmsetup.sh | ||
sshd_config | ||
sysctl.conf |
Welcome to SecurityVPS 👋
Security Default VPS Debian 11 / Guide by Свободный Волк ;)
Создаем ключи ssh (Пароль должен быть стойким)
~$ ssh-keygen -a 32 -t rsa -b 4096 -C 'libre'
Копируем наши созданные ключи на тачку
~$ ssh-copy-id root@195.0.0.201
Коннектимся к нашей тачке
~$ ssh root@195.0.0.201
Обновляем нашу тачку
~$ apt update && apt upgrade -y
~$ apt -y install sudo whois curl mc git autoconf make tcpdump \
tree screen htop tree apt-transport-https neofetch net-tools macchanger \
debsums debsecan fail2ban rkhunter ufw unattended-upgrades
Включить автоматическое обновление
~$ apt update && apt -y dist-upgrade
~$ dpkg-reconfigure --priority=low unattended-upgrades
Редактируем наш баннер
~$ nano /etc/motd
Редактируем наш issue на Windows Server
~$ echo 'Windows Server 2016' > /etc/issue.net
Создаем нового юзера для входа из под него
~$ adduser libre
~$ usermod -aG sudo libre
~$ reboot
В отдельном терминале копируем ключи для нового юзера
~$ ssh-copy-id libre@195.0.0.201
Коннектимся к нашей тачке
~$ ssh root@195.0.0.201
Install linux libre linux-libre-5.18
~$ sudo -i
~$ apt update && apt -y upgrade
~$ apt -y install gpgv2 nano curl wget
~$ wget -O - https://mirror.cyberbits.eu/linux-libre/freesh/archive-key.asc | sudo apt-key add -
~$ echo 'deb https://mirror.cyberbits.eu/linux-libre/freesh/ freesh main' >> /etc/apt/sources.list
~$ apt update
~$ apt -y install linux-libre-5.18 linux-libre-5.18-headers
~$ apt autoremove ; reboot
Protect Grub
Этот скрипт позволяет пользователям защитить загрузчик grub от компрометации и установить на него уровень безопасности.
~$ git clone https://git.disroot.org/librewolf/grubProtect
~$ cd grubProtect && chmod +x grubProtect.sh
~$ sudo ./grubProtect.sh
Редактируем наш sshd config
# https://man.openbsd.org/sshd_config.5
~$ sshd -T
~$ nano /etc/ssh/sshd_config
Заменяем на: sshd_config
# перезагружаем sshd
~$ service sshd reload
Редактируем наш sysctl.conf
~$ nano /etc/sysctl.conf
Заменяем на: sysctl.conf
~$ sysctl -p
Удалить все ключи Диффи-Хеллмана длиной менее 3072 бит
~$ sudo cp --archive /etc/ssh/moduli /etc/ssh/moduli-COPY-$(date +"%Y%m%d%H%M%S")
~$ sudo awk '$5 >= 3071' /etc/ssh/moduli | sudo tee /etc/ssh/moduli.tmp
~$ sudo mv /etc/ssh/moduli.tmp /etc/ssh/moduli
Создаем конфиг для удобного коннекта
Host libre
User libre
port 1337
HostName 195.0.0.201
MACs hmac-sha2-512
KexAlgorithms curve25519-sha256@libssh.org
VisualHostKey no
IdentityFile ~/.ssh/id_rsa
~$ nano ~/.ssh/config
~$ chmod 644 ~/.ssh/config
Блокировка учетной записи root
~$ passwd -l root
Коннектимся к нашей тачке
~$ ssh libre@195.0.0.201
Закройте не нужные порты если они есть
~$ sudo ss -tulpn
Установите Rkhunter
Отредактируйте /etc/rkhunter.conf файл с помощью nano
#Enable the mirror checks.
UPDATE_MIRRORS=1
#Tells rkhunter to use any mirror.
MIRRORS_MODE=0
#Specify a command which rkhunter will use when downloading files from the Internet
WEB_CMD=""
~$ sed -i -r -e '/^#|^$/ d' /etc/rkhunter.conf
~$ sudo nano /etc/rkhunter.conf
~$ sudo rkhunter -C
~$ sudo rkhunter --update
~$ sudo rkhunter --propupd
~$ sudo rkhunter --check --sk
Installation Lynis
~$ cd /usr/local
~$ git clone https://github.com/CISOfy/lynis
~$ cd lynis
~$ ./lynis audit system --quick
TODO:
- Add script autoInstall
- Add Firewall configuration
- Add Traffic Noisy
- More Security
- ClamAV
Author
👤 Librewolf
- Open Source: https://t.me/ThisOpenSource
Show your support
Give a ⭐️ if this project helped you!
License
Distributed under the GPL V3 License. See LICENSE for more information