Титла: security
Публикувано от: mozly в Jul 30, 2005, 18:31
Здравейте отново
днес искам помощ за втори път ,но какво да се праи нали затова е този форум.
абе днес некъв ми е влизал в системата(Линукс Слак 9)
оставил ми e бележка в една от директориите.
как да разбера кога и как е влязал т.е. кои логове трябва да проверя и какво ще ме посъветвате за в бъдеще да не се получава такова нещо.
Системата е Линукс Слак 9
пуснати са:
Samba за 8 PC-та като в smb.conf hosts.deny = all ; hosts.allow = ip-pc1 ip-pc2 ...... ....... ..... ip-pc8
има стартиран и sshd(ще го изклиуч вече)
как да си направя firewall така ,че системата да работи само за тези 8 пц-та има вариант с iptables ,но не ми е ясно тряя се занимавам ,затова ако може малко помощ.
П.С. команда last не показвада е влизал някой друг освен мен ,а и знам ,че има вариант като влезе някой да си заличи следите от last
днес искам помощ за втори път ,но какво да се праи нали затова е този форум.
абе днес некъв ми е влизал в системата(Линукс Слак 9)
оставил ми e бележка в една от директориите.
как да разбера кога и как е влязал т.е. кои логове трябва да проверя и какво ще ме посъветвате за в бъдеще да не се получава такова нещо.
Системата е Линукс Слак 9
пуснати са:
Samba за 8 PC-та като в smb.conf hosts.deny = all ; hosts.allow = ip-pc1 ip-pc2 ...... ....... ..... ip-pc8
има стартиран и sshd(ще го изклиуч вече)
как да си направя firewall така ,че системата да работи само за тези 8 пц-та има вариант с iptables ,но не ми е ясно тряя се занимавам ,затова ако може малко помощ.
П.С. команда last не показвада е влизал някой друг освен мен ,а и знам ,че има вариант като влезе някой да си заличи следите от last
Титла: security
Публикувано от: voyager в Jul 30, 2005, 21:52
Здравей, първо.. обнови до current. Слак-current се оказва най-добрия приятел на човека (въпреки че някой индивиди твърдят че било кучето). 9 е много стара версия. Второ... какви services имаш на машината? сигурно ли е, че пробива е през sshd? Ако някои ти е root-нал машината... най-добре преинсталирай, сложи си 10.1 и update do current. Има доста български мирори на слак (mirrors.unixsol.org, и имаше и някакъв друг...). За iptables... не е нужно да четеш Russty's (un)reliable guide. 
въпреки че е препоръчително. Прост ruleset като този:
ipt -P INPUT DROP
ipt -P FORWARD DROP
ipt -P OUTUP DROP
ipt -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
ipt -A INPUT -p udp -s $dns_server --sport 53 -j ACCEPT
ipt -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ipt -A OUTPUT -p udp -d $dns_server --dport 53 -j ACCEPT
прави... елементарен firewall (доста ефективен). Ако искаш нещо повече... не е трудно да си го добавиш. Ако и шерваш нета на тези няколко машини... поразрови се из сайта, доста има писано по въпроса (още 1-2 реда максимум ти трябват). Може дори да намериш по-добър вариант на firewall. има и из нета неедин и два готови скрипта... . Успех
въпреки че е препоръчително. Прост ruleset като този:ipt -P INPUT DROP
ipt -P FORWARD DROP
ipt -P OUTUP DROP
ipt -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
ipt -A INPUT -p udp -s $dns_server --sport 53 -j ACCEPT
ipt -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ipt -A OUTPUT -p udp -d $dns_server --dport 53 -j ACCEPT
прави... елементарен firewall (доста ефективен). Ако искаш нещо повече... не е трудно да си го добавиш. Ако и шерваш нета на тези няколко машини...
поразрови се из сайта, доста има писано по въпроса (още 1-2 реда максимум ти трябват). Може дори да намериш по-добър вариант на firewall. има и из нета неедин и два готови скрипта... . УспехТитла: security
Публикувано от: draco в Jul 30, 2005, 23:09
мдаа. http://www.linuxsecurity.com/content/view/105367/111/
Update на на машината.
Update на на машината.
Титла: security
Публикувано от: mozly в Jul 31, 2005, 00:16
Здрасти отново ,
мерси много за помощта ,наистина ми е от полза 10х пак. Ще се разровя о ще видя какво мога да направя по въпроса.
Само още нещо. Мже ли да ЪПдейтна слака си до current или трябва инсталл на ново всичко.
П.С. Services-ите са съвсем малко т.е. само нах-необходимото за такава машина.
10х
мерси много за помощта ,наистина ми е от полза 10х пак. Ще се разровя о ще видя какво мога да направя по въпроса.
Само още нещо. Мже ли да ЪПдейтна слака си до current или трябва инсталл на ново всичко.
П.С. Services-ите са съвсем малко т.е. само нах-необходимото за такава машина.
10х
Титла: security
Публикувано от: draco в Jul 31, 2005, 00:43
Ами като за начало направи udate на ssh, samba, и други услуги подлежащи на "експлоатиране" провери за rootkits погледни тука:
http://www.linux-bg.org/cgi-bin....11f3277
(и двете теми става въпрос за slackware 9) и си реши сам какво да правиш. Проблема е, че яе незнаеш какво е ставало на машината и може би за това по добре е да направиш преинсталиране.
http://www.linux-bg.org/cgi-bin....11f3277
(и двете теми става въпрос за slackware 9) и си реши сам какво да правиш. Проблема е, че яе незнаеш какво е ставало на машината и може би за това по добре е да направиш преинсталиране.
Титла: security
Публикувано от: philip в Jul 31, 2005, 00:51
| Цитат (mozly @ Юли 31 2005,00:16) |
| Само още нещо. Мже ли да ЪПдейтна слака си до current или трябва инсталл на ново всичко. |
След прясна инсталация на слака следи за vulnerable пакети на http://www.slackware.org/security/. На моя сървър (Слак 8.1) не ползвам openssh (ебаси дървото) а ssh от www.ssh.com - горещо го препоръчвам. Също така може да си турнеш един xinetd вместо inetd. НЕ ъпдейтвай до current.