Мазмуну:

Raspberry Pi4 Firewall: 12 кадам
Raspberry Pi4 Firewall: 12 кадам

Video: Raspberry Pi4 Firewall: 12 кадам

Video: Raspberry Pi4 Firewall: 12 кадам
Video: Замена отопления в новостройке. Подключение. Опрессовка. #17 2024, Ноябрь
Anonim
Raspberry Pi4 Firewall
Raspberry Pi4 Firewall

Жаңы чыккан Raspbery Pi 4 (RPi4) менен мен өзүмдү үйдө колдонуучу брандмауэр кылууну чечтим. Интернетте чалынып жүргөндөн кийин, мен Guillaume Kaddouch тарабынан бул темада чоң макаланы таптым (https://networkfilter.blogspot.com/2012/08/building-your-piwall-gateway-firewall.html). Макала укмуштуудай, аны алдыга чыгарардан мурун окууңуз керек-бул жерде сүрөттөлгөн процессти жеңилдетет. Бул нерсе, бул макала 2012 -жылы жазылган жана ArchLinux дистрибутивине негизделген. ArchLinuxке каршы эч нерсе жок, бирок мен муну кеңири таралган Raspbian түзүлүшүн колдонуп жасагым келди. RPi4 иштетүү талаптарын аткара алат. Ошентип, рахмат, Гийом, илхам үчүн !! Бул нускоочу Guillaume'дун ("GK" кыскача) оригиналдуу постуна кайрылып, сиз беттериңиздин эки браузериңизде ачык болушун каалайсыз.

Менин брандмауэрим жөнүндө бир нече негизги нерселер:

  • Менде LANга бара турган Ethernet Jack (Eth0) бар
  • ISP роутери TRENDnet адаптеринде (eth1)
  • Мен зымсыз адаптерди активдүү түрдө өчүрдүм (wlan0)
  • Бул жерде сизди 100% камсыздоого кепилдик жок … жок дегенде 99%:) ошондуктан пикир/комментарий бериңиз
  • Бул менин эң биринчи көрсөтмөм. Тийиштүү инструкцияланган нормаларга туура келбеген нерселер үчүн кечирим сурайм.

Эми, көңүл ачалы …

Жабдуулар

  • Raspberry Pi 4

    • Мен 4 ГБ версиясын колдондум, башка версиясын колдонуп көрүңүз
    • Case (мага FLIRC жагат, бирок бул сиздин чалууңуз)
    • Power Adapter
  • MicroSD картасы, 32 ГБ же андан чоңураак (мен 64 ГБ карта колдондум)
  • TRENDnet USB3.0 Гигабит Ethernet Dongle (Модели: TU3-ETG)
  • Бир жубайлар RJ45 тармак кабели
  • USB клавиатурасы жана чычкан
  • Micro-HDMI to HDMI кабели (HDMI мониторуна туташтырылган)

Ошол клавиатура, видео жана чычкан сиз SSH жана VNCти иштете баштагандан кийин өчүрүлөт.

1 -кадам: Баштапкы RPi Орнотуу

Баштапкы RPi орнотуу
Баштапкы RPi орнотуу

Биринчи нерсе - RPi4ту жаңы система катары иштетүү. Raspbian толук бөлүштүрүүсүн жүктөп алып, орнотуңуз (Raspbian Buster столу жана сунушталган программасы менен). MicroSD картасынын мүмкүнчүлүктөрүн кеңейтүү үчүн аны бир нече жолу өчүрүп -күйгүзүүңүз керек болот.

Бул өтүк болгондуктан, сиз жер, тармак, клавиатура жана чычкан тууралуу суроолорго жооп беришиңиз керек болот. Тармакка туташыңыз жана аны жаңыртууга уруксат бериңиз.

Ошондой эле баары туура жаңыртылганын ырастап, кийинчерээк мүчүлүштүктөрдү оңдоого жардам бере турган бир нече утилитаны алалы:

$ sudo apt-get update

$ sudo apt-get dist-upgrade $ sudo apt-get htop $ sudo apt-get install tcpdump

Мен vim орноткон жокмун, же GKнын 8 -кадамын жасабадым (vimди конфигурациялоо). Мен жөн эле vi редакторун колдондум, анткени ал баардык өзгөчөлүктөргө ээ. Бул ошондой эле бир аз убакытты жана күчтү үнөмдөдү.

Бул аяктагандан кийин, RPi4ти орнотуп алалы, ошондо биз мониторду туташтыра алабыз. Менин максатым аны башы жок иштетүү болчу, бирок мониторду туташтыруу керек болсо, ал таанылат.

$ sudo vi /boot/config.txt

Ал файлда:

комментарийсиз (алдыңкы #белгисин алып салуу): hdmi_force_hotplug = 1

комментарийсиз: hdmi_drive = 2

милдеттүү түрдө, кошуу: enable_hdmi_sound

2 -кадам: Networking

Networking
Networking
Networking
Networking

Эгер сиз GKнын сайтында ээрчип жүрсөңүз, бул 3 -кадам. Бирок эстен чыгарбаңыз, мен анын алгачкы кадамдарынын көбүн так тартипте аткарган эмесмин.

Мен муну биринчи баштаганда, мен RPi түздөн -түз провайдерим роутерине туташтырдым ("болгон тармагымдын жанында"). Бул мага тармакка таасир этпестен конфигурация менен ойноого мүмкүнчүлүк берди. RPi4 камтылган RJ45ти роутериңизге туташтырыңыз (же кааласаңыз, зымсыз). Raspbian менен, муну эң оңой жолу GUIди колдонуу. Иш столунан Raspberry Icon> Preferences> Raspberry Pi Configuration чыкылдатыңыз. SSH жана VNCти иштетүүнү унутпаңыз. Бул Real-VNC серверинин кардарын орнотот. Мен Tight VNC кардары менен туташууга аракет кылсаңыз, ал туура келерин жана кошумча конфигурацияны талап кыларын байкадым. Ошентип, бул учурда Real-VNC кардарын негизги столго/ноутбукка орнотуңуз (сиздин RPi4 эмес).

SSH кутудан тышкары иштебейт (ГКнын 7-кадамы). Биз кээ бир конфигурацияларды өзгөртүшүбүз керек. Биринчиден, ssh конфигурация файлын өзгөртөлү. Мына мен киргизген өзгөртүүлөр. Бул жердеги ар бир өзгөрүүнүн таасирин изилдебегенимди эстен чыгарбаңыз. Мен ГКнын сайты сунуштаган нерсени жасадым. Бул өзгөртүүлөрдүн айрымдары талап кылынбайт.

$ sudo vi/etc/ssh/sshd_config

Бул файлда төмөнкү саптарды комментарийлебеңиз:

HostKey/etc/ssh/ssh_host_rsa_keyHostKey/etc/ssh/ssh_host_ecdsa_keySyslogFacility AUTHLogLevel INFOStrictModes yesPubkeyAuthentication yesHostBasedAuthentication no

Ооба, Росторду этибарга албаңыз

PrintMotd noPrintLastLog ообаTCPKeepAlive ооба

Жана төмөнкү саптарды кошуңуз:

Протокол 2 Колдонуу Артыкчылык Бөлүү ообаКейРегенерация Interval 3600ServerKeyBits 768RSAАутентификация ообаРостор RSAАутентификация жок

Жана төмөнкү саптарды өзгөртүү:

Port 15507LoginGraceTime 60PermitRootLogin no

Келгиле, бул биринчи өзгөртүү жөнүндө тезирээк сүйлөшөлү… 15507 порт. SSH адатта 22-портунда иштейт. GK аны 15507ге жылдырды-эмне үчүн экенин билбейм. Сиз муну каалаган жол менен өзгөртө аласыз же өзгөртө албайсыз … Эгер сиз аны өзгөртүүнү чечсеңиз, сиз менен туташууга аракет кылган SSH буйругуна "-p 15507" кошууңуз керек болот. Эгер сиз аны өткөрүп жиберүүнү чечсеңиз, бул инструкцияда 15507 деп айтылган башка жерлерге көз салыңыз жана аларды, өзгөчө брандмауэр эрежелерин этибарга албаңыз!

Акыры, бул кадам үчүн, RPi4тин IP дарегин алалы, ошондо биз эмнени туташтыруу керек экенин билебиз:

$ ipconfig -a

Активдүү тармак туташуусун табыңыз (кыязы eth0 же wlan0 боюнча) жана ошол IP дарегин жазыңыз. Эми сизде алыстан RPi4ке туташуу үчүн керектүү нерселер бар. Улантуудан мурун кайра жүктөлсүн:

$ sudo кайра жүктөө

3 -кадам: Башка колдонуучу

Башка Колдонуучу
Башка Колдонуучу

Демейки RPi колдонуучу атын (пи) колдонбогонуңуз жакшы, жана сиз сөзсүз түрдө паролду өзгөртүшүңүз керек. Коопсуз болуу үчүн, алыстан туташуу жана улантуу үчүн колдоно турган башка колдонуучу эсебин кошууга уруксат бериңиз (GKнын 6 -кадамы). Кайра RPiге жаңы колдонуучуну кошууга жана SSHге колдонуучуга уруксаттарды коюуга жана sudo командасын чыгарууга мүмкүндүк берет:

$ sudo useradd -m -g колдонуучулар -G sudo, netdev -s /bin /bash [USERNAME]

$ sudo passwd [USERNAME]

Чыгып кетүүнү же өчүрүп -күйгүзүп, жаңы түзүлгөн каттоо эсебин алдыга карай колдонуңуз.

4 -кадам: Syctl File

Syctl файлы
Syctl файлы

Кийинки кадам /etc/sysctl.conf файлын өзгөртүү (GKнын 9 -кадамы). Бул файл бир нече ядро орнотууларын өзгөртүү үчүн колдонулат. Биз ГКнын айткандарын так аткарабыз. Бул жерде жөнөкөйлөтүлгөн кадамдар топтому.

$ sudo vi /etc/sysctl.conf

Бул файлда төмөнкү саптарды комментарийлебеңиз:

net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.all.rp_filter = 1net.ipv4.tcp_syncookies = 1

net.ipv4.ip_forward = 1

net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.log_martians = 1

Жана төмөнкү саптарды кошуңуз:

net.ipv4.icmp_echo_ignore_broadcasts = 1net.ipv4.icmp_ignore_bogus_error_responses = 1net.ipv4.conf.eth0.accept_redirects = 0vm.min_free_kbytes = 8192

Бул жаңы жөндөөлөр менен кызматты өчүрүп күйгүзүңүз:

$ sudo sysctl -p

$ sudo кайра жүктөө

5 -кадам: DHCP & DNS (1 -бөлүк)

DHCP & DNS (1 -бөлүк)
DHCP & DNS (1 -бөлүк)

Мен үчүн бул процесстин эки азаптуу бөлүгү бар болчу … DHCP & DNSти орнотуу жана файрвол эрежелерин орнотуу. Ошентип, бул жерде биринчи бөлүк менен барабыз. Эгерде сиз GKнын сайтында ээрчип жүрсөңүз, биз 10 -кадамдамыз.

Бул үчүн сизге ISP роутериңизден (же учурдагы брандмауэрден) бир нече маалымат керек болот:

  • Роутердин ички IP дареги
  • IP дареги сиз роутерге RPi4 интерфейси үчүн колдоно аласыз
  • Аттар сервери үчүн IP (же эки)
  • LAN туташуусу үчүн интерфейстин аты (мис., Eth0 же eth1)
  • ISP туташуусунун интерфейсинин аты (мис., LAN үчүн колдонбогон нерселериңиз)

Ошондой эле, RPi4ке статикалык IP дарегин берүү үчүн роутердин жөндөөлөрүн өзгөртүү керек болушу мүмкүн (2 -пункт, жогору). Жок дегенде, мен ушундай кылдым.

Биринчиден, dhcpcd.conf файлын өзгөртөлү …

$ sudo vi /etc/dhcpcd.conf

Бул саптарга комментарий бербеңиз:

persentoption rapid_commitoption domain_name_servers, domain_name, domain_search, host_nameoption interface_mtu

Ар бир тармак интерфейси үчүн, сиз тармактын чоо -жайын орнотушуңуз керек. Алар мындай көрүнүшү керек:

# ISP интерфейси үчүн статикалык

интерфейс eth1 static ip_address = 192.168.1.статикалык роутерлер = 192.168.1.254 статикалык domain_name_servers = 8.8.8.8 8.8.4.4 метрикалык 100 # LAN интерфейсинин интерфейси үчүн этикалык статикалык ip_address = 10.210.212. статикалык роутерлер = 10.210.212.1 статикалык domain_name_servers = 8.8.8.8 8.8.4.4 #interface wlan0 #static ip_address = 10.210.212. #static routers = 10.210.212.1 #static domain_name_servers = 8.8.8.8 #Эгерде сиз IP дарегин түзмөккө мажбурлоону кааласаңыз, бул бөлүмгө комментарий бербеңиз. "Хосттун" #атынан кийинки система үчүн мааниси жок. Түзмөктүн MAC дарегин, ошондой эле каалаган #IP дарегин киргизиңиз. Бул dhcp диапазонунда эмес экенин текшериңиз. Керек болгондо кайталаңыз. #host [ANYTHING] { # hardware ethernet xx: xx: xx: xx: xx: xx; # туруктуу дарек 10.210.212.250; #}

Сиз үчүн иштеген сандарды колдонууну унутпаңыз. Жогорудагы IPлер менин тармагым үчүн, Google болгон серверлерди кошпогондо. Байкасаңыз, мен Интернет провайдеринин көрсөткүчүн 100 деп коюп, тармактык трафик үчүн демейки биринчи аракет кылууга мажбур кылам. Мен ошондой эле зымсыз адаптериме (wlan0) эч нерсе кылган жокмун. Мен бул интерфейсти толугу менен өчүргүм келип жатат, ошондуктан мен үчүн мааниси бар болчу.

Ошондой эле, эгер сиз IP дарегин түзмөккө (NAS сыяктуу) мажбурлоону кааласаңыз, анда төмөнкү бөлүктү колдонуңуз. Алып баруучуга сизге мааниси бар ат коюңуз, бирок аны эч качан эч нерсе колдонбогонун билиңиз. Үтүрлүү чекитти унутпаңыз.

6 -кадам: DHCP & DNS (2 -бөлүк)

DHCP & DNS (2 -бөлүк)
DHCP & DNS (2 -бөлүк)

Кийинки кадам dnsmasq.conf файлын өзгөртүү…

$ sudo vi /etc/dnsmasq.conf

Биз бир нече саптарды комментарийлеп, бир нече сапты түзөтүшүбүз керек. Сиз ошондой эле dhcpcd.conf файлынан бир нече орнотууларды көчүрүүңүз керек болот. Сиз өзүңүзгө жооп беришиңиз керек болгон дагы эки суроо:

Ички LAN (мис., Eth0) DHCP жана DNSке муктажбы? Сиздин LAN үчүн кандай DHCP диапазону керек жана ар бир ижара канчага созулушу керек?

Бир нече сапты комментарийлөө менен баштаңыз:

жасалма-privno-dhcp-интерфейси = wlan0bind-interfacesdhcp-аты-матч = топтому: wpad-ignore, wpaddhcp-ignore-names = тэг: wpad-ignore

Атыңыздын серверин коюңуз. 'Server =' башталган сапты издеңиз жана аны 'server = 8.8.8.8' сыяктуу кылыңыз.

DHCP диапазонуңузду орнотуңуз. Мунун көптөгөн жолдору бар. Мен эки акыркы чекиттеги IP, масканы жана ижара мөөнөтүн берүүнү чечтим. Менин диапазонум 10.210.212.20-10.210.212.240, 255.255.255.0 сетка маскасы менен, жана 12 саат ижара убактысы. Мен сизге качандыр бир убакта статикалык IP берүү керек болгон учурда кээ бир IP -ди диапазонуңуздун үстү жана астына калтырууну сунуштайм.

'Interface =' линиясын 'interface = eth0' сыяктуу кылып өзгөртүү менен DNS жана DHCP (LAN) ала турган интерфейсти коюңуз. Байкасаңыз, мен зымсыз тармагыма DHCP IP дарегин бербөөнү атайын айткам. Дагы, мен бул интерфейсти толугу менен өчүргүм келип жатат, ошондуктан мен үчүн мааниси бар.

7 -кадам: DHCP & DNS (3 -бөлүк)

DHCP & DNS (3 -бөлүк)
DHCP & DNS (3 -бөлүк)

Бул акыркы кадам үчүн GKнын көрсөтмөлөрүнөн алыстоо…

Мен ушул учурда RPi кайра баштоого барганымда, dnsmasq процесси активдүү болгон жок. Бир аз чуркап көрсөм, менин eth0 жана eth1 тармак интерфейстерим dnsmasq башталганга чейин экөө тең активдүү эмес экенин көрдүм, ошондуктан dnsmasq башталганда иштебей калат. Мен клавиатура менен чычканды RPiге туташтырып, dnsmasqты кол менен кайра башташым керек болчу. Бул башсыз орнотуу менен идеалдуу эмес. Мен орнотууларга (мисалы, bind-интерфейсин өчүрүү) жана башка нерселерге ар кандай өзгөртүүлөрдү киргизүүнү айткан постторду окудум. Анын эч бири иштеген жок. Акыр -аягы, мен жөн эле ар бир 2 мүнөт иштей турган кабык скриптин жазууну чечтим жана dnsmasq абалын текшерип көрдүм. Эгерде ал иштебесе, аны баштаңыз. Бул жагдай мен үчүн эле эмес деп ойлойм. Ошентип, бул жерде сиз эмне кылышыңыз керек:

Төмөнкү кодду RPiңизде 'dns_masq_keepalive.sh' деп аталган файлга айлантыңыз.

#!/bin/bash

# Файл: dns_masq_keepalive.sh # Август 2019 # Муну crontab -e (*/2 * * * * /etc/dns_masq_keepalive.sh) менен dnsmasq иштээрине ынануу үчүн колдонуңуз. Эгерде dhcpcd.conf -те айтылган бардык интерфейстер башталгыча иштебесе, кызмат өзүн токтотот. Бул көйгөйдү чечет. # Бул кийинки сапта "dnsmasq" сөзү бар бардык активдүү жумуштар кайтарылат. Ошентип, бул # файлдын атына 'dnsmasq' киргизбеңиз, антпесе ал аны кайра кайтарат жана сизде эч качан өчүрүп -күйгүзүү болбойт. dns_running = $ (ps -e | grep dnsmasq) echo $ dns_running if if [-z "$ dns_running"] then #echo No DNSMasq sudo /etc/init.d/dnsmasq restart #else #echo DNSMasq Running fi

Керек болсо аны кескиле. Эмне кылсаңыз да, анын атына 'dnsmasq' киргизбеңиз. Сценарий "dnsmasq" сөзүн издейт жана эгер сценарийде анын аты болсо, анда ал кызмат иштеп жатат деп ойлойт. Ошондой эле, файлдын аталышын ".sh" менен бүтүрүңүз. Интруктивдер мага '.sh' файлын жүктөөгө уруксат бербейт-бул жакшы. Калган нускамалар файлдын бар экенин болжолдойт: /etc/dns_masq_keepalive.sh.

Экинчиден, файлды иштетүү үчүн уруксаттарды коюңуз:

$ sudo chmod u+x /etc/dns_masq_keepalive.sh

Эми биз crontab системасын колдонуп, программаны күн сайын 2 мүнөт сайын иштетебиз. Crontab баштоо:

$ sudo crontab -e

Ал vi же башка нерсени колдонуп түзөтүүгө түрткү бериши керек. Баары иштейт. Аны түзөтө алгандан кийин, файлдын аягына төмөнкүлөрдү кошуңуз:

*/2 * * * * sudo /etc/dns_masq_keepalive.sh

'*/2де боштук жок, бирок жылдызчалардын ортосундагы боштуктар. Сактоо жана чыгуу. Бул сизге жумуш пландалганын же ушуга окшош нерсени айтууга тийиш.

8 -кадам: Firewall

Firewall
Firewall

Кийинки оор процесс - бул брандмауэр (ГКнын 11 -кадамы). Raspbian белгилүү iptables системасын колдонот. GK блогу ал жерге жетүү үчүн үч файлды камсыздайт… firewall.simple, firewall.advanced жана firewall.flows. GKга болгон бардык урматтоо, бирок өзүңүздү оңой кылып, жөн гана firewall.simple менен барыңыз. Мен көп убактымды iptables системасын жана эрежелерин табууга аракет кылдым. Мен сүйүнүп турам, бирок бул азаптуу болду. Ошентип, мен сизге жардам берүү үчүн тиркелген эки файлды берем… firewall.simple жана firewall.clear. Бул файлдардын экөөнү тең /etc папкаңызга көчүрүңүз жана аларды аткарылуучу кылуу үчүн уруксаттарды өзгөртүңүз:

$ sudo chmod u+x /etc/firewall.simple

$ sudo chmod u+x /etc/firewall.clear

Ар кандай брандмауэр эрежелерин орнотуудан мурун, стол/ноутбукту RPi eth0 портуна туташтырып, анын IP дареги жана DNS иштеп жаткандыгын ырастаңыз. Мунун эң оңой жолу - жалпы сайтты, анан белгилүү IP дарегин пинг кылуу. Ошондой эле RPi жана ISP роутериңизге пинг. Эгер сиз жыйынтыкка жетсеңиз, анда баары жакшы болот жана сиз азыр туш болгон тармактык көйгөйлөр файрвол маселелеринин натыйжасы болушу мүмкүн.

Биринчи берилген файл GKнын firewall.simple файлы катары башталган (рахмат, дагы, GK!). Мен бул системага иштеши үчүн бир топ өзгөртүүлөрдү киргиздим. Бул жок дегенде HTTP, HTTPS, DNS, DHCP, пинг, ички SSH, ички VNC жана plexке уруксат бериши керек. Plexте мүмкүн болгон бардык түзмөктөр үчүн ачык порттор болбошу мүмкүн, бирок муну оңдоо үчүн бир топ посттор бар. Файлдын үстүндө сиз тармак конфигурацияңызга өзгөртүү керек болгон баалуулуктар бар.

Экинчи файл, firewall.clear, сиз файрвол эрежелерин текшерип жатканда колдонууга арналган. Сиз 'sudo /etc/firewall.clear' иштеткенде, бардык брандмауэр эрежелери тазаланат жана система толугу менен Интернетке туташкан болушу керек. Ошентип, эгер сиз тармак кызматын (dns сыяктуу) брандмауэр менен иштей албасаңыз, анда ал firewall.clear иштетилгенден кийин иштей баштайт, сизде эреже көйгөйү бар экенин билесиз. Бул чындыгында эрежелериңизди текшерүүдө гана маанилүү болот.

Ошентип, бизде брандмауэрдин эрежелери бар, аларды RPi башталганда башташыбыз керек. Бул үчүн, /etc/rc.local файлын түзөтөбүз:

$ sudo vi /etc/rc.local

Ичине киргенден кийин файлдын аягына төмөнкүлөрдү кошуңуз:

echo "Iptables эрежелерин жүктөө" /etc/firewall.simple >>/dev/null

Эгерде сиз кирүүнү аныктоо тутумун кошууну тандасаңыз, бул файлды кайра түзөтүшүңүз керек болот. Азырынча аны сактап, кайра жүктөңүз.

$ sudo кайра жүктөө

9 -кадам: Syslog

Syslog
Syslog

Эки кадам калды…

Бул оңой. Эгерде сиз дагы эле ошол жерде болсоңуз жана GKнын блогун ээрчип жүрсөңүз, бул 12 -кадам. Сиз syslog файлына карата анын айткандарын так аткарышыңыз керек. Бул жерде кыскартылган кадамдар:

2 айга созулган syslog маалыматын сактаңыз …

$ sudo vi /etc/logrotate.conf

Биз ага "бир жуманы" өлчөө катары колдонушубуз керек, анан алардын 12син сакташыбыз керек. Бул файлда сизге төмөнкү эки сап керек. Менин оюмча, учурдагы линияларды өзгөртүү керек.

жумалык трат 12

Сактаңыз.

10 -кадам: Snort менен кирүүнү аныктоо

Snort менен кирүүнү аныктоо
Snort менен кирүүнү аныктоо

GK конфигурациялаган акыркы нерсе - бул snort системасы. Мен муну да сунуштайм. Сиз анын эрежелерине баш ийсеңиз болот, жана мен алардын бардыгын бул жакка көчүрбөйм, анча -мынча өзгөртүүлөр менен. Анын көрсөтмөлөрү ArchLinux distro үчүн. Бул жерде биз колдонгон Raspbian бөлүштүрүү үчүн бир нече өзгөртүүлөр. Калган көрсөтмөлөр жакшы иштейт.

Биринчиден, snort жүктөө жана орнотуу үчүн sudo pacman -S snort колдонбоңуз. Төмөнкүлөрдү аткарыңыз:

$ sudo apt-get snort орнотуу

Экинчиден, сиз sudo snort -version менен коңурукту текшере албайсыз. Орнотууну текшериңиз:

$ sudo snort -V

Акырында, аны баштоодо иштетүү үчүн, rc.conf файлын өзгөртпөңүз, rc.local файлын түзөтүңүз (кайра) …

$ sudo vi /etc/rc.local

Файлдын аягына төмөнкү саптарды кошуңуз:

жаңырык "Буркуроо жүктөлүүдө"

#/usr/sbin/snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0 -l/var/log/snort

Эми, кайра жүктөө жана мунун баары сыйкырдуу иштеши керек.

$ sudo кайра жүктөө

11 -кадам: ырахат алыңыз

Ырахат
Ырахат

Ушундай болуш керек!

Биринчиден, мен Гийом Каддоушка ыраазычылык билдире албайм! Ал буга шыктандырган.

Экинчиден, эгер сиз клавиатураңызды, видеоңузду жана чычканыңызды ажырата элек болсоңуз болот. Керек болгондо кайра кирүү үчүн SSH жана VNC колдонуңуз.

Акыр -аягы, бул 100% идеалдуу эмес болушу мүмкүн. Сураныч, өзгөртүүлөр/сунуштар/сунуштар менен кайра жазыңыз. Менин максатым - бул талкуунун башталышы жана көптөгөн адамдар ырахат алмак!

Рахмат!!

PS … Сүрөт FLIRC алюминий корпусунун ичиндеги RPi4, эски Intel күйөрманы бир аз өзгөртүлгөн жана zip менен байланган. Вентилятордун астында термикалык паста бар, сиз ойлонуп жатсаңыз. Мен Интернеттен окшош нерсени таптым (https://www.reddit.com/r/raspberry_pi/comments/9bdgrr/it_turns_out_putting_a_heatsink_on_the_flirc_case/) жана өзүм сынап көрүүнү чечтим.

12 -кадам: Changelog

Бул нускоочуга өзгөртүүлөр киргизилгендиктен, мен аларды бул жерде документтештирем. Көйгөйүңүз бар болсо, эски көрсөтмөлөрдү же файлдарды кармаганыңызды текшерүү үчүн бул жерден текшериңиз.

25 -сентябрь, 2019 -жыл:

  • DHCP эрежелери firewall.simpleде оңдолду
  • Көрсөтмөлөрдөгү DHCP диапазону бекитилди (файлдар туура болчу)
  • DHCP көрсөтмөлөрүнө туруктуу IP дайындары кошулду

13 -октябрь, 2019 -жыл

  • Бир нече ката оңдолду
  • Экинчи пи түзүлдү, керек болсо алмаштыруу үчүн тесттик SDcardга ээ болом

Сунушталууда: