| Autor |
Sõnum |
uniz
Vana Pingviin
Vanus: 45
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
|
|
Viimati muutis uniz 03.02.2007, 17:02; muudetud 1 kord
|
|
|
   |
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Ma tegin vanast kastist kontorisse gateway, tulemüüri ja dhcp serveri.
Kasutasin FreeBSD -d mulle meeldib, et FreeBSD lubab kontrollida igat aspekti
installi ajal midagi ei installita ilma sinu teadmata.
Ei ole ju olemas mingit keskmist kasutajat kelle järgi süsteem on by default
confitud.
Kast on nüüd surisenud mingi aasta aega kontori nurgas, proovisin mingi päev puttyga sisse logida aga ei kasutajanimi ega salasõna pole enam meeles.
Meil oli ennem mingi ruuter millele pidi kogu aeg resette tegema kuna ühendus kadus ära. Nüüd kasutajad tõmbavad oma windoozad käima ja kõik töötab..
|
|
|
|
|
|
|
 |
uniz
Vana Pingviin
Vanus: 45
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
|
|
Viimati muutis uniz 03.02.2007, 17:02; muudetud 1 kord
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Laadisin uued ipfw tulemüüri reeglid toimib nagu kell:
allow tcp from { 85.156.0.0/16 or 85.157.0.0/16 } to me 22
Kuna ipfw on kompileeritud kernelisse by default keelab kõik
siis nüüd ainult soome ip -ga saab sisse logida teiste jaoks
on port 22 shielded.
Ftp ja http on lahti kõigi jaoks.
muidugi Soomes on veel c kategooria ip -sid neid võib siis reeglitesse
lisada kui vaja või kui sõidan Eestisse siis lisan eesti ip -d.
|
|
|
|
|
|
|
|
uniz
Vana Pingviin
Vanus: 45
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
|
|
Viimati muutis uniz 03.02.2007, 17:03; muudetud 1 kord
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
| Uniz, ma saatsin sulle privaatsõnumi
|
|
|
|
|
|
|
|
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
johnsmith, iptablesi geoip mooduliga ei pea käsitsi ip vahemikke määrama.Näiteks reegel
| Kood: | | iptables -A INPUT -p tcp --dport 22 -m geoip ! --src-cc FI -j DROP |
keelab kõik sissetulevad ühendused pordile 22 kui päring ei tule Soome ip-lt.
|
|
|
|
_________________
IT teenused
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Asjalik, ainult siinkohal pole FreeBSD ja Linuxi kernel ühilduvad.
Netfilter on osa linuxi kernelit ja selle kompileerimine FreeBSD
kernelisse pole ilmselt võimalik.
Peale nende reeglite sisestamist pole mul enam rünnakuid olnud.
Kahjuks pole maakohased ip-d ühes tükis nii, et töökindlus võib
kannatada ipfw -d kasutades.
Arin peab ilmselt andmebaasi kõikidest maakohastest ip -dest.
Iptablesid kasutades seda probleemi ilmselt pole ja sellise
reegli kasutamine on igatpidi mõistlik.
|
|
|
|
|
|
|
|
uniz
Vana Pingviin
Vanus: 45
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
|
|
Viimati muutis uniz 03.02.2007, 17:03; muudetud 1 kord
|
|
|
|
DaStoned
Pingviini aktivist
Vanus: 43
Liitunud: 11.01.2007
Postitused: 392
Asukoht: Tallinn
Distributsioon: Debian
|
|
Kui tulemüüris kõik mittevajalik ära keelata, kontodele korralikud paroolid valida (mitte kasutaja "test", parool "test"), igasuguste anomaaliate avastamiseks logcheck käima lükata, ning kord-paar nädalas uuendused peale tõmmata, siis saan mina öösiti magada küll.
Kui lõputu SSH kallal kangutamine närvidele hakkab käima, siis piiran ühenduskatsete arvu kahele minutis. Palun väga, eks proovige brute-force rünnakut kiirusega kaks korda minutis :)
Plaanis on ka port knocking. See on veidi ebamugav, aga väga-väga tõhus. Põhimõte on selles, et enne kui SSH jaoks TCP port lahti tehakse, tuleb teha ühenduskatsed paari määratud porti. Koputad näiteks portide 9988 ja 1243 pihta ning selle peale avatakse sulle 5 minutiks port 22.
|
|
|
|
_________________
When the shit hits the fan, keep your mouth shut!
Viimati muutis DaStoned 11.01.2007, 18:06; muudetud 2 korda
|
|
|
|
imre
Vana Pingviin
Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
|
|
Ma tõstsin omal ssh teise pordi otsa ja rünnakud sinna on olematud.
Käsitsi ei viitsi keegi rünnata, tuleb ikka "robotiga" 22 pordi peale.
|
|
|
|
_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.
|
|
|
|
bsdo
Pingviini aktivist
Liitunud: 22.02.2007
Postitused: 140
Distributsioon: ubuntu server
|
|
| DDoS kaitse ka on või? Ma panin just peale.
|
|
|
|
_________________
Ubuntust 
|
|
|
|
|
|
