Forum » Omrežja in internet » Osnovna varnost
Osnovna varnost
Ursus ::
Kaj naredite za osnovno varnost?
Bitdefender, spyware (spybot), win update-so sploh ti updateji uporabni?
lp
Bitdefender, spyware (spybot), win update-so sploh ti updateji uporabni?
lp
Gwanaroth ::
Jst si postavim eno debian skatlo pred celotno domace omrezje, z iptables firewallom. Poleg tega se poducim sestro (druga intenzivna uporabnica domacega lana), kaj lahko klika in cesa ne.
In glej ga, v dobrih 4 letih takega nacina nisva fasala se nobenga virusa/spywarea. Seveda sva oba brez antivirusa in antispywarea.
In glej ga, v dobrih 4 letih takega nacina nisva fasala se nobenga virusa/spywarea. Seveda sva oba brez antivirusa in antispywarea.
Lights often keep secret hypnosis..
ales85 ::
Jaz ne uporabljam skorajda nobene zaščite. Na usmerjevalniku je vklopljen osnovni požarni zid, na računalniku pa vsake par mesecev poženem le Ad-aware od Lavasoft in to je to. Računalnik deluje brezhibno.
LP
LP
HellRaiseR ::
Bitdefender, spyware (spybot), win update-so sploh ti updateji uporabni?
Da ti updejti so zelo uporabni. Vsaj tako imenovani security updati. Redno updatanje sistema je prvi korak k varnosti. Poišči si tudi dober firewall in antivirusni program, ter program za odstranjevanje spywara.
Kaj naredite za osnovno varnost?
Hm, sam imam linux router(linux teče tudi na mojem in sestrinem računalniku) z firewallom in ids-jem. Sisteme redno nadgrajujem in pregledujem za rootkite(chkrootkit, rkhunter).
Zgodovina sprememb…
- spremenil: HellRaiseR ()
Ursus ::
Jaz sem pa dobil informacije da so ti požarni zidovi na routerjih neuporabni??
iptable firewall-?
rootkiti-je kaj takega za win?
lp
iptable firewall-?
rootkiti-je kaj takega za win?
lp
iNN ::
LoL, kdo ti je pa to reku? Vsekakor so zelo uporabni ce so pravilno nastavljeni.
iptables firewall = skripta v bashu za linux, v kateri so napisana pravila za ravnanje z paketki.
rootkiti obstajajo za tako za linux kot za win.
iptables firewall = skripta v bashu za linux, v kateri so napisana pravila za ravnanje z paketki.
rootkiti obstajajo za tako za linux kot za win.
==
Zgodovina sprememb…
- spremenilo: iNN ()
SasoS ::
Iskanje rootkitov na linuxu je brezvezno početje, škoda časa. Če ga imaš je škatla itak p0wned in pomaga samo format
HellRaiseR ::
To je čist res, samo če ne veš, da je rootkit gor najbrž tud ne boš šel kište formatirat in jo bodo zlorabljali za raznorazne namene.
Najbrž je on mislu požarne zidove, ki so vgrajeni v routerjih, ki se jih kupi v trgovini. Kako je z varnostjo le-teh nebi vedu.
LoL, kdo ti je pa to reku? Vsekakor so zelo uporabni ce so pravilno nastavljeni.
Najbrž je on mislu požarne zidove, ki so vgrajeni v routerjih, ki se jih kupi v trgovini. Kako je z varnostjo le-teh nebi vedu.
Zgodovina sprememb…
- spremenil: HellRaiseR ()
kekz ::
"Iskanje rootkitov na linuxu je brezvezno početje, škoda časa. Če ga imaš je škatla itak p0wned in pomaga samo format"
Format na linux kišti???
To je čisto nepotrebno. Na linuxu praktično za vsak fajl vem, kje mora biti in čemu je tam. Nemogoče je skriti karkoli. Ni šans, da se kaj izmuzne.
Format na linux kišti???
To je čisto nepotrebno. Na linuxu praktično za vsak fajl vem, kje mora biti in čemu je tam. Nemogoče je skriti karkoli. Ni šans, da se kaj izmuzne.
HellRaiseR ::
Ah seveda, saj ni treba, da se kaj izmuzne, saj ti lahko podtaknejo nov fajl z backdoorom itd... Seveda se da take stvari nadzorovati z raznimi programi kot so chkrootkit, rkhunter in pa tripwireom ki ti preveri integriteto datotek(seveda je treba takoj ob instalaciji nardit bazo, ki potem primerja z trenutnim stanjem). Da pa boš na uč vidu, da je kišta shekana ni šans, vsaj če imaš opravka s profijem.
iNN ::
Tocno tako kot je napisal HellRaiseR. Dobri rootkiti ponavadi ze vsebujejo modificirane verzije programov za pregled procesov itd. Tako da npr. ce vpises ps ti vrze ven obicajne procese medtem ko zakrije tiste "obcutljive".
==
kekz ::
Zakaj bi pisal ps? Itak vem, da v takih okoliščinah ni čisto zaupanja vreden.
Pogledaš na /proc in primerjaš s ps in takoj vidiš, če je kaj skrito. Da bi shekal /proc, je treba shekati kernel. To je pri delujoči kišti izvedljivo zgolj teoretično. Poleg tega je dober kernel povrniti najbolj simpl zadeva.
Če pridem na mašino, za katero sumim, da je shekana, naredim najprej:
ps -e h | wc
in
ls -d /proc/[0-9]* | wc
Primerjaš številke, ki se morajo ujemati, kar pomeni, da komandi pokažeta enako število procesov
Pogledaš na /proc in primerjaš s ps in takoj vidiš, če je kaj skrito. Da bi shekal /proc, je treba shekati kernel. To je pri delujoči kišti izvedljivo zgolj teoretično. Poleg tega je dober kernel povrniti najbolj simpl zadeva.
Če pridem na mašino, za katero sumim, da je shekana, naredim najprej:
ps -e h | wc
in
ls -d /proc/[0-9]* | wc
Primerjaš številke, ki se morajo ujemati, kar pomeni, da komandi pokažeta enako število procesov
kekz ::
Rootkit sem že videl in doživel, pa tega ni tako enostavno skriti.
Namreč, je kar težavno narediti stvari povsem binarno kompatibilne, da se ujemajo vse knjižnice ipd.
Na požarne zidove jaz ne nameščam development okolja, tako da direktno tam ni mogoče prevajati zadev. Tako se je zgodilo, da so vdrli s poizkušanjem gesel na ssh (kolega je nastavil preveč enostavno geslo). Gor so namestili shekane binarne verzije stvari namenjene za RedHat xx. Moja kišta seveda ni bila RedHat in se je hitro opazilo. Če si naredil rm [file], je reklo segmentation fault.
Namreč, je kar težavno narediti stvari povsem binarno kompatibilne, da se ujemajo vse knjižnice ipd.
Na požarne zidove jaz ne nameščam development okolja, tako da direktno tam ni mogoče prevajati zadev. Tako se je zgodilo, da so vdrli s poizkušanjem gesel na ssh (kolega je nastavil preveč enostavno geslo). Gor so namestili shekane binarne verzije stvari namenjene za RedHat xx. Moja kišta seveda ni bila RedHat in se je hitro opazilo. Če si naredil rm [file], je reklo segmentation fault.
HellRaiseR ::
Ja, ps je samo eden od primerov, kaj pa recimo da skrijejo nek hardcodan account v ssh, saj vem da se u linuxu da vse na roke prevert. Ampak a ni lažje pognat neko orodje, ki to naredi namesto tebe, namesto da porabiš par ur da preverjaš številke itd... Kar pa se prevajalnikov tiče je res bolje da jih nimaš nameščenih, toda še vedno lahko program za tvoj sistem prevede na drugem računalniku. V glavnem, ne trdim, da se rootkitov ne da odkrit, toda če je kišta enkrat shekana je zelo priporočljivo formatirat, saj nikoli ne moreš bit prepričan, da si okril vse backdoore, ki so nameščeni.
#000000 ::
@kekz
Za foro sem probal ta ukaz (za kerga nimam pojma kaj pomeni)
in dobil tole
[root@******~]# ps -e h | wc
44 350 2815
[root@******~]# ls -d /proc/[0-9]* | wc
44 44 456
A bo to ok ?? al moram format narest ?
gre za linux router/firewall
Za foro sem probal ta ukaz (za kerga nimam pojma kaj pomeni)
in dobil tole
[root@******~]# ps -e h | wc
44 350 2815
[root@******~]# ls -d /proc/[0-9]* | wc
44 44 456
A bo to ok ?? al moram format narest ?
gre za linux router/firewall
kekz ::
No, pri ukazu bi lahko na koncu dodal še -l, torej wc -l, da pokaže samo število vrstic.
Važno je namreč le število vrstic, kar v tvojem primeru pomeni, da moraš gledati samo prvo številko. Na sistemu imaš 44 procesov (v obeh primerih, kar je vredu).
Na sistemu, kjer trenutno delam, mi pokaže 894.
Važno je namreč le število vrstic, kar v tvojem primeru pomeni, da moraš gledati samo prvo številko. Na sistemu imaš 44 procesov (v obeh primerih, kar je vredu).
Na sistemu, kjer trenutno delam, mi pokaže 894.
Malkec ::
Linux masterpiece 2.6.14.6-grsec #1 PREEMPT Wed May 17 11:27:07 EDT 2006 i686 GNU/Linux
To je to. Pa vsi porti zaprti. Bi kdo keks?
To je to. Pa vsi porti zaprti. Bi kdo keks?
/* Xaser 3 * 939 dual sata 2 * Opti165 (ccb1e0608mpmw) @2933 MHZ*/
/*TT 120 * X800 XL *1GB Transcend pc 3200 * MAxtor 160 GB SATA II /
/*TT 120 * X800 XL *1GB Transcend pc 3200 * MAxtor 160 GB SATA II /
kekz ::
Jaz imam odprtih kar nekaj portov, ker rabim dostop do veliko storitev.
Imam pa narejeno tako, da moram na večino vrat "potrkati", potem se mi odprejo in za sabo jih seveda spet skrbno zaprem.
Trkanje odpiranje in zapiranje je mogoče narediti povsem avtomatično z iptables.
Imam pa narejeno tako, da moram na večino vrat "potrkati", potem se mi odprejo in za sabo jih seveda spet skrbno zaprem.
Trkanje odpiranje in zapiranje je mogoče narediti povsem avtomatično z iptables.
Zgodovina sprememb…
- spremenilo: kekz ()
iNN ::
Bi malo se uporabil tole temo, imam namrec tezavo z firewallom na domacem strezniku. Napisal sem iptables firewall skripto, pri kateri je default policy vse na DROP, nato imam odprta porta:
21 za internal network
22 samo za mojo masino
Vse je narejeno povsem isto, problem je da preko ssh bp konektam na masino, medtem ko dobim v fillezilli takle output v status baru:
Status: Connecting to xx.xx.xx.xx ...
Status: Connected with xx.xx.xx.xx. Waiting for welcome message...
Response: 220 ProFTPD 1.2.10 Server (Debian) [xx.xx.xx.xx]
Command: USER xzyui
Response: 331 Password required for xzyui.
Command: PASS *******************
Response: 230 User xzyui logged in.
Command: SYST
Response: 215 UNIX Type: L8
Command: FEAT
Response: 211-Features:
Response: 211-MDTM
Response: 211-REST STREAM
Response: 211-SIZE
Response: 211 End
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE A
Response: 200 Type set to A
Command: PASV
Response: 227 Entering Passive Mode (xx,xx,xx,xx,xx,xx).
Command: LIST
Error: Transfer channel can't be opened. Reason: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Error: Could not retrieve directory listing
Se c/p iz fw skripte za INPUT chain
echo -e " - Allowing INTERNAL access to the FTP server"
$IPTABLES -A INPUT -i $INTIF -p tcp -s $INTNET -d $INTIP --dport 21 -j ACCEPT
echo -e " - Allowing ADMIN access to the SSH server"
$IPTABLES -A INPUT -i $INTIF -p tcp -s $ADMIN -d $INTIP --dport 22 -j ACCEPT
Zanima me se nekaj, kot vidite imam narejeno spremenljivko $ADMIN, inicializirana je z IPjem moje masine. Zanima me ali je to brezvezno, in kako se da to boljse narediti?
21 za internal network
22 samo za mojo masino
Vse je narejeno povsem isto, problem je da preko ssh bp konektam na masino, medtem ko dobim v fillezilli takle output v status baru:
Status: Connecting to xx.xx.xx.xx ...
Status: Connected with xx.xx.xx.xx. Waiting for welcome message...
Response: 220 ProFTPD 1.2.10 Server (Debian) [xx.xx.xx.xx]
Command: USER xzyui
Response: 331 Password required for xzyui.
Command: PASS *******************
Response: 230 User xzyui logged in.
Command: SYST
Response: 215 UNIX Type: L8
Command: FEAT
Response: 211-Features:
Response: 211-MDTM
Response: 211-REST STREAM
Response: 211-SIZE
Response: 211 End
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE A
Response: 200 Type set to A
Command: PASV
Response: 227 Entering Passive Mode (xx,xx,xx,xx,xx,xx).
Command: LIST
Error: Transfer channel can't be opened. Reason: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Error: Could not retrieve directory listing
Se c/p iz fw skripte za INPUT chain
echo -e " - Allowing INTERNAL access to the FTP server"
$IPTABLES -A INPUT -i $INTIF -p tcp -s $INTNET -d $INTIP --dport 21 -j ACCEPT
echo -e " - Allowing ADMIN access to the SSH server"
$IPTABLES -A INPUT -i $INTIF -p tcp -s $ADMIN -d $INTIP --dport 22 -j ACCEPT
Zanima me se nekaj, kot vidite imam narejeno spremenljivko $ADMIN, inicializirana je z IPjem moje masine. Zanima me ali je to brezvezno, in kako se da to boljse narediti?
==
Zgodovina sprememb…
- spremenilo: iNN ()
iNN ::
Problem resen, z odprtjem porta 20 =)
/edit : sm bil mal prehiter, firewall ni bil zloadan sploh :o .. ne dela kljub temu
/edit : sm bil mal prehiter, firewall ni bil zloadan sploh :o .. ne dela kljub temu
==
Zgodovina sprememb…
- spremenilo: iNN ()
DSI ::
če te prav razumem ti še zdej ne dela. Problem je v Pasivnem FTP načinu ki uporablja naključne porte nad 1024, zato probaj v /etc/proftpd.conf dodati tole:
PassivePorts 60000 60010
in potem odpri porte od 60000 do 60010. Ter restartaj proftpd. Potem bi moglo delat. Aja vneseš lahko poljuben port range(ni ti nujno uporabiti podanega)
PassivePorts 60000 60010
in potem odpri porte od 60000 do 60010. Ter restartaj proftpd. Potem bi moglo delat. Aja vneseš lahko poljuben port range(ni ti nujno uporabiti podanega)
SasoS ::
pri iptables to ni več potrebno.
Naloži ip_conntrack_ftp modul in sputsti notr vse related povezave.
$IPTABLES -A INPUT -i $INTIF-s $INTNET -d $INTIP -m state --state RELATED -j ACCEPT
Naloži ip_conntrack_ftp modul in sputsti notr vse related povezave.
$IPTABLES -A INPUT -i $INTIF-s $INTNET -d $INTIP -m state --state RELATED -j ACCEPT
iNN ::
Malo poglej sticky topic v oddelku programska oprema, in pa tukaj mislim da je nekaj uporabnih clankov.
==
Zgodovina sprememb…
- spremenilo: iNN ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | obtožba DoS napada!? (strani: 1 2 )Oddelek: Informacijska varnost | 8838 (5629) | treker |
» | iptables problemOddelek: Operacijski sistemi | 2239 (2005) | poweroff |
» | ProtFtp Passive mode in iptablesOddelek: Programska oprema | 2247 (2069) | SasoS |
» | iptables skriptaOddelek: Omrežja in internet | 2117 (1897) | karafeka |
» | iptables + forwardOddelek: Operacijski sistemi | 2326 (1901) | tx-z |