» »

Osnovna varnost

Osnovna varnost

Ursus ::

Kaj naredite za osnovno varnost?

Bitdefender, spyware (spybot), win update-so sploh ti updateji uporabni?

lp

Gwanaroth ::

Jst si postavim eno debian skatlo pred celotno domace omrezje, z iptables firewallom. Poleg tega se poducim sestro (druga intenzivna uporabnica domacega lana), kaj lahko klika in cesa ne.
In glej ga, v dobrih 4 letih takega nacina nisva fasala se nobenga virusa/spywarea. Seveda sva oba brez antivirusa in antispywarea.
Lights often keep secret hypnosis..

ales85 ::

Jaz ne uporabljam skorajda nobene zaščite. Na usmerjevalniku je vklopljen osnovni požarni zid, na računalniku pa vsake par mesecev poženem le Ad-aware od Lavasoft in to je to. Računalnik deluje brezhibno.

LP

HellRaiseR ::

Bitdefender, spyware (spybot), win update-so sploh ti updateji uporabni?


Da ti updejti so zelo uporabni. Vsaj tako imenovani security updati. Redno updatanje sistema je prvi korak k varnosti. Poišči si tudi dober firewall in antivirusni program, ter program za odstranjevanje spywara.

Kaj naredite za osnovno varnost?


Hm, sam imam linux router(linux teče tudi na mojem in sestrinem računalniku) z firewallom in ids-jem. Sisteme redno nadgrajujem in pregledujem za rootkite(chkrootkit, rkhunter).

Zgodovina sprememb…

Ursus ::

Jaz sem pa dobil informacije da so ti požarni zidovi na routerjih neuporabni??

iptable firewall-?
rootkiti-je kaj takega za win?

lp

iNN ::

LoL, kdo ti je pa to reku? Vsekakor so zelo uporabni ce so pravilno nastavljeni.
iptables firewall = skripta v bashu za linux, v kateri so napisana pravila za ravnanje z paketki.
rootkiti obstajajo za tako za linux kot za win.
==

Zgodovina sprememb…

  • spremenilo: iNN ()

Ursus ::

Sej pravilno nastavit je verjetno problem...

Kje bi dobil te rootkite?

SasoS ::

Iskanje rootkitov na linuxu je brezvezno početje, škoda časa. Če ga imaš je škatla itak p0wned in pomaga samo format :D

HellRaiseR ::

To je čist res, samo če ne veš, da je rootkit gor najbrž tud ne boš šel kište formatirat in jo bodo zlorabljali za raznorazne namene.

LoL, kdo ti je pa to reku? Vsekakor so zelo uporabni ce so pravilno nastavljeni.


Najbrž je on mislu požarne zidove, ki so vgrajeni v routerjih, ki se jih kupi v trgovini. Kako je z varnostjo le-teh nebi vedu.

Zgodovina sprememb…

kekz ::

"Iskanje rootkitov na linuxu je brezvezno početje, škoda časa. Če ga imaš je škatla itak p0wned in pomaga samo format"

8-O Format na linux kišti???
To je čisto nepotrebno. Na linuxu praktično za vsak fajl vem, kje mora biti in čemu je tam. Nemogoče je skriti karkoli. Ni šans, da se kaj izmuzne.

HellRaiseR ::

Ah seveda, saj ni treba, da se kaj izmuzne, saj ti lahko podtaknejo nov fajl z backdoorom itd... Seveda se da take stvari nadzorovati z raznimi programi kot so chkrootkit, rkhunter in pa tripwireom ki ti preveri integriteto datotek(seveda je treba takoj ob instalaciji nardit bazo, ki potem primerja z trenutnim stanjem). Da pa boš na uč vidu, da je kišta shekana ni šans, vsaj če imaš opravka s profijem.

steev ::

Zajeb...
:|

Zgodovina sprememb…

  • spremenil: steev ()

iNN ::

Tocno tako kot je napisal HellRaiseR. Dobri rootkiti ponavadi ze vsebujejo modificirane verzije programov za pregled procesov itd. Tako da npr. ce vpises ps ti vrze ven obicajne procese medtem ko zakrije tiste "obcutljive".
==

kekz ::

Zakaj bi pisal ps? Itak vem, da v takih okoliščinah ni čisto zaupanja vreden.
Pogledaš na /proc in primerjaš s ps in takoj vidiš, če je kaj skrito. Da bi shekal /proc, je treba shekati kernel. To je pri delujoči kišti izvedljivo zgolj teoretično. Poleg tega je dober kernel povrniti najbolj simpl zadeva.

Če pridem na mašino, za katero sumim, da je shekana, naredim najprej:
ps -e h | wc
in
ls -d /proc/[0-9]* | wc

Primerjaš številke, ki se morajo ujemati, kar pomeni, da komandi pokažeta enako število procesov

kekz ::

Rootkit sem že videl in doživel, pa tega ni tako enostavno skriti.
Namreč, je kar težavno narediti stvari povsem binarno kompatibilne, da se ujemajo vse knjižnice ipd.

Na požarne zidove jaz ne nameščam development okolja, tako da direktno tam ni mogoče prevajati zadev. Tako se je zgodilo, da so vdrli s poizkušanjem gesel na ssh (kolega je nastavil preveč enostavno geslo). Gor so namestili shekane binarne verzije stvari namenjene za RedHat xx. Moja kišta seveda ni bila RedHat in se je hitro opazilo. Če si naredil rm [file], je reklo segmentation fault.

HellRaiseR ::

Ja, ps je samo eden od primerov, kaj pa recimo da skrijejo nek hardcodan account v ssh, saj vem da se u linuxu da vse na roke prevert. Ampak a ni lažje pognat neko orodje, ki to naredi namesto tebe, namesto da porabiš par ur da preverjaš številke itd... Kar pa se prevajalnikov tiče je res bolje da jih nimaš nameščenih, toda še vedno lahko program za tvoj sistem prevede na drugem računalniku. V glavnem, ne trdim, da se rootkitov ne da odkrit, toda če je kišta enkrat shekana je zelo priporočljivo formatirat, saj nikoli ne moreš bit prepričan, da si okril vse backdoore, ki so nameščeni.

#000000 ::

@kekz

Za foro sem probal ta ukaz (za kerga nimam pojma kaj pomeni)
in dobil tole

[root@******~]# ps -e h | wc
44 350 2815

[root@******~]# ls -d /proc/[0-9]* | wc
44 44 456


A bo to ok ?? al moram format narest ?

gre za linux router/firewall

kekz ::

No, pri ukazu bi lahko na koncu dodal še -l, torej wc -l, da pokaže samo število vrstic.
Važno je namreč le število vrstic, kar v tvojem primeru pomeni, da moraš gledati samo prvo številko. Na sistemu imaš 44 procesov (v obeh primerih, kar je vredu).
Na sistemu, kjer trenutno delam, mi pokaže 894.

#000000 ::

Aha pol je bolj ko ne vredi :D

Hvala za informacijo. LP

Malkec ::

Linux masterpiece 2.6.14.6-grsec #1 PREEMPT Wed May 17 11:27:07 EDT 2006 i686 GNU/Linux

To je to. Pa vsi porti zaprti. Bi kdo keks? :D
/* Xaser 3 * 939 dual sata 2 * Opti165 (ccb1e0608mpmw) @2933 MHZ*/
/*TT 120 * X800 XL *1GB Transcend pc 3200 * MAxtor 160 GB SATA II /

kekz ::

Jaz imam odprtih kar nekaj portov, ker rabim dostop do veliko storitev.
Imam pa narejeno tako, da moram na večino vrat "potrkati", potem se mi odprejo in za sabo jih seveda spet skrbno zaprem. :D
Trkanje odpiranje in zapiranje je mogoče narediti povsem avtomatično z iptables. 8-)

Zgodovina sprememb…

  • spremenilo: kekz ()

kekz ::

Vse porte zaprte, vključno z icmp imam edino pri vhodu v bančna omrežja.

Ursus ::

Sedaj ko se je tema umirila, pa bi prosil še za kakšen nasvet za Windows XP uporabnike.

:) lp

iNN ::

Bi malo se uporabil tole temo, imam namrec tezavo z firewallom na domacem strezniku. Napisal sem iptables firewall skripto, pri kateri je default policy vse na DROP, nato imam odprta porta:
21 za internal network
22 samo za mojo masino

Vse je narejeno povsem isto, problem je da preko ssh bp konektam na masino, medtem ko dobim v fillezilli takle output v status baru:
Status: Connecting to xx.xx.xx.xx ...
Status: Connected with xx.xx.xx.xx. Waiting for welcome message...
Response: 220 ProFTPD 1.2.10 Server (Debian) [xx.xx.xx.xx]
Command: USER xzyui
Response: 331 Password required for xzyui.
Command: PASS *******************
Response: 230 User xzyui logged in.
Command: SYST
Response: 215 UNIX Type: L8
Command: FEAT
Response: 211-Features:
Response: 211-MDTM
Response: 211-REST STREAM
Response: 211-SIZE
Response: 211 End
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE A
Response: 200 Type set to A
Command: PASV
Response: 227 Entering Passive Mode (xx,xx,xx,xx,xx,xx).
Command: LIST
Error: Transfer channel can't be opened. Reason: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Error: Could not retrieve directory listing

Se c/p iz fw skripte za INPUT chain

echo -e " - Allowing INTERNAL access to the FTP server"
$IPTABLES -A INPUT -i $INTIF -p tcp -s $INTNET -d $INTIP --dport 21 -j ACCEPT

echo -e " - Allowing ADMIN access to the SSH server"
$IPTABLES -A INPUT -i $INTIF -p tcp -s $ADMIN -d $INTIP --dport 22 -j ACCEPT


Zanima me se nekaj, kot vidite imam narejeno spremenljivko $ADMIN, inicializirana je z IPjem moje masine. Zanima me ali je to brezvezno, in kako se da to boljse narediti?
==

Zgodovina sprememb…

  • spremenilo: iNN ()

iNN ::

Problem resen, z odprtjem porta 20 =)

/edit : sm bil mal prehiter, firewall ni bil zloadan sploh :o .. ne dela kljub temu
==

Zgodovina sprememb…

  • spremenilo: iNN ()

DSI ::

če te prav razumem ti še zdej ne dela. Problem je v Pasivnem FTP načinu ki uporablja naključne porte nad 1024, zato probaj v /etc/proftpd.conf dodati tole:

PassivePorts 60000 60010

in potem odpri porte od 60000 do 60010. Ter restartaj proftpd. Potem bi moglo delat. Aja vneseš lahko poljuben port range(ni ti nujno uporabiti podanega)

SasoS ::

pri iptables to ni več potrebno.
Naloži ip_conntrack_ftp modul in sputsti notr vse related povezave.

$IPTABLES -A INPUT -i $INTIF-s $INTNET -d $INTIP -m state --state RELATED -j ACCEPT

iNN ::

Tnx obema, sem resu z tem modulom.
==

Ursus ::

Lahko sedaj še malo za win xp? :\

iNN ::

Malo poglej sticky topic v oddelku programska oprema, in pa tukaj mislim da je nekaj uporabnih clankov.
==

Zgodovina sprememb…

  • spremenilo: iNN ()

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

obtožba DoS napada!? (strani: 1 2 )

Oddelek: Informacijska varnost		668838 (5629) treker
»

iptables problem

Oddelek: Operacijski sistemi		242239 (2005) poweroff
»

ProtFtp Passive mode in iptables

Oddelek: Programska oprema		252247 (2069) SasoS
»

iptables skripta

Oddelek: Omrežja in internet		72117 (1897) karafeka
»

iptables + forward

Oddelek: Operacijski sistemi		332326 (1901) tx-z

Več podobnih tem