No tak pozostaje jeszcze kwestia tego żeby zrobić dobre logi. A to nie jest takie proste, przynajmniej dla mnie. Używacie może specjalnych programów do odczytywania logów, czy też może wystarcza wam
Co powiecie o tych regułkach iptablesKod:less /var/log/messages
IPTABLES ver. 1 i IPTABLES ver. 2
Co do zakladania IDS'a, portsentry i calej reszty na desktopie - nie ma sensu... Jesli sam na nim nie siedzisz to nie instaluj bo nie znajdziesz nikogo kto bedzie przegladal logi a wtedy cale te dodatki o kant dupy sie zdadza jesli nikt nawet nie zobaczy czy cos sie dzialo... lepiej ustawic to na router.
Jesli ten desktop to na prawde desktop, to zupelnie wystarczy:
ostatnia linijka wpuszcza polaczenia ktore sa... czyli tez jak sie okazuje te przez nas zainicjowane. Desktop to desktop - nie dostaje poczty przez SMTP, nie ma serwera WWW - inaczej to juz serwer.Kod:#!/bin/sh echo -e "STARTING FIREWALL... " ipt="/sbin/iptables" # czyszcze tablice $ipt -F $ipt -F INPUT $ipt -F OUTPUT $ipt -F FORWARD $ipt -F -t mangle $ipt -F -t nat $ipt -X # blokuje wszystko $ipt -P INPUT DROP # zezwalam na localhost na lo $ipt -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT $ipt -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # przepuszczam polaczenia juz zestawione $ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Jesli dochodza uslugi serwerowe jakiekolwiek to wypada dodac:
Okreslenie adresu docelowego i interfejsu nie ma wiekszego sensu chyba ze dywersyfikujemy co i dla kogo ma byc widoczne... Na koniec wszystko na interfejsie WAN (tu eth0) REJECT albo po prostu zostawic bez tego by nie generowac zbednego ruchu i bedzie ciche DROP zgodnie z policy.Kod:# uslugi $ipt -A INPUT -p tcp --dport 80 -j ACCEPT $ipt -A INPUT -p tcp --dport 443 -j ACCEPT ... # TCP reset, ICMP port-unrechable (udajemy ze nie mamy uruchomionych zadnych serwisow) $ipt -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset $ipt -A INPUT -p udp -i eth0 -j REJECT --reject-with icmp-port-unreachable
Tak to zwykły domowy pecet i chyba właśnie o coś takiego mi chodziło.
Dzięki i pozdrawiam
Pojecie bezpieczenstwa jest szerokie, napisz o bezpieczenstwie jakiej konkretnej uslugi chcesz porozmawiac, generalnie wiekszasc (jezeli nie wszystkie) programy zabezpieczajace dostepne dla Linuxa generalnie tylko podnosza poprzeczke, a nie zabezpieczaja na kazda ewentualnosc, zawsze wychodz z zalozenia ze ktos (moze sie wlamac/wlamie sie) na twoj serwer, i dobrze by bylo przewidziec co wtedy. Mozna bardzo wysoko podniesc poprzeczke instalujac grsec + inne patche na jadro, do tego IDS, zrobic kopie zapasowa plikow z /bin, ustawic firewall i uruchomic jedna usluge na serwerze. Tylko ze wielkie firmy zatrudniaja do kazdej z tych i wielu wielu innych rzeczy po 3 do 7 bardzo wycwiczonych w konkretnej dziedzinie administratorow i i tak maja problemy z bezpieczenstwem
Aha, nie musze chyba wspominac ze windows nie jest systemem serwerowym a nawet jesli go uzyc w taki sposob to nie ma tam zadnych specjalnych przeszkod dla kogos kto ma zwykle konto aby eskalowal swoje prawa do praw administratora. Tam jest generalnie problem z zabezpieczeniem przed atakami zdalnymi, microsoft jak dotychczas nie koncentrowal sie na atakach lokalnych, moze w Vista sie cos zmieni, ale ostatni pokaz Billa... nie wypalil krotko mowiac
I_v0 Głównie chciałem się dowiedzieć czy ktoś kto korzysta z systemu linux na codzień w domu, zabezpiecza go w jakiś niestandardowy sposób, np. instalując antywirusa dla linuxa. Każdy z reguły zabezpiecza ten system przy pomocy iptables.
Interesowały mnie też metody zabezpieczenia serwerów działających na tym systemie. Czy też korzystają tylko z regułek, czy może wykorzystują jakieś dodatkowe oprogramowanie, jeśli tak to jakie.
Zostały podane różne sposoby zabezpieczeń:
- regułki iptables
- system IDS
- kopia katalogu /bin
- patche na jądro
Jeśli ktoś miałby coś do dodania to niech śmiało pisze. Zaznaczcie tylko czy piszecie o desktopach czy serwerach.
Pozdrawiam
http://www.google.pl/search?hl=pl&ie...j+w+Google&lr=
miłej lektury... ;-)
Zasady Postowania
Copyright © 2006-2024 - HACK.pl. Wszelkie prawa zastrzeżone.
Odpowiedź z Cytatem