Изпечатай

[thc]

niakoi moje li da dade syvet kakvo da napravia za da se predpazia ot nepozvoleni pronikvania?v lokalna mreja sum s 9 pc-ta i edinia user postoianno se opitva da mi probie linux-a(Slackware 9.1) ot logovete vijdam che e tursil dupki v apacheto kato naprimer proslovutite ".." kato se e opitval da mi chete faila s parolite.pak chrez apache-to se e opitval da izpulniava niakakvi CGI scriptove kakvito za shtastie niamam.vijdam che e otvarial niakakvi ftp sesii pri polojenie che ne sum puskal ftp server.imam samba no v neinia config sum mu slojil ip-to na hosts deny no tova e pochti nishto.kak moga da mu blokiram ip-to da niama izobshto dostup do men?opitah sushto v /etc/hosts.allow i hosts.deny no kato chetoh loga na tcpd mi kazva che tam sum imal greshka "lipsvasht ":" separator"-ne znam kakuv e formata na redovete v tezi dva faila.koi ot vsichkite nachini za zashtita da izpolzvam pri podobni ataki?iskam prosto suvet a ne da mi go napravite nagotovo.btw,ot gledna tochka na sigurnostta razumno li e i apacheto i sambata da rabotiat s edin i susht user - nobody?toi si e addnat po default i edva li ako az addna niakoi nov guest user shte go napravia po neprobivaem?!
blagodaria vi predvaritelno za help-a i vi pojelavam da ne vi se nalaga da se zanimavate s problemi kato moite  '>
peace '>

[PAIN1]

за да отрежеш тотално трафика на това "лошо" ип ти трябват точно 2 реда във скрипта на iptables
а за по финно и инилигентно решение малко повече в зависимост какви възможности за трансфер искаш да си оставиш с него.Тъй като каза че искаш съвет а не решение
 от дистрото на slack-a има доста подробен manual на iptables '> успех

[zazzko]

iptables -A INPUT -s losho.ip.za.bokluka.now -j DROP

Това ще спре завинаги всякакъв достъп на "хакера" до теб (ако не се лъжа с дейстивето, синтаксиса е верен).

Отскоро съм Линукс потребител, така че съветите, които мога да ти дам ги приеми по-скоро като насочващи.
Дистрибуцията, която ползвам е Debian, но мисля, че в основни линии няма разлика, по отношение настройките на една защитна стена.
Конфигурирането на Линукс, като защитна стена става с инструмента iptables, който се поддържа от ядра > 2.3.15. Iptables филтлира IP трафика, като разрешава, кои типове дейтаграми да преминат през даден интерфейс. Има различни видове критерий за филтриране:
Тип протокол, номер гнездо, тип дейтаграма, адрес на получателя и адрес на изпращача. Последното е особено ценно за теб, т.е отговора на въпроса ти "Може ли да блокирам дадено ip?" е положителен.
Да кажем, че неговото IP e 196.233.223.126, примерно, а твоето 196.233.233.120. Тогава синтаксиса на iptables за блокирането на адреса е:
iptables -A INPUT -s 196.233.233.126 -d 196.233.233.120 -ј DROP
По правилния подход обаче доколкото съм запознат при изграждането на защитна стена е първо да забраниш всичко и всички, а след това да разрешиш само това, което наистина ти трябва.
Виж:
http://www.hackinglinuxexposed.com/articles/20030703.html
Отностно host.allow и host.deny ще ти спомена първо /etc/inetd.conf.
В този файл са описани стартирани на машината ти мрежови услуги. Активирани са тези без "#" в началото на реда. Съветвам те да прегледаш файла и да спреш тези услуги, които не са ти нужни.(Можеш примерно да спреш ftp демона). Номерата на мрежовите услуги и портовете по стандарт може да разгледаш в /etc/services и /etc/protocols.(Не променяй тези файлове).
Inetd е Интернет демона, който инициира съответна Интернет услуга.(ftp,telnet...). Около него е обвит демона TCP Wrappe, който контролира достъпа да дадена услуга чрез фаловета host.allow и host.deny.
При опит на отдалечена машина да се върже към теб, tcpd първо сканира host.allow и след това host.deny. Ако първият файл е празен, то е важно какво пише във втория. Тук може да напишеш:
ALL:ALL
Това означава, че достъпът до всички услуги се отказва на всички машини. Тази конфигурация е сигурна, но може да ти създаде проблиме, при опит хост машината ти да се свърже към теб самия. Ако искаш да позволиш достъп до машината през localhost, то напиши в host.allow:
ALL:127.0.0.1
Надявам се тези насоки да ти свършат някаква работа. Успех.

[thc]

mersi na vsichki '> poluchih poveche ot kolkoto ochakvah i pak iskam da pitam dali niakoi znae programa koiato da testva sigurnostta na edna linux sistema? i ako znae da kaje ot kude moga da si ia drupna?

[melwin]

nessus -> nessus.org

[zazzko]

http://www.insecure.org/tools.html

На този адрес ще намериш много програми за тестване и повишаване на сигурността.

[n_antonov]

Препоръчвам ти сериозна и професионална система за мрежова защита - Shorewall.

[mrvoland]

хм... аз ако съм на него веднага си сменям IP-то и ти оставаш с пръст в устата '>
сега за да избегнеш нещо подобно си пусни в ядрото ARP daemon support също ще ти трябват ARP tools
примерно за да избегнеш sniff тип man_in_the_middle ( класика в жанра и страшно ефективен метод ) можеш да добавиш там където ти се init iptables няколко реда '>
arp -s twoeto_ip mac_na_twoiata_lan
arp -s negowoto_ip mac_na_negowata_lancard
какво става всъщност -s опцията е static и ако въпросния пич си смени IP-то то няма да съвпадне с MAC адреса и arp daemon-a ще му бие шута още преди да е стигнало до iptables '>
и за това има начин да се заобиколи но... ако седнеш и опишеш всички MAC адресе в мрежата ти ( включително и на hub или switch ) и си поиграеш малко да напишеш скрипт който да отхвърля макове които не са в описаните мисля че този пич няма да има никакви шансове '>
всъщност цялата идея е да прикачиш към всеки MAC съответното IP и всичко различно от описаното да се drop, е разбира се трябва и да го дропиш и през iptables... само не забравяй да го дроп не само по TCP а и по UDP

[thc]

reshih da opitam s iptables i kato nachalo zabranih vsichko vhodiashto s iptables -P INPUT -j DROP.trafika  mi izchezna i sled tova zapochnah da si otvariam tova koeto mi triabva.
purvo:
iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport ssh -j ACCEPT i iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport www -j ACCEPT sled tova vidiah che moga da si vliaza prez SSH no niamam internet?scannah se s nmap - mi kaza che tcp/22 e open a tcp/80 e closed?!?kakvo po tochno triabva da otvoria za da si pusna interneta?ima li znachenie koi portove sa otvoreni na rutera?nego kato go scanirah mi dade che 25,110 i 587 sa filtered,tova ima li niakvo znachenie?

[n_antonov]

Сам си си блокирал нета с това DROP на всичко входящо. Т.е. то е правилно, но не и оставено така. Трябва да разрешиш входящите пакети за връзки със статус ESTABLISHED и RELATED. За тази цел се ползва stateful firewalling. Примерно нещо такова:

Примерен код

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Освен това, трябва да си разрешиш входящите конекции за lo най-малкото, а и въобще за интерфейсите, различни от външния, който блокираш. Примерно, ако външния ти интерфейс е eth0, пишеш така:

Примерен код

iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT

Забележка! Под външен интерфейс имам предвид интерфейса, който ограничаваш, въобще, на който нямаш доверие'> Доверените интерфейси или най-малкото lo (loopback) можеш да освободиш от тези правила чрез последната команда, която ти дадох. Иначе, просто ползвай:

Примерен код

iptables -A INPUT -m state --state NEW -i lo -j ACCEPT

[thc]

niki antonov,thank you  '>
sled kato izpulnih tova:

Цитат

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

neta mi trugna obache ne sum mnogo dovolen zashtoto ne znam kakvo tochno napravih s tazi komanda.po konkretno ne mi e iasno za ESTABLISHED i RELATED,dokolkoto shvashtam tova sa statusi na konekcii no samo tolkova.v manovete pishe li neshto po konkretno i kude da gledam?shte sum blagodaren i ako dadesh ideia kak da si dam dostup do samba sharingite  '>

[n_antonov]

Какво на практика става ли?

Една връзка, отворена отвътре навън, т.е. от програма зад твоя firewall, се нуждае от двупосочен канал. Т.е., не можеш само да изпращаш данни и да не получаваш нищо. Затова оставаш без нет.

Ядрото разпознава пакетите от връзки, които вече са установени (ESTABLISHED) и свързани (RELATED), и ги пуска. Входящите пакети от връзки, които не попадат в това правило и се отнасят до нови връзки (NEW), направени отвън навътре, т.е. неустановени, вече се обработват от подразбиращата се входяща политика, т.е. DROP.

Така че, точно сега защитната ти стена функционира правилно'>

[the_real_maniac]

Цитат (thc @ Дек. 24 2003,15:05)

reshih da opitam s iptables i kato nachalo zabranih vsichko vhodiashto s iptables -P INPUT -j DROP.trafika  mi izchezna i sled tova zapochnah da si otvariam tova koeto mi triabva. purvo: iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport ssh -j ACCEPT i iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport www -j ACCEPT sled tova vidiah che moga da si vliaza prez SSH no niamam internet?scannah se s nmap - mi kaza che tcp/22 e open a tcp/80 e closed?!?kakvo po tochno triabva da otvoria za da si pusna interneta?ima li znachenie koi portove sa otvoreni na rutera?nego kato go scanirah mi dade che 25,110 i 587 sa filtered,tova ima li niakvo znachenie?

Поскоро нещо не си направил както трябва , защото .:

iptables -P INPUT DROP
iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport ssh -j ACCEPT iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport www -j ACCEPT

си отваря точно и само порт 22 -> ssh и порт 80 -> www(http) , просто си виж/погледни /etc/services , така че нещо не си написъл както трябва , а и ти си писъл

iptables -P INPUT -j DROP

-Р подразбира .: iptables -P chain action '> '>

Това е от мен , а темата наистина е полезна , а и това което е написъл г-н АНТОНОВ за нови връзки и такива , които вече са установени е много хубаво , и важно '> Особено , добре си го обяснил ! Много полезно , ще го използвам във Firewall-a си за допълнителна защита , защото дефакто няма основателан причина някой от вънка да прави връзка към теб , освен при активен режим на фтп или някоя игра , ако си сървър и подобни изключения като случей '> За ФТП-то  -> пасивен режим , а за игрите , еми виждаш кой порти ти е играта и си играеш малко с него в защитната стена  '>  '>

Това е , голяма игра си е това firewall-а , докато го направиш , както ти се иска ... особено като наблъскаш повече усуги и става страшничко ....