Strona 2 z 2 PierwszyPierwszy 12
Pokaż wyniki 11 do 17 z 17

Temat: Zabezpieczenie systemu

  1. #11
    Zarejestrowany
    Jun 2006
    Skąd
    Brok
    Postów
    42

    Domyślnie

    No tak pozostaje jeszcze kwestia tego żeby zrobić dobre logi. A to nie jest takie proste, przynajmniej dla mnie. Używacie może specjalnych programów do odczytywania logów, czy też może wystarcza wam
    Kod:
    less /var/log/messages
    Co powiecie o tych regułkach iptables
    IPTABLES ver. 1 i IPTABLES ver. 2

  2. #12
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Co do zakladania IDS'a, portsentry i calej reszty na desktopie - nie ma sensu... Jesli sam na nim nie siedzisz to nie instaluj bo nie znajdziesz nikogo kto bedzie przegladal logi a wtedy cale te dodatki o kant dupy sie zdadza jesli nikt nawet nie zobaczy czy cos sie dzialo... lepiej ustawic to na router.

    Jesli ten desktop to na prawde desktop, to zupelnie wystarczy:
    Kod:
    #!/bin/sh
    echo -e "STARTING FIREWALL... "
    
    ipt="/sbin/iptables"
    
    # czyszcze tablice
    $ipt -F
    $ipt -F INPUT
    $ipt -F OUTPUT
    $ipt -F FORWARD
    $ipt -F -t mangle
    $ipt -F -t nat
    $ipt -X
    
    # blokuje wszystko
    $ipt -P INPUT DROP
    
    # zezwalam na localhost na lo
    $ipt -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
    $ipt -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
    
    # przepuszczam polaczenia juz zestawione
    $ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    ostatnia linijka wpuszcza polaczenia ktore sa... czyli tez jak sie okazuje te przez nas zainicjowane. Desktop to desktop - nie dostaje poczty przez SMTP, nie ma serwera WWW - inaczej to juz serwer.

    Jesli dochodza uslugi serwerowe jakiekolwiek to wypada dodac:
    Kod:
    # uslugi
    $ipt -A INPUT -p tcp --dport 80 -j ACCEPT
    $ipt -A INPUT -p tcp --dport 443 -j ACCEPT
    ...
    
    # TCP reset, ICMP port-unrechable (udajemy ze nie mamy uruchomionych zadnych serwisow)
    $ipt -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset
    $ipt -A INPUT -p udp -i eth0 -j REJECT --reject-with icmp-port-unreachable
    Okreslenie adresu docelowego i interfejsu nie ma wiekszego sensu chyba ze dywersyfikujemy co i dla kogo ma byc widoczne... Na koniec wszystko na interfejsie WAN (tu eth0) REJECT albo po prostu zostawic bez tego by nie generowac zbednego ruchu i bedzie ciche DROP zgodnie z policy.

  3. #13
    Zarejestrowany
    Jun 2006
    Skąd
    Brok
    Postów
    42

    Domyślnie

    Tak to zwykły domowy pecet i chyba właśnie o coś takiego mi chodziło.

    Dzięki i pozdrawiam

  4. #14
    Zarejestrowany
    Jun 2006
    Postów
    112

  5. #15
    Zarejestrowany
    Jun 2006
    Skąd
    Polska, zachodniopomorskie
    Postów
    46

    Domyślnie

    Pojecie bezpieczenstwa jest szerokie, napisz o bezpieczenstwie jakiej konkretnej uslugi chcesz porozmawiac, generalnie wiekszasc (jezeli nie wszystkie) programy zabezpieczajace dostepne dla Linuxa generalnie tylko podnosza poprzeczke, a nie zabezpieczaja na kazda ewentualnosc, zawsze wychodz z zalozenia ze ktos (moze sie wlamac/wlamie sie) na twoj serwer, i dobrze by bylo przewidziec co wtedy. Mozna bardzo wysoko podniesc poprzeczke instalujac grsec + inne patche na jadro, do tego IDS, zrobic kopie zapasowa plikow z /bin, ustawic firewall i uruchomic jedna usluge na serwerze. Tylko ze wielkie firmy zatrudniaja do kazdej z tych i wielu wielu innych rzeczy po 3 do 7 bardzo wycwiczonych w konkretnej dziedzinie administratorow i i tak maja problemy z bezpieczenstwem

    Aha, nie musze chyba wspominac ze windows nie jest systemem serwerowym a nawet jesli go uzyc w taki sposob to nie ma tam zadnych specjalnych przeszkod dla kogos kto ma zwykle konto aby eskalowal swoje prawa do praw administratora. Tam jest generalnie problem z zabezpieczeniem przed atakami zdalnymi, microsoft jak dotychczas nie koncentrowal sie na atakach lokalnych, moze w Vista sie cos zmieni, ale ostatni pokaz Billa... nie wypalil krotko mowiac

  6. #16
    Zarejestrowany
    Jun 2006
    Skąd
    Brok
    Postów
    42

    Domyślnie

    I_v0 Głównie chciałem się dowiedzieć czy ktoś kto korzysta z systemu linux na codzień w domu, zabezpiecza go w jakiś niestandardowy sposób, np. instalując antywirusa dla linuxa. Każdy z reguły zabezpiecza ten system przy pomocy iptables.

    Interesowały mnie też metody zabezpieczenia serwerów działających na tym systemie. Czy też korzystają tylko z regułek, czy może wykorzystują jakieś dodatkowe oprogramowanie, jeśli tak to jakie.

    Zostały podane różne sposoby zabezpieczeń:
    • regułki iptables
    • system IDS
    • kopia katalogu /bin
    • patche na jądro


    Jeśli ktoś miałby coś do dodania to niech śmiało pisze. Zaznaczcie tylko czy piszecie o desktopach czy serwerach.

    Pozdrawiam

  7. #17
    Zarejestrowany
    Jun 2006
    Postów
    112

Strona 2 z 2 PierwszyPierwszy 12

Podobne wątki

  1. Aktualizacja systemu na serwerze
    By Dominik in forum Newbie - dla początkujących!
    Odpowiedzi: 12
    Autor: 07-28-2006, 17:59

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52