Astra linux отключает блокировку
Обновлено: 21.11.2024
Команды-переключатели (за исключением команды astra-modeswitch), входящие в состав пакета astra-safepolicy, имеется стандартный набор опций вызова:
-
enable - включить/разрешить управление сенсорным действием.
В некоторых командах для включения требуется дополнительный параметр (например, уровень для astra-mic-control enable или имя пользователя для astra-autologin-control);
В случаях, когда в команде используются еще какие-либо опции, за исключением использования ограниченного набора, параметры дополнительных опций при использовании в описании команды (см. ниже).
Запуск команд-переключателей без использования параметров при необходимости повторяет настройку системы в соответствии с состоянием переключателя (применяется внутри модульных файлов, только включенных при включении некоторых переключателей)".
astra-autologin-control
Управление автоматическим входом в графическую среду.
При включении необходимо указать имя (логин) пользователя, от имени которого будет производиться автоматический вход в систему после загрузки.
астра-баш-замок
Управление блокировкой интерпретатора команды bash. Аналогично блокировке других интерпретаторов команды, но вынесена в отдельную блокировку, т.к. доставляет больше неудобств, в том числе для служб, работающих в фоновом режиме.
В частности, после блокировки интерпретатора bash становится невозможным вход непривилегированных пользователей, использующих bash в качестве командной защиты, в консольную сессию.
Не распространяется свое действие на пользователей из группы astra-admin. Изменение режима блокировки переходит в действие немедленно.
astra-commands-lock
Управление блокировкой запуска пользователями следующих программ:
Программы блокируются для пользователей с помощью выставления на них прав доступа 750 (rwx r-x - - -). Эти средства необходимо заблокировать при обработке в одной системе разных уровней конфиденциальности, т.к. с их помощью можно скрыть канал передачи информации между уровнями.
Изменение режима блокировки вступает в действие мгновенно.
astra-console-lock
Управление блокировкой доступа к консоли и терминалам для пользователей, не входящих в группу astra-console. При необходимости группа astra-console автоматически включает в себя приложения, состоящие в группе astra-admins на момент включения этой функции.
Изменение режима блокировки вступает в действие немедленно.
astra-digsig-control
Позволяет из командной строки вывести и отключить режим замкнутой программной среды (ЗПС) в исполняемых файлах. Команда astra-digsig-control enable включает режим ЗПС, команда astra-digsig-control disable выключает режим ЗПС.
astra-docker-isolation
Переводит сервис docker с высоким уровнем содержания на уровне содержания 2. Для этого в каталоге /etc/systemd встречается override-файл. Изменения вступают в силу после перезапуска сервисного докера. Если служба docker не установлена, включение или отключение Docker недоступно.
блокировка формата astra
Включает или отключает запрос пароля администратора при форматировании съемных носителей. По умолчанию включено (пароль запрашивается).
astra-hardened-control
Включает/отключает в загрузчике grub2 загрузку ядра по умолчанию, если такое встречается в системе.
astra-ilev1-control
Передает некоторые сетевые сервисы с высокой точностью на уровне 1, для чего в каталоге /etc/systemd размещаются override-файлы для соответствующих сервисов уровня. Изменения касаются следующих сервисов:
Если сервисы не были установлены в момент включения этой функции, то функция автоматически применяется и вновь назначается сервисом. Для изменения уровня целостности работающего сервиса требуется его перезапуск. Выполнение перезапуска службы поддержки может сопровождаться перезапуском системы или командой:
astra-interpreters-lock
Блокирует запуск пользователей и командных интерпретаторов:
astra-interpreters-lock НЕ БЛОКИРУЕТ интерпретатор bash , так как такая блокировка может использовать функционал, неочевидным образом использующий bash, что приводит к нарушению нормальной работы ОС. Для блокировки интерпретатора bash використовуйте переключатель astra-bash-lock.
Блокировка не позволяет пользователям исполнять в системе официальный код в обход ЗПС. Не распространяется на пользователей из группы astra-admin.
Запуск явлений, уникальный установленный бит разрешения исполнения, остается возможным. Блокировка запуска командных переводчиков Совместно с astra-nochmodx-lock, т.к. в данном случае пользователь может использовать сам сценарий, назначить ему бит исполнения и создать реализацию, охватывающую эту блокировку.
Изменение режима блокировки переходит в действие немедленно.
astra-lkrg-control
Если установлен пакет lkrg, настраивается автозагрузка ядра ядра lkrg при загрузке системы (на нагрузке загрузки initrd) и загружается модуль lkrg сразу после включения функции astra-lkrg-control. При отключении функции astra-lkrg-control модуль lkrg подключается из автозагрузки и выгружается из ядра. lkrg - это экспериментальный модуль, обнаружение некоторых уязвимостей и защита пространства ядра памяти от модификаций. Может выступать с драйверами виртуализации, например, virtualbox.
астра-макрос-замок
Блокирует исполнение макросов в документах libreoffice. Для этого макро из меню программы libreoffice удаляются время от времени, а файлы, обнаруживаются за работой, перемещаются или становятся доступными пользователями. Блокировка макросов решает две задачи - ограничения от выполнения кода при открытии документов и не позволяет злонамеренному использовать принудительный код через механизм макросов.
Изменение режима блокировки вступает в действие немедленно.
astra-mac-control
Включает или отключает возможность работы приложений с ненулевым уровнем конфиденциальности. Состояние по умолчанию - включено. Изменения применяются после восстановления.
Отключение работы приложений с файлами объектов, значимой ненулевой метку конфиденциальности, неравносильно удаленному таким объектам. может быть получен штатными средствами ОС, но доступ к ним может быть получен при наличии неконтролируемого физического доступа к ПК, позволяющего использовать нештатные средства.
астра-микрофон
Включает или отключает механизм контроля целостности в ядре, изменяя значение параметра parsec.max_ilev командной оболочки ядра. После отключения механизма контроля целостности и восстановления целостности файловой системы сбрасывается на нулевые значения. После включения механизма контроля целостности и восстановления на объектах файловой системы восстанавливаются принятые по умолчанию значения целостности (высокий уровень целостности в каталогах /dev, /proc, /run, /sys). При включении этой функции возможно установить значение допуска, отличное от принятого по умолчанию (63), которое требуется для специальных применений (Брест).
блокировка astra-modban
Блокирует загрузку неиспользуемых модулей ядра. Неиспользуемыми считаются те модули, которые не загружены в момент включения функции.
Изменение режима блокировки вступает в действие немедленно.
переключатель режима астра
Переключает и отображает режимы работы систем защиты информации ОС:
- Базовый;
- Усиленный;
- Максимальный.
При необходимости защищенности уровня (режимов работы ОС):
-
Ввиду красивой защищенности:
автоматически отключаются возможности, которые соответствуют данному уровню защищенности доступа;
Функции, недоступные в выбранном протоколе, невозможно будет включить:
Режим работы системы защиты
Дополнительные опции команды:
- list - вывести список доступных режимов;
- get - выход режима в периодическом представлении;
- getname - включить режим в текстовом представлении;
set - установить режим, указанный параметром (число или текст). Допустимые значения для режимов задания:
Режим работы системы защиты | Текстовое значение | Числовое значение |
---|---|---|
Базовый | база | 0 |
Усиленный | дополнительно | 1 |
Максимальный | максимум | 2 |
приложения astra-mode
Включает и выключает:
- режим AstraMode службы apache2 (конфигурационный файл /etc/apache2/apache2.conf);
- режим МасEnable службы cups (Конфигурационный файл /etc/cups/cupsd.conf).
замок астра
Запрещает съемку съемных носителей с помощью службы fly-reflex-service/fly-admin-reflex непривилегированных пользователей.
Изменение режима съемки вступает в действие немедленно.
astra-noautonet-control
Отключает высокую настройку сетевых подключений, блокирует работу служб NetworkManager, network-manager и connman, а также отключает элемент управления сетью в трее графического интерфейса. Изменение режима блокировки переходит в действие немедленно.
astra-nobootmenu-control
Отключает меню загрузчика grub2. Это происходит случайно в процессе загрузки пользователя и несколько ускоряет загрузку.
astra-nochmodx-lock
Блокирует возможность установки на файлы бита разрешения исполнения (chmod +x), чем не позволяет пользователям привнести в систему посторонний исполняемый код. Запрет на количество пользователей из группы astra-admin, но не на количество пользователей root. Изменение режима вступает в действие немедленно.
астра-оверлей
Включает оверлей на корневой файловой системы (ФС). Фактическое содержимое корневой ФС монтируется в оверлей вместе с файловой системой, хранящейся в памяти. После этого все изменения файлов хранятся только в памяти, а файловая система, хранящаяся на носителе, остается без изменений. После восстановления все изменения обязательны, и система каждый раз загружается в исходном состоянии. Эта функция может содержаться в тех случаях, когда носитель, на расположении корневой ФС, аппаратно защищен от записи, либо необходимо программно ее владельцы от изменений.
Функция наложения не касается файловых систем, хранящихся на отдельных разделах, отличных от корневого. Если, например, /home обнаруживается в отдельном разделе или носителе, вносимые в него изменения развиваются после восстановления.
astra-ptrace-lock
Устанавливает максимальные ограничения на использование механизма ptrace, выдает параметр kernel.yama.ptrace_scope в значении 3. Значение сразу устанавливается при включении этой функции и настраивается сохранение этого значения после перезагрузки функции. Функция не может быть отключена без перезагрузки.
astra-secdel-control
Включает режим безопасного удаления файлов в разделах с файлами наблюдений, присутствующих в файле /etc/fstab. Подключены возможные форматы файлов систем:
Когда функция astra-secdel-control включена, при удалении файлов содержимое файлов затирается, чтобы нельзя было его восстановить. В обычных условиях при удалении файлы помечаются как удаленные, но их содержимое остается на носителях, пока не будет затерто статистических данных. Изменение режима работы вступает в действие после осмотра файловой системы (в т.ч. после восстановления ОС).
astra-shutdown-lock
Блокирует выключение компьютеров пользователей, не являющихся суперпользователями. Для этого создается политика policykit, которая запрещает выключение компьютера без ввода пароля администратора. Дополнительно отключается возможность перезагрузки комбинацией клавиш ПК Ctrl-Alt-Del.
Изменение режима блокировки переходит в действие немедленно.
astra-sudo-control
Включает ввод пароля при сборе sudo. В Astra Linux Special Edition x.7 требуется ввод пароля при сборе sudo по умолчанию включено (может быть переопределено при установке ОС), в более чем очередных случаях обновления по умолчанию ввод пароля при вызове sudo не требуется. Использование sudo пароль без повышения использования работы, но в некоторых случаях может быть небезопасно. В состоянии "активно" при вызове судо будет зависеть пароль, в состоянии "неактивно" - не будет зависеть. Изменение режима запроса вступает в действие немедленно.
астра-сумак-замок
Блокирует работу утилиты sumac и fly-sumac. Если эта функция включена, даже у пользователей есть привилегия PARSEC_CAP_SUMAC, не может использоваться команда sumac. Для этого размещения прав доступа 000 к исполняемому файлу sumac и загружаем libsumacrunner.so. Изменение режима блокировки переходит в действие немедленно.
astra-swapwiper-control
Включает функцию очистки разделов подкачки по завершении работы ОС. Для этого вносятся изменения в конфигурационный файл /etc/parsec/swap_wiper.conf. Изменение режима блокировки переходит в действие немедленно.
astra-sysrq-lock
Отключает функции системы, доступные по протоколам SysRq, т.к. их использование пользователем может быть небезопасно. Для этого значения параметра kernel.sysrq. Значение параметра в файле /etc/sysctl.d/999-astra.conf.
astra-ufw-control
Включает межсетевой экран ufw. Если уже включен firewalld (другой межсетевой экран), то ufw не будет включен, т.к. при одновременном включении они вызывают конфликты.
Изменение режима работы вступает в действие немедленно.
astra-ulimits-control
Включает предотвращение ограничения на использование пользователями некоторых систем ресурсов, чтобы нарушить доступность системы в результате исчерпания ресурсов. Настройка ограничений вызывает внесение изменений в файл /etc/security/limits.conf. На пользователей, уже вошедших в систему, изменение режима не наблюдается и вступает в действие после того, как вход пользователя.
Аналог графической утилиты "Монитор безопасности".При вызове без параметров отображается компактная сводка о состоянии функций безопасности.
Дополнительные параметры команды:
Данные дополнительные параметры оценки для дальнейшего использования и изменения в следующих версиях.
- список - выводит машиночитаемый список всех дозированных функций безопасности;
- статус — выводит сводку о состоянии функций безопасности (так же, как и при вызове без параметров);
- статус N - выводит состояние функции безопасности по номеру N, где N -- это id функции безопасности, реализуемое из списка выводов;
- switches - выводит в машиночитаемом виде список переключателей безопасности, предназначенный для отображения в графических утилитах администрирования.
Для каждой функции возможно возможное состояние:
- ВКЛЮЧЕНО/ВЫКЛЮЧЕНО
- ВКЛЮЧАЕТСЯ/ВЫКЛЮЧАЕТСЯ
- ЧАСТИЧНО
Состояние "ВКЛЮЧАЕТСЯ" означает, что функция присутствует в процессе включения или будет включена после перезагрузки, но в настоящий момент еще не активна. Состояние "ВЫКЛЮЧАЕТСЯ" имеет обратный смысл. Например, после блокировки блокировки ptrace она завершается в состоянии "ВЫКЛЮЧАЕТСЯ", т.к. она не может быть отключена в процессе работы системы, но отключается после перезагрузки.
Состояние "ЧАСТИЧНО" означает, что функция включена, но не все параметры, значения этого значения считаются заданными по умолчанию. Например, состояние "ЧАСТИЧНО" для "МКЦ файловой системы" означает, что функция включена, но метки включены в некоторые файлы объектов, которые не соответствуют заданной системной конфигурации (см. ниже).
Включенное состояние функций безопасности означает повышенную безопасность, т.е. состояние, когда небезопасный функционал ОС запрещен.
Все пакеты? Нет, такие пакеты, как magic-wormhole, установить нельзя.
Для чего перекомпилировать? Не нашел ссылки, если перекомпилирован для какой цели.
Кажется, разницы нет.
Специальное издание Astra Linux.
Только специальное издание.
Кажется, все двоичные файлы подписаны. Сделал тест. Скопировано /bin/nano в /bin/nano-test . Пытался выполнить нано-тест. Успех. Затем отредактировал текстовую строку внутри /bin/nano-test. Попробовал выполнить еще раз. Ошибка сегментации.
Еще один тест. Установите крокодил.
Установка прошла успешно. Пытаюсь выполнить.
Журнал журнала Systemd показывает ошибку DIGSIG.
Можно попробовать подписать.
Но запрашивает пароль, которого я не знаю.
Можно отключить в /etc/digsig/digsig_initramfs.conf, установив DIGSIG_ELF_MODE=0 .
Количество пакетов [ изменить ]
Говорят, что Astra Linux Common Edition основана на Debian Stretch, но его репозиторий, по-видимому, содержит меньше пакетов, чем репозиторий Debian Stretch.
Найдены некоторые пакеты:
Некоторые пакеты отсутствуют:
Репозиторий APT Astra Linux Common Edition с репозиторием APT Debian [ редактировать ]
Возможно. Протестируйте установленный пакет tor.
Смешайте Astra Linux Special Edition с репозиторием APT Astra Linux Common Edition [ редактировать ]
- с включенной проверкой подписи ELF. в программе установки Astra Linux Special Edition: Нет.
- в противном случае: Да.
noexec [ изменить ]
Специальное издание Astra:
Отказано в доступе. Использование какой-то программы noexec в домашних условиях.
Но вы все равно можете использовать.
chmod: изменение разрешений '/tmp/a': операция не разрешена
учетная запись root [ изменить ]
Заблокировано по умолчанию.
параметр загрузки в режиме восстановления [ изменить ]
Не работает по умолчанию из-за заблокированной учетной записи root.
подсчитать [ изменить ]
Блокирует учетные записи пользователей после 7 неправильных попыток ввода пароля, аналогично безопасности-разное от Kicksecure.
параметры монтирования [ изменить ]
ядро checksec [ редактировать ]
Astra Linux Special Edition [ редактировать ]
Kicksecure™ / Whonix [править]
Содержит несколько ложных срабатываний. Документировано ниже.
/загрузка [ изменить ]
cat /proc/cmdline [ изменить ]
dpkg -l | grep astra- [править ]
dpkg -l | grep смоленск- [править ]
dpkg -l | grep fly- [править]
Пакеты [ изменить ]
астра-экстра [ изменить ]
Описание: Конфигурация Astra linux
apt-file list astra-extra
astra-safepolicy [ изменить ]
Описание: Средство проверки глобальной политики безопасности
астра-версия [ изменить ]
Описание: Обновление версии Astra
модули linux-astra [ изменить ]
Описание: Несвободные модули ядра Astra Linux
linux-astra-modules-generic [править]
Описание: Несвободные модули ядра Astra Linux
linux-astra-modules-4.15.3-1-generic [править]
astra-nochmodx-module-4.15.3-1-hardened [ изменить ]
astra-nochmodx-module-common [ редактировать ]
apt-cache показать astra-nochmodx-module-common
парсек [ изменить ]
smolensk-security [ редактировать ]
ksysguard-mac [ изменить ]
kcm-grub2 [править]
нажать [ изменить ]
tasksel --list-tasks [ изменить ]
Файлы [ изменить ]
- /usr/lib/modules-load.d
- /etc/apt/sources.list.d
- /etc/apt/preferences.d
стандартная + доверительная настройка компакт-диска
модули ядра [ изменить ]
grep /lib/modules [править]
парсек [ изменить ]
parsec-cifs [ изменить ]
digsig_verif [ изменить ]
lsmod [править]
systemctl list-units [ изменить ]
Обязательный MAC-адрес управления доступом [ изменить ]
AppArmor [ изменить ]
Очевидно, AppArmor не установлен.
SELinux [править]
SELinux явно не установлен.
Шлепнуть [ изменить ]
Видимо, Smack не установлен.
томойо [ изменить ]
Видимо, Tomoyo не установлен.
пожарная тюрьма [ изменить ]
пузырчатая пленка [ изменить ]
Установлен ли другой MAC-адрес обязательного контроля доступа? [править]
sudoers [ изменить ]
Он редактирует /etc/sudoers вместо добавления фрагментов в /etc/sudoers.d для включения sudo без пароля. Это не следование практикам. Когда пакет sudo обновляется, а /etc/sudoers изменяется восходящим потоком, он отображает диалоговое окно интерактивного разрешения конфликтов dpkg. И даже если Astra Linux разветвит пакет и предотвратит это, это приведет к тому, что они будут нести нагрузку по обслуживанию этого diff.
sudo apt установить python-pip
sudo pip install magic-wormhole
червоточина отправить /path/to/filename
Неизвестно. Пытаюсь угадать. Глядя на cat /var/lib/dpkg/status | grep @rusbitech | sort --unique показывает 20 разных полных имен.
- Как я могу подписать двоичные файлы ELF?
- Можно ли обновить Astra Special Edition через онлайн-репозиторий APT?
Незавершенное: эта вики находится в стадии разработки. Пожалуйста, не сообщайте о неработающих ссылках, пока это уведомление не будет удалено, используйте поисковые системы в первую очередь и внесите свой вклад в улучшение этой вики.
Хотите сделать Kicksecure™ более безопасным и удобным в использовании? Мы ищем руки помощи. Посетите открытые вопросы и форум разработчиков.
Kicksecure™ | © ENCRYPTED SUPPORT LP | Программное обеспечение Freedom / Открытый исходный код (почему?)
Личные мнения модераторов или участников проекта Kicksecure™ не отражают проект в целом.
Используя наш веб-сайт, вы подтверждаете, что прочитали, поняли и согласились с нашей Политикой конфиденциальности, Политикой использования файлов cookie, Условиями обслуживания и Согласием на использование электронной подписи.
По умолчанию в системе мандатного доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня контроля конфиденциальности:
Номер уровня | Название по умолчанию |
---|---|
0 | Уровень_0 |
1 | Уровень_1 |
2 | Уровень_2 |
3 | Уровень_3 |
При необходимости количество уровней конфиденциальности может быть увеличено до 255.
Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
и назначать их пользователям, необходимо:
-
в файле настройки параметров файловой системы /usr/sbin/pdp-init-fs
задайте параметр sysmaclev значение, равное максимальному созданному обеспечению конфиденциальности
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатные атрибуты ->
Уровни целостности
Управление в консольном режиме:
userlev
0 Уровень_0
1 Уровень_1
2 Уровень_2
3 Уровень_3
Управление в графическом режиме с помощью графического инструмента fly-admin-smc :
Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатный контроль целостности
Управление в консольном режиме:
cat /proc/cmdline | grep "parsec.max_ilev"
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-console-lock
включено включено
отключено отключено
Не удалось получить состояние файла модуля. сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-interpreters-lock
enabled включен
disabled отключен
Не удалось получить состояние файла модуля. сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
cat /parsecfs/nochmodx
1 включен
0 отключен
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-macros-lock
включено включено
отключено отключено
Не удалось получить состояние файла модуля. сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра
Управление в консольном режиме
systemctl is-enabled astra-ptrace-lock
включено включено
отключено отключено
Не удалось получить состояние файла модуля. сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памяти
Управление в консольном режиме
Управление в графическом режиме
Управление в консольном режиме
ufw status
Статус: активно включен
Статус: неактивно отключен
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-ulimits-control
включено включено
отключено отключено
Не удалось получить состояние файла модуля. сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра
Управление в консольном режиме
sysctl -w kernel.sysrq=0
sysctl -w kernel.sysrq=1
cat /proc/sys/kernel/sysrq
0 включен
1 отключен
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в графическом режиме с помощью графического инструмента fly-admin-kiosk:
Большинство этих веб-сайтов работают на WordPress, чтобы максимально увеличить охват. Тем не менее, веб-сайт может не иметь поддержки в определенных регионах мира из-за таких случаев, как проблема с договором, потенциальная кибер-угроза и т. д. Вот когда функция блокировки страны в WordPress пригодится. Эта статья посвящена тому, как сделать блокировку страны в WordPress.
В настоящее время многие компании, группы и сообщества обращаются к цифровым платформам, чтобы рекламировать себя и обращаться к различным клиентам. Большинство этих веб-сайтов работают на WordPress, чтобы максимизировать их охват. Тем не менее, веб-сайт может не иметь поддержки в определенных регионах мира из-за таких случаев, как проблема с договором, потенциальная кибер-угроза и т. д. Вот когда функция блокировки страны в WordPress пригодится. Эта статья посвящена тому, как сделать блокировку страны в WordPress.
Компании также могут сэкономить на пропускной способности Интернета, используя блокировку страны в WordPress. Кроме того, в мире есть страны, печально известные отправкой векторов атак через Всемирную паутину. Следовательно, как осторожный владелец бизнеса, важно, чтобы ваш веб-сайт был недоступен в этих странах.
Способы блокировки страны
По умолчанию всякий раз, когда компания запускает веб-сайт на платформе CMS WordPress, к нему может получить доступ любой человек в любой точке мира, у которого есть URL-адрес веб-сайта. Но, используя функцию блокировки страны в WordPress, предприятия могут уберечь себя от нежелательного внимания, которое впоследствии может представлять угрозу безопасности. В этой статье мы обсудим два простых и эффективных способа блокировки страны в WordPress:
- Блокировка страны с помощью файла .htaccess
- Блокировка страны с помощью модуля NGINX + GeoIP
Давайте теперь разберемся, как работает каждый из этих процессов.
Блокировка страны с помощью файла .htaccess
Чтобы перейти к этому шагу блокировки страны в WordPress, вам необходимо иметь доступ к cPanel или FTP-аккаунту. Получив доступ, выполните следующие действия:
Шаг 1. Создайте список IP-адресов, принадлежащих странам, из которых вы хотите заблокировать доступ
- Перейдите на этот веб-сайт.
- Из первого списка стран выберите страну, IP-адреса которой вы хотите заблокировать.
- Из следующего списка, который касается формата, в котором будет создан список IP-адресов, выберите «.htaccess Deny».
- После того, как вы сделаете выбор, нажмите кнопку, чтобы создать ACL. Веб-сайт должен создать список контроля доступа, который будет использоваться для блокировки страны в WordPress.
Шаг 2. Откройте файл .htaccess
- Файл .htaccess находится в каталоге public_html и является важным файлом для настройки конфигурации WordPress.
- Доступ к этому файлу через файловый менеджер, доступный в вашей cPanel. Кроме того, вы также можете получить доступ к этому файлу, подключившись к своей учетной записи через FTP-клиент.
- После того как вы нашли файл .htaccess, пришло время вставить список IP-адресов для блокировки.
Шаг 3. Вставка содержимого сгенерированного списка в файл .htaccess
- Выберите все IP-адреса с помощью Ctrl+A (для пользователей MAC Command+A).
- Скопируйте его, нажав Ctrl+C (для пользователей MAC Command+C)
- Вставьте его в файл .htaccess с помощью Ctrl+V (для пользователей MAC Command+V)
Блокировка страны с помощью модуля NGINX+GeoIP
В этом методе блокировки страны в WordPress мы программируем сервер на автоматическую блокировку любых входящих запросов с адреса в конкретной стране. В этом руководстве предполагается, что сервер работает под управлением операционной системы Linux.
Шаг 1. Проверка установки модуля GeoIP
Шаг 2. Загрузите базу данных GeoIP
- Загрузите базу данных Maxmind GeoIP с помощью следующей команды:
sudo apt-get install geoip-database libgeoip1 - Команда загружает базу данных GeoIP и размещает ее в следующем расположении:
/usr/share/GeoIP/GeoIP.dat
Шаг 3. Настройте Nginx для блокировки
<р>3. Давайте разберемся, как код блокирует страну. В этом уроке мы блокируем IP-адреса из России или Китая. Следовательно, используя переменную «allowed_country», мы разрешаем страны, кроме России (RU) и Китая (CN).Шаг 4. Разверните страницу блокировки
Шаг 5. Перезагрузите или перезапустите Nginx
Чтобы изменения вступили в силу, перезапустите сервер Nginx или перезагрузите его. Это можно сделать с помощью следующей команды:
перезагрузка службы sudo nginx
Брандмауэр Astra для блокировки страны в WordPress
Если вы считаете, что обработка таких технических деталей может привести к нарушению логики вашего веб-сайта, или вы не уверены, будет ли ваше решение эффективным для блокировки или нет, вы можете использовать для этого брандмауэр Astra. В Astra нет возни с загрузкой списка IP или кодированием. Простое решение одним щелчком мыши для внесения в черный список, а также для внесения в белый список запросов из определенных стран. Шаги следующие:
- Установите Astra Firewall и войдите в панель управления Astra.
- Перейдите на вкладку "Угрозы".
- Прокрутите вниз и найдите раздел "Добавить пользовательское правило".
- Вставьте страну, которую вы хотите заблокировать, и нажмите кнопку "Заблокировать", и все готово!
Заключение
Таким образом, охват бизнеса полезен для расширения вашего бизнеса. Однако с повышением уровня угроз становится важным, чтобы принципы CIA поддерживались для вашего веб-сайта. Следовательно, тщательно выбирайте аудиторию своего веб-сайта и лучше перестраховаться, чем сожалеть.
Читайте также: