Om onze server te beschermen tegen brute kracht van wachtwoorden, kunt u de hulpprogramma's sshguard of sshit gebruiken.
Werkprincipes.
sshguard en sshit werken volgens hetzelfde principe. Ze analyseren systeemberichten over onjuiste authenticatie en voeren, als een bepaalde waarde wordt bereikt, het aanvallende IP-adres in de blokkerende firewallregel in. Na een bepaalde tijd wordt het IP-adres uit de regel verwijderd.
Voor de werking is daarom een geconfigureerde firewall vereist.
SSHGuard
sshguard kan ermee werken
- Native firewall van AIX- voor IBM AIX-besturingssystemen
- netfilter/iptables- voor Linux-gebaseerde besturingssystemen
- Pakketfilter (PF)- voor BSD-besturingssystemen (Open, Free, Net, DragonFly -BSD)
- IPFirewall (IPFW)- voor FreeBSD en Mac OS X
- IP-filter (IPFILTER)- voor FreeBSD, NetBSD en Solaris
- tcpd"s hosts_access (/etc/hosts.allow)- draagbaar binnen UNIX
- nul- draagbare niets-doen-backend voor het toepassen van detectie maar niet voor preventie
Ik gebruik PF, dus er staan voorbeelden in PF in deze notitie.
Sshguard installeren.
FreeBSD:
Installeren vanaf poorten
Cd /usr/ports/security/sshguard-pf/&& maak de installatie schoon
Als u om de een of andere reden geen poorten gebruikt, download dan de nieuwste versie van de sshguard-website en bouw deze handmatig
./configure --with-firewall=pf && make && make install
Debian:
apt-get installeer sshguardHet besturingssysteem configureren om sshguard uit te voeren.
Maak een bestand om logboeken op te slaan
# touch /var/log/sshguard
Debian (piepgeluid):
Bewerk de volgende regel in //etc/default/sshguard
#mcedit /etc/default/sshguard #ARGS="-a 40 -p 420 -s 1200" ARGS="-a 5 -p 420 -s 2400 -b 5:/etc/sshguard/blacklist"
en start sshguard opnieuw
service sshguard opnieuw opstarten
FreeBSD:
We moeten twee regels toevoegen aan de PF-configuratie
Tafel
We declareren een tabel waarin sshguard het IP-adres van robots invoert.
Blokkeer snel op $if0 proto tcp van
Eigenlijk zou de blokkeerregel zelf helemaal bovenaan het regelblok van het PF-configuratiebestand moeten worden gemarkeerd. $if0 is de interface waarop verbindingen worden geblokkeerd; om alle interfaces te blokkeren, vervangt u deze door een willekeurige.
Lees het configuratiebestand opnieuw
Auth.info;authpriv.info |exec/usr/local/sbin/sshguard
en herstart syslog
#/etc/rc.d/syslogd opnieuw opstarten
Na deze manipulaties zal sshguard feitelijk aanvallen met standaardparameters blokkeren.
Bij een aanval binnen /var/log/auth.log we zullen zoiets als het volgende zien
Jun1611:01:40 www sshd:Ongeldige gebruikerstest van61.172.251.183 Jun1612:29:48 www sshd:Ongeldige gebruikerstest van85.114.130.168 Jun1612:29:49 www sshd:Ongeldige gebruikerstest van85.114.130.168 Jun1612: 29:4 9 www sshd:Ongeldige gebruikerstest van85.114.130.168Jun1612:29:50 www sshd:Ongeldige gebruikerstest van85.114.130.168Jun1612:29:50 www sshguard:Blocking85.114.130.168:4for>420secs:4 mislukkingen voorbij 2 seconden.
Sshguard-opties configureren
sshguard heeft een aantal parameters die we kunnen overschrijven
-A het aantal mislukte authenticatiepogingen waarna het IP-adres wordt geblokkeerd. Standaard is 4.
-P na hoeveel seconden wordt het IP-adres gedeblokkeerd. De standaardwaarde is 420.
-S hoeveel seconden onthoudt sshguard het ip. De standaardwaarde is 1200. Om het duidelijker te maken: als er elke 30 minuten één aanval vanaf een IP plaatsvindt, wordt deze nooit verbannen met de standaardinstelling.
-w witte ip, netwerken of pad naar het witte adressenbestand. Het bestandsformaat is één regel - één invoer, # definieert opmerkingen.
-B bepaalt na hoeveel IP-blokken er aan de zwarte lijst worden toegevoegd en het pad ernaartoe. De zwarte lijst wordt geladen wanneer sshguard start en wordt niet automatisch gewist.
sshguard heeft geen configuratiebestand; parameters worden ingesteld wanneer sshguard start. In ons geval start sshguard syslog, dus bewerken we syslog.conf zodat sshguard het IP-adres blokkeert na drie mislukte authenticatiepogingen gedurende 30 minuten, en na vijf blokken op de zwarte lijst zet.
Auth.info;authpriv.info |exec/usr/local/sbin/sshguard -a 3-p 1500-b 5:/usr/local/etc/sshguard.blacklist
de eerste keer wordt het 420 seconden geblokkeerd en na 7 minuten verwijderd
de tweede keer op 2*420 y wordt na 14 minuten verwijderd
derde keer op 2*2*420 en verwijderd na 28 minuten, etc...
2^(N-1)*420 Nde keer.
Shit
Sshit is een perl-script, dus het is noodzakelijk dat het systeem over perl beschikt, evenals over 2 modules
- IPC::Deelbaar
- Proc::PID::Bestand
Sshit kan alleen werken met pf en ipfw.
Shit installeren
cd /usr/ports/security/sshit/&& maak de installatie schoonsshit-configuraties.
Sshit heeft een configuratiebestand /usr/local/etc/sshit.conf waarin u de standaardwaarden kunt overschrijven.
FIREWALL_TYPE = "pf"; # Welke firewall gebruiken we MAX_COUNT =3; # Aantal mislukte authenticatiepogingen waarna het IP-adres WITHIN_TIME =60 wordt geblokkeerd; # Binnen hoeveel seconden moet het opgegeven aantal mislukte authenticaties plaatsvinden RESET_IP =300; # Na hoeveel seconden wordt het IP-adres gedeblokkeerd. PFCTL_CMD = "/sbin/pfctl"; PF_TABLE ="badhosts"#tabelnaam waar slechte ips zijn ingevoerd
Het besturingssysteem instellen zodat sshit werkt.
Naar analogie met de instellingen voor sshguard bewerken we het PF-configuratiebestand
Tafel
lees het configuratiebestand opnieuw
#pfctl -f /etc/pf.conf
Syslog.conf bewerken
Auth.info;authpriv.info |exec/usr/local/sbin/sshit
en herstart syslog
SSH is een veilig protocol voor de overdracht van gegevens (opdrachten, bestanden, videosignalen, enz.) tussen computers.
Het is standaard ingeschakeld op VPS en dedicated servers van de meeste hostingproviders, omdat u hiermee eenvoudig en veilig een externe machine kunt beheren. Overigens kunt u goedkoop een VPS-server huren op de Well-Web-service. Omdat SSH op alle VPS is ingeschakeld, is een goede SSH-bescherming noodzakelijk om problemen bij het gebruik van Secure Shell te voorkomen.
Schakel toegang vanaf root uit
Allereerst wordt aanbevolen om de mogelijkheid om op afstand verbinding te maken met de machine onder het superuser-account (root) uit te schakelen. Om dit te doen, moet je het bestand sshd_config vinden, dat zich meestal (maar niet altijd) in de map /etc/ssh/ bevindt, en dit openen.
Daarin moet u het PermitRootLogin-item vinden en de waarde ervan vervangen door "no", dat wil zeggen dat u de volgende vermelding zou moeten krijgen:
VergunningRootLogin nr
Dit verhindert het hacken uiteraard niet, maar maakt het wel iets moeilijker.
Om de kans op hacking te minimaliseren, wordt aanbevolen om autorisatie met behulp van sleutels te gebruiken in plaats van login- en wachtwoordautorisatie. Dit kan op verschillende manieren. Dit is overigens ook een goede SSH-bescherming tegen brute kracht.
De standaardpoort wijzigen
Omdat het hacken van een server via SSH meestal gebeurt via het zoeken naar wachtwoorden (brute force), zou het rationeel zijn om de standaardpoort 22 te wijzigen in een andere poort. Dit is heel gemakkelijk te doen. Allereerst moet je het reeds genoemde sshd_config-bestand openen en daar een regel toevoegen:
Poort poort_nummer
De invoer ziet er bijvoorbeeld als volgt uit:
Poort 3048Dit zal het aantal mensen dat ongeautoriseerde toegang tot de server wil verkrijgen aanzienlijk verminderen. Voordat u het poortnummer wijzigt, moet u ervoor zorgen dat dit andere toepassingen niet hindert. U moet ook een poort selecteren die nog niet in gebruik is, zodat programma's daardoor geen conflicten veroorzaken.
Beperking van IP-toegang
Een andere beschermingsmethode die de kans op ongeautoriseerde verbinding tot bijna nul zal terugbrengen, is het instellen van autorisatiebeperkingen. SSH kan zo worden geconfigureerd dat alleen externe machines met specifieke IP-adressen op de server kunnen inloggen. Om dit te doen, moet u in het sshd_config-bestand op de regel AllowUser @IP_number toevoegen aan de naam van elke gebruiker. De invoer zou er bijvoorbeeld zo uit kunnen zien:
Gebruikers toestaan [e-mailadres beveiligd], [e-mailadres beveiligd]
Voordat u deze methode gebruikt, is het raadzaam ervoor te zorgen dat er geen situaties zijn waarin u zich mogelijk bij de server moet aanmelden vanaf een machine waarvan het IP-adres niet door de configuratie wordt verstrekt.
Veilig wachtwoord
En natuurlijk moet u een wachtwoord gebruiken dat bestand is tegen brute kracht. Lang en met zoveel mogelijk verschillende symbolen, bij voorkeur met krakozyabrs. Dit is een must-have.
OpenSSH Hiermee kunt u op afstand verbinding maken met de server, bestanden manipuleren en het systeem beheren. Vandaag willen we het hebben over de beste methoden die de veiligheid van een op OpenSSH gebaseerd systeem zullen vergroten.
Configuratiebestanden
- /etc/ssh/sshd_config- OpenSSH-serverconfiguratiebestand;
- /etc/ssh/ssh_config- OpenSSH-clientconfiguratiebestand;
- ~/.ssh/- map waarin SSH-instellingen van gebruikers worden opgeslagen;
- ~/.ssh/authorized_keys of ~/.ssh/authorized_keys- een lijst met sleutels (RSA of DSA) die worden gebruikt om verbinding te maken met gebruikersaccounts;
- /etc/nologin- als dit bestand in het systeem bestaat, zal sshd alle gebruikers behalve root verbieden verbinding te maken met het systeem;
- /etc/hosts.allow en /etc/hosts.deny- verbodssysteem (onderdeel van de beveiliging). Werkt vergelijkbaar met ACL;
- Standaard SSH-poort - 22
Niet nodig: schakel het uit
Als uw server geen externe SSH-verbindingen vereist, zorg er dan voor dat u deze uitschakelt. Op systemen als CentOS/RHEL gebeurt dit als volgt:
Chkconfig sshd uit yum erase openssh-server
Gebruik SSH versie 2
De eerste versie van het SSH-protocol kent beveiligingsproblemen die in de tweede versie worden verholpen. Gebruik daarom de tweede versie. Zorg ervoor dat de optie Protocol 2 is opgegeven in het bestand /etc/ssh/sshd_config.
Beperk SSH-toegang
Standaard hebben alle systeemgebruikers de mogelijkheid om via SSH verbinding te maken met het systeem. We raden aan om SSH-toegang om veiligheidsredenen te beperken. Om bijvoorbeeld SSH toe te staan voor root-, merion- en netwerkgebruikers:
AllowUsers root-merion-netwerken
Aan de andere kant kunt u toegang verlenen aan alle gebruikers, behalve de opgegeven gebruikers:
DenyUsers root-merion-netwerken
Tijd van inactiviteit
Het is belangrijk om aan te geven op welk tijdstip de inactieve sessie wordt beëindigd (voltooid). Dit kan met de volgende opties:
ClientAliveInterval 300 ClientAliveCountMax 0
In deze instelling hebben we de inactiviteitstijd gespecificeerd op 300 seconden (5 minuten).
Over .rhosts-bestanden
Feit is dat dit bestand een lijst met hosts en gebruikers bevat. Als dit bestand een combinatie van host en gebruiker bevat, kan deze gebruiker via SSH verbinding maken met het systeem zonder om een wachtwoord te vragen. We raden aan deze “geweldige” functie uit te schakelen:
NegeerRhosts ja
Geen hostgebaseerde authenticatie!
Zogenaamde Hostgebaseerde authenticatie Hiermee kan een gebruiker van een specifieke host verbinding maken met de server. Uitzetten:
HostbasedAuthenticatienr
Directe verbinding via root
VergunningRootLogin nr
Maak een spandoek
Maak voor elke verbinding een banner waarin je aanvallers kunt bedreigen die ongeautoriseerde toegang proberen te plegen. De parameter Banner is verantwoordelijk voor het instellen van de banner.
Poort 22 alleen van binnenuit!
Maak alleen toegang tot systeempoort 22 via een reeks firewallregels. Het is het beste om de toegang alleen binnen het LAN te laten. Bijvoorbeeld, binnen Iptables je kunt toegang geven tot 192.168.11.0/24:
A RH-Firewall-1-INPUT -s 192.168.11.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT
Waar te luisteren
Standaard luistert SSH naar verbindingen op alle beschikbare interfaces. We raden u aan de standaardpoort te wijzigen en het IP-adres op te geven waarop op verbinding moet worden gewacht. We zullen bijvoorbeeld poort 962 en IP-adres 192.168.11.24 specificeren
Poort 962 Luisteradres 192.168.11.24
Cryptografisch sterke wachtwoorden
Gebruik sterke wachtwoorden. Er zijn veel tools op internet die online een cryptosterk wachtwoord kunnen genereren, gratis en zonder sms :)
Verbied lege wachtwoorden
Er zijn gebruikers zonder wachtwoord. Hun toegang tot SSH moet ook worden ontzegd via de optie:
Poort 962 PermitEmptyPasswords-nr
Analyseer logboeken
Stel de gebeurtenisregistratie in op de INFO- of DEBUG-modus - hierdoor krijgt u uitgebreide controle over het systeem:
LogLevel INFO
Was dit artikel nuttig voor u?
Vertel me alsjeblieft waarom?
Het spijt ons dat het artikel niet nuttig voor u was: (Als het niet moeilijk is, geef dan aan waarom? We zullen u zeer dankbaar zijn voor een gedetailleerd antwoord. Bedankt dat u ons helpt beter te worden!
In dit artikel zullen we kijken naar de basismethode om SSH tegen te beschermen massa Bruteforce-aanvallen. In dit geval betekent een massale bruteforce-aanval niet het gericht raden van wachtwoorden specifiek voor uw SSH, maar een uitgebreide registratie van een reeks servers voor daaropvolgende identificatie van login-wachtwoordparen die niet bestand zijn tegen raden.
De belangrijkste kenmerken van een massale SSH-bruteforce-aanval zijn het uitgebreid scannen van IP-bereiken op open poort 22 en het gebruik van veelgebruikte gebruikersnaam en wachtwoord (bijvoorbeeld root:passwd123, admin:server123, enz.).
Om statistieken uit de logbestanden van mislukte SSH-autorisatiepogingen op uw server te bekijken, voert u de opdracht in:
Cat /var/log/secure* | grep "Mislukt wachtwoord" | grep sshd | awk "(print $1,$2)" | sorteer -k 1,1M -k 2n | uniq-c
Deze schermafbeelding biedt statistieken over het aantal mislukte autorisaties per dag. Als u soortgelijke gegevens steelt, moet u stappen ondernemen om uw SSH te beschermen tegen enorme brute kracht.
1. Als jij niet gebruiken voor autorisatie, veelgebruikte gebruikersnamen zoals root, admin, administrator, user, etc. en gebruik een complex wachtwoord voor autorisatie, dan kunt u meteen doorgaan naar het tweede punt. Om het wachtwoord te wijzigen in een complexer wachtwoord, voert u de opdracht in:
Wachtwoord #uw_login#
Waar #uw login#- Je gebruikersnaam.
Bij het invoeren van een nieuw wachtwoord wordt het wachtwoord niet weergegeven, de cursor blijft op één plaats staan.
Laten we via SSH inloggen op de server, een nieuwe gebruiker aanmaken en hem een wachtwoord geven, hiervoor voeren we de opdrachten in:
Adduser #nieuwegebruiker# passwd #nieuwegebruiker#
Waar #nieuwe gebruiker#— Je nieuwe gebruikersnaam, gebruik geen veelgebruikte gebruikersnaam als gebruikersnaam, een goede optie jouw_naambeheerder(bijvoorbeeld foxadmin, useralex, rootidler).
2. Log daarna in via SSH met een nieuwe gebruikersnaam en wachtwoord. En open de SSH-daemonconfiguratie (sshd_config) met de opdracht:
Vi /etc/ssh/sshd_config
Hierna zou je zoiets als dit moeten zien:
Lijnen beginnend met # zijn uitgecommentarieerd.
Naar bescherm SSH tegen enorme brute kracht, verwijder de opmerkingen en wijzig of voeg de volgende parameters toe bestand:
A) haven- de haven waarop SSHD accepteert en onderhoudt verbindingen. Verwijder commentaar (verwijder vóór het begin van de regel #
) en wijzig de standaardwaarde 22
, naar elke andere van 1024 tot 65536, behalve gereserveerde poorten - een lijst met gereserveerde poorten, bijvoorbeeld:
Haven 2022
Verwijderen # en wijzig de waarde poort 22, druk eerst op uw toetsenbord i, druk na het bewerken van de gewenste regel op de toets ESC
B) InloggenGraceTime— wachttijd voor gebruikersregistratie in het systeem. Als de gebruiker er niet in slaagt om binnen de door deze richtlijn toegewezen tijd in te loggen, wordt de sessie beëindigd. Laten we deze waarde verlagen:
InloggenGraceTime 1m
C) ToestemmingRootLogin- gebruiker toestaan wortel inloggen via SSH-protocol. Laten we veranderen naar Nee.
VergunningRootLogin nr
D) Gebruikers toestaan— gebruikersnamen die zijn toegestaan voor inloggen via het SSH-protocol, gescheiden door een spatie. Hier geven we in plaats van #uw_login# de nieuw aangemaakte gebruikersnaam aan.
Gebruikers toestaan #uw_login#
e) MaxAuthTries— aantal inlogpogingen per sessie. Wanneer het maximaal toegestane aantal pogingen is bereikt, wordt de sessie beëindigd.
MaxAuthTries 2
Als resultaat krijgen we:
Poort 2022 LoginGraceTime 1m PermitRootLogin nee AllowUsers #your_login# MaxAuthTries 2
In dit artikel voltooien we de installatie SSH ter bescherming tegen massa brute kracht. Na bewerking , druk op op het toetsenbord :
, er verschijnt een regel hieronder en voer deze vervolgens in w en druk op de toets Binnenkomen. In dit geval worden alle aangebrachte wijzigingen opgeslagen.
Als u iets verkeerd heeft gedaan (bijvoorbeeld per ongeluk iets verwijderd), afsluiten zonder op te slaan gebruiken in plaats van een sneltoets w, sleutels Q!
Nadat u de SSH-installatie hebt voltooid, start u de daemon opnieuw op met het commando:
Service sshd opnieuw opstarten
Gebruik nu de nieuwe poort als u verbinding maakt via SSH 2022 (of degene die u hebt opgegeven in de instellingen). standaardpoort 22.
In het volgende artikel over het instellen van SSH wil ik u vertellen dat we wachtwoordauthenticatie zullen verbieden en alleen autorisatie zullen toestaan met behulp van een privé SSH-sleutel, waardoor we onszelf zoveel mogelijk beschermen tegen het raden van wachtwoorden.
In contact met
In deze korte notitie heb ik manieren samengesteld om de beveiliging van een ssh-server te vergroten. De meest basale en eenvoudig uit te voeren technieken worden beschreven, en de complexere technieken zijn alleen bedoeld voor geïnteresseerde lezers.
Basistechnieken
Alle acties worden uitgevoerd in het sshd daemon-configuratiebestand - /etc/ssh/sshd_config. Hieronder zal ik een deel van mijn configuratiebestand voorzien van commentaar.
### Netwerk ### # We gebruiken een niet-standaard poort (>1024) poort 5679 # We gebruiken alleen IPv4-verbindingen # inet = IPv4, inet6 = IPv6, any = beide AddressFamily inet # Je kunt alleen verbindingen accepteren vanaf een bepaald IP-adres adressen #ListenAddress 0.0.0.0 # We gebruiken de tweede versie van het protocol, omdat de eerste is onderhevig aan # bekende Protocol 2-kwetsbaarheden # Schakel grafische omleiding (X-server) uit totdat # je deze expliciet nodig hebt X11Forwarding nee # Schakel TCPKeepAlive uit en gebruik in plaats daarvan ClientAliveInterval # om aanvallen zoals TCP Spoofing te voorkomen TCPKeepAlive nee # Kick de gebruiker na 10 minuten ( 600 sec) inactiviteit ClientAliveInterval 600 ClientAliveCountMax 3 ### Sleutelconfiguratiebestanden ### # HostKeys voor protocolversie 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key # Gebruik een niet-bevoorrecht proces om binnenkomend van de client # te verwerken traffic # sandbox - openSSH >= 5.9 ("ja" - voor lagere versies) UsePrivilegeSeparation sandbox # Als u deze waarden wijzigt, moet de oude sleutel # /etc/ssh/ssh_host_rsa_key(,.pub) worden verwijderd en een nieuwe worden gemaakt # door sshd opnieuw te starten. # # Sleutellevensduur, d.w.z. Na welke tijd wordt er een nieuwe sleutel # gegenereerd als de vorige is gebruikt. KeyRegenerationInterval 1h # sleutelsterkte ServerKeyBits 2048 # Autorisatie toestaan met behulp van een openbare sleutel PubkeyAuthentication ja # Opslaglocatie van vertrouwde sleutels in de gebruikersmap AuthorizedKeysFile .ssh/authorized_keys ### Logging ### # Prefix voor syslog SyslogFacility AUTH # berichtdetailniveau voor sshd zichzelf LogLevel INFO ### Authenticatie ### # lijst met toegestane gebruikers AllowUsers ivan # beperk de tijd voor het invoeren van het wachtwoord voor de ssh-sleutel LoginGraceTime 30s # verbied inloggen op afstand onder het root-account PermitRootLogin nee # Schakel expliciete controle van de rechten van bestanden in en mappen met ssh-sleutels StrictModes ja # Hoe vaak moet u om een wachtwoord vragen als u het verkeerd invoert MaxAuthTries 3 # Verbied inloggen met een leeg wachtwoord PermitEmptyPasswords nee # Verbied inloggen met een wachtwoord in principe # (Gebruik in plaats daarvan een publieke/private sleutel) WachtwoordAuthenticatie nee # Schakel het gebruik van "challenge-response"-autorisatie uit, # omdat . het is nutteloos bij het gebruik van ChallengeResponseAuthentication-sleutels nee # Omdat we geen wachtwoord gebruiken, hebben we geen (PAM, login(1)) nodig UsePAM nee UseLogin nee # Sta de client toe alleen een bepaalde set omgevingsvariabelen door te geven # RH BZ#CVE-2014-2532 # ShellShock-exploit AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL
Dit zijn de parameters die zijn geconfigureerd in het sshd-configuratiebestand. Nadat u de instellingen hebt gewijzigd, moet u de sshd-service opnieuw starten.
Opmerkingen
- Bij gebruik van sleutelauthenticatie is een sleutel vereist eerder op de clientcomputer genereren en de openbare sleutel naar de server kopiëren. Voorbeeld:
- Het bestand /var/log/auth.log bevat berichten van sshd. Als dit bestand ontbreekt, moet u uw logsysteem configureren. voorbeeld voor syslog en syslon-ng. Ik gebruik syslog-ng en moest de volgende regels toevoegen aan het bestand /etc/syslog-ng/syslog-ng.conf:
en start de syslog-ng-service opnieuw.
- Als u een niet-standaard poort gebruikt, moet u mogelijk uw firewall configureren (iptables, firewalld, enz.).
Voorbeeld instellingen voor iptables:
Als dat niet genoeg is
Dit zijn slechts de basisinstellingen. Bovendien kunt u configureren
- firewall (iptables)