Root jelszo

De bekapsz egy szép kis támadást (hamisított ip címekről), oszt' annyi lesz a tűzfaladnak, belassul a géped.

Nagyobb site-ok is megrogytak már DoS támadástól, úgyhogy nem ringatom magam illúziókba; ha komoly DoS támadást ér minket, akkor az internet kapcsolatunk ígyis-úgyis belassul.

De nem a szkript miatt.

Azt ugyanis úgy állíthatom be, ahogy akarom. Jelenleg max 10000 db tiltó tűzfalszabályt enged, de levehetem a darabszámot 1000-re, vagy akár 1-re is.
Ha eléri a limitet, akkor az összes addigi szabály törlődik, és kezdődik a szabályok gyűjtögetése elölről.
Persze nagyon könnyű lenne úgy módosítani a scriptet, hogy ne induljon ilyenkor tisztalappal a tűzfal, hanem mindig a legutolsó n db szabály éljen, de ennek nem látom szükségét; a celeron 300-as minden észrevehető lassulás nélkül cipeli a 3k tűzfalszabályt a 800k-s internet kapcsolatunkon.

Egyébként a fő célom az volt, hogy hacker-ek ellen védjem a szervert.
Egy hacker vélhetőleg portscan-el fog fogást keresni a szerveren. Eközben valószínűleg olyan portot is megszkennel, amin nálunk nincs semmilyen szolgáltatás. Ekkor nem egyszerűen a csomag blokkolódik a tűzfalban, hanem rövidesen a küldő IP címe is.
Még ha véletlenül rögtön elsőre rá is hibázik egy létező és sebezhető szolgáltatás portjára, akkor is van esély hogy a támadás kiszélesítése közben egy másik, tilos portot is megnéz, és így ismét csak aknára fut, lévén hogy az IP címe letiltódik; vagyis még a megtalált sebezhető szolgáltatással is megszakad a kapcsolata.

Az a nagyszerű, hogy ilyenkor nem kell örök időkre tiltanod azt az IP címét, csak amíg az érdeklődése elterelődik rólad. Vagyis nem kell feltétlenül mindig 10000 szabályt cipelnie a tűzfaladnak.

A másik haszna, hogy a log fájl alapján mindig képben lehetsz, hogy mi zajlik éppen az interneten. Ha a tűzfaladon egy portnak hirtelen megemelkedik a népszerűsége, rögtön tudsz róla, és utánanézhetsz, hogy ez most egy új féreg a neten, esetleg a mögötted lévő hálózaton kapott valaki találatot, vagy már megint fájlcserélőzne egy delikvens, és őt keresik.

lol.

igen feltörhető. lokálisan ált nem is nehéz...

Ha a vincsihez hozzáférnek, akkor simán törhető.

egyébként ez kb a sokezredik topic ugyanebben a témában itt a hupon

Akarhonnan feltorheto ha online van :>

Kábé 10 perc, ha odaadod valakinek a gépet...
Én már jártam így: kaptam egy szervert, de "elfelejtették" a rott jelszót is megmondani. Egyik nap bemérgesedtem:
- vincsi kivesz és bedug a saját gépbe
- felmountol gyökér partícijóóó
- chroot bele
- passwd root

és máris boldog tulajdonosa lettem, vincsi visszarak, ssh-n adminsztrál :roll:

ennyi.

De ezért vannak a security linuxok, nézz utána.

Csak az a kérdés, hogy mennyi idő alatt...
Mondjuk nekem eddig szerencsém volt, eddig még nem törték fel a szerverem.
Egyébként én voltam olyan balga, hogy nyitottam egy SSH portot a "nagyközönség" számára.
Esténként könnyű olvasmány gyanánt átnézem az auth.logot és nagyokat mosolygok a sok "not in AllowUsers" bejegyzésen.

[quote:e9711b1ec6="norcrys"]Kábé 10 perc, ha odaadod valakinek a gépet...
Én már jártam így: kaptam egy szervert, de "elfelejtették" a rott jelszót is megmondani. Egyik nap bemérgesedtem:
- vincsi kivesz és bedug a saját gépbe
- felmountol gyökér partícijóóó
- chroot bele
- passwd root

és máris boldog tulajdonosa lettem, vincsi visszarak, ssh-n adminsztrál :roll:

ennyi.

De ezért vannak a security linuxok, nézz utána.

Mondok jobbat: init=.....

Én mondjuk mást szeretek olvasni esténként, de ízlés dolga... :lol:

[quote:fd6f4af36b="zsigabiga"]
Mondok jobbat: init=.....

Már ha ez nincs letiltva. Nálam le volt.

Jobb helyeken tényleg le van. De sajna sokan nem veszik a fáradtságot...

[quote:fad55d472b="norcrys"][quote:fad55d472b="zsigabiga"]
Mondok jobbat: init=.....

Már ha ez nincs letiltva. Nálam le volt.

Ha le van tiltva, akkor cd-ről bootolsz (esetleg használsz valami live cd-t).
Írható-olvashatónak mountolod azt a partíciót, amin az /etc-t tárolod.
Ha csak passwd file van, kitörlöd a jelszót.
Ha van shadow is, akkor a jelszó "krix-krax" szövegét kitörlöd, a passwd fájlhoz pedig nem kell nyúlnod.
Mindkét esetben törölted a root jelszavát.

Azért nem mindegy mi a kérdés.
Ha az hogy valaki be tud-e lépni a gépre root-ként, ha fizikailag nála van a gép akkor egyértelműen igen.
Ha az hogy a jelszavadat vissza tudják-e fejteni mert te ugyanezt a jelszót használod más gépeknél is akkor már nincs olyan egyszerű dolguk. A jelszó általában md5-tel van kódolva a shadowban és ha a jelszavad tartalmaz számot, kisbetűt, nagybetűk, kellően hosszú akkor azért egy home géppel aligha feljtik vissza

[quote:a4c39bf4e9="norcrys"][quote:a4c39bf4e9="zsigabiga"]
Mondok jobbat: init=.....

Már ha ez nincs letiltva. Nálam le volt.

Ezt hol lehet megtenni, melyik konfig file-ban?

Bye, Fifi

[quote:6b89288107="samuf"]Azért nem mindegy mi a kérdés.
Ha az hogy valaki be tud-e lépni a gépre root-ként, ha fizikailag nála van a gép akkor egyértelműen igen.
Ha az hogy a jelszavadat vissza tudják-e fejteni mert te ugyanezt a jelszót használod más gépeknél is akkor már nincs olyan egyszerű dolguk. A jelszó általában md5-tel van kódolva a shadowban és ha a jelszavad tartalmaz számot, kisbetűt, nagybetűk, kellően hosszú akkor azért egy home géppel aligha feljtik vissza

Ehm, már miért tudna belépni rootként, ha nála van a winchester????? Akkor és csak akkor, ha nincs titkosítva a fájlrendszer.

Igazad van Panther az, hogy egyértelműen be lehet lépni az tulzás.
Igazából csak azt szerettem volna tisztázni, hogy a jelszó visszafejtése és a rendszerben root jogosultság szerzése nem ugyanaz

Szerintem valami trojai cucc probalkozik, nalam is van. Elgondolkodtato, hogy ugyanazon IP-rol 10 mp alatt jon 20 probalkozas, ez nemigen emberkez muve...

[quote:77ea2dc34f="zsigabiga"]Csak az a kérdés, hogy mennyi idő alatt...
Mondjuk nekem eddig szerencsém volt, eddig még nem törték fel a szerverem.
Egyébként én voltam olyan balga, hogy nyitottam egy SSH portot a "nagyközönség" számára.
Esténként könnyű olvasmány gyanánt átnézem az auth.logot és nagyokat mosolygok a sok "not in AllowUsers" bejegyzésen.

ugyanazon IP-rol 10 mp alatt jon 20 probalkozas,

Az én tűzfalam az ilyesmit nem nagyon tűrné; egy percen belül le lenne tiltva a küldő IP címe :-).

Csak egy egyszerű, saját készítésű bash script kellett hozzá, ami a tcpdump logfájljából kigreppeli az ip címeket, és ha kell, azonmód beilleszti a tiltó szabályt a tűzfalba.

A feketelistára kerüléshez csak ennyi kell nála:
- 1 percen belül 1 csatlakozási kísérlet egy trójai portra vagy népszerű, de nálunk nem létező szolgáltatás (pl. http) portjára, vagy
- 1 percen belül három létező szolgáltatás portjára

A szerver 179 napos uptime-nál tart, ezalatt 3129 IP címet tiltott le a tűzfalban. (Persze nem terveztem hogy a tiltólista ilyen nagy legyen - gondoltam úgyis kiürül amikor újra indítom a gépet - de az istennek se kell újraindítani. Na ja, vérbeli FreeBSD a kicsike....

Viszont a 22-es porthoz hozzáférést még így sem engedem az egész internetnek.

Nacceru. Elkuldened a scriptet?
Nem tudom, masnak kell-e, de nekem maganban jo lenne:
celtic@celtic.no-ip.org

Koszi!

[quote:8931aae406="j_szucs"]

ugyanazon IP-rol 10 mp alatt jon 20 probalkozas,

Az én tűzfalam az ilyesmit nem nagyon tűrné; egy percen belül le lenne tiltva a küldő IP címe :-).

Csak egy egyszerű, saját készítésű bash script kellett hozzá, ami a tcpdump logfájljából kigreppeli az ip címeket, és ha kell, azonmód beilleszti a tiltó szabályt a tűzfalba.

Nálam max néhány kapcsolat van engedélyezve percenként (limit match), viszont engem is érdekel a scripted. Ha még snort-ot is használsz, akkor különösen :)

[quote:20831e8b99="Fifi"][quote:20831e8b99="norcrys"][quote:20831e8b99="zsigabiga"]
Mondok jobbat: init=.....

Már ha ez nincs letiltva. Nálam le volt.

Ezt hol lehet megtenni, melyik konfig file-ban?

Bye, Fifi

Lilo hasznalata eseten: man lilo.conf
password=
restricted - jelszot ker, ha boot-parametert adsz meg inditasnal.

Udv: nyce

[quote:fa5ae289cc="blanc"][quote:fa5ae289cc="norcrys"][quote:fa5ae289cc="zsigabiga"]
Mondok jobbat: init=.....

Már ha ez nincs letiltva. Nálam le volt.

Ha le van tiltva, akkor cd-ről bootolsz (esetleg használsz valami live cd-t).

- nincs cd meghajtó a gépben (persze tehetsz bele, de akkor már a vincsit is kiveheted)?
- törölheted is a jelszót, de mindjárt adhatsz is egy újat, az jobbnak tűnik :)

[quote:05987f0b88="j_szucs"]

A szerver 179 napos uptime-nál tart, ezalatt 3129 IP címet tiltott le a tűzfalban. (Persze nem terveztem hogy a tiltólista ilyen nagy legyen - gondoltam úgyis kiürül amikor újra indítom a gépet - de az istennek se kell újraindítani. Na ja, vérbeli FreeBSD a kicsike....

Most még nem... De bekapsz egy szép kis támadást (hamisított ip címekről), oszt' annyi lesz a tűzfaladnak, belassul a géped.

Az érdeklődőknek mailben ment a script.

Panther, a te e-mail címedet hol találom?
(Egyébként nem használok snort-ot, sőt a script a jelen formájában valszeg össze is akadna vele, mert feltételezi a tcpdump kizárólagos használatát, miközben - legalábbis ha jól tudom - a snort is a tcpdump-ot használja info gyűjtésre.)

[quote:84a94c056f="j_szucs"]Az érdeklődőknek mailben ment a script.

Panther, a te e-mail címedet hol találom?
(Egyébként nem használok snort-ot, sőt a script a jelen formájában valszeg össze is akadna vele, mert feltételezi a tcpdump kizárólagos használatát, miközben - legalábbis ha jól tudom - a snort is a tcpdump-ot használja info gyűjtésre.)

Értem :)

Email címem panther81 et freemail pötty hu, egyébként a honlapom alján virít az igazi, ami most épp eltén kívülről nem fogad el emaileket :(

[quote:06e4916d36="j_szucs"]

ugyanazon IP-rol 10 mp alatt jon 20 probalkozas,

Az én tűzfalam az ilyesmit nem nagyon tűrné; egy percen belül le lenne tiltva a küldő IP címe :-).

Csak egy egyszerű, saját készítésű bash script kellett hozzá, ami a tcpdump logfájljából kigreppeli az ip címeket, és ha kell, azonmód beilleszti a tiltó szabályt a tűzfalba.

A feketelistára kerüléshez csak ennyi kell nála:
- 1 percen belül 1 csatlakozási kísérlet egy trójai portra vagy népszerű, de nálunk nem létező szolgáltatás (pl. http) portjára, vagy
- 1 percen belül három létező szolgáltatás portjára

A szerver 179 napos uptime-nál tart, ezalatt 3129 IP címet tiltott le a tűzfalban. (Persze nem terveztem hogy a tiltólista ilyen nagy legyen - gondoltam úgyis kiürül amikor újra indítom a gépet - de az istennek se kell újraindítani. Na ja, vérbeli FreeBSD a kicsike....

Viszont a 22-es porthoz hozzáférést még így sem engedem az egész internetnek.

Ez mind szép és jó, de produktív szerver esetén nem használnám, mert az ilyen próbálkozások többsége olyan helyekről érkezik, ahol dhcp osztja az ipt befelé. Fix ip-vel merész dolog próbálkozni, nemdebár? Magyarán így sikeresen kitilthasz több ezer olyan gépet, amelyek mondjuk szimplán csak a weblapot akarják megnézni.
Ergo ha valamely intézménytől rendszeresen nézik a szervered,
akkor az adot intézményen belül elég egy renitens egyén, hogy erérhetetlenné tegye a szervered.
Megéri?

Hali!

En az alabbi szoktam hasznalni:

Consol letiltva
(csak single usermodban van engedleyzve)
Boot paramterekhez jelszo szukseges

SSH nem default porton fut.
Alapbol a 80-as, 21-es, pop3, smtp portokon kivul minden zarva.
SSH-ra csak 2-3 masik hasonlo biztonsagos sajat szerverrol fogad
kapcsolatot.

Userek virtual mind userek mysql-ben (csak localhost socketen keresztul).
Mindegyiknek csak sftp, pop3 ssl, smtp (authentikacioval) engedelyzett.
2 jail a szerveren. Egyikben apache es tarsai, masikban pedig a userek
home cucuai.

Egy script X percenkent ellenorzi a userek htdocs es az apache documentrootjait. Ha kulonbozo akkor felulvagja az apache jailben levot a user htdocsaban levot. Ezzel le van vedve dafece ha weben keresztul probalnanak defacelni.
Ha user sajat homejat torik meg, az legyen user baja mert kiadta (vagy gyenge a jelszava) a jelszavat.

Esetleg usercsoportonkent lehet csinalni tobb apache jailt ha tobb ip is van a szerveren. Igy ha egy oldalt tornek akkor apache jailen belul csak X-Y sitet tudnak defacelni.

Nallam ez a minimum.

DDOS ellen nem igazan lehet hatekonyan vedekezni, foleg ha eleg kiterjedt tatomanybol erkeznek pici packetek. Ha akarjak ugyis le tudjak benitani a szolgaltatast....

Persze ez csak webhostingos gepekre igaz, mas jellegu szervernel mas a felallas.

Udv
EnRoX

Szerintem azon múlik, hogy mi a célközönség. Nálam pl a portletiltások úgy vannak (ssh-é csak), hogy ELTE engedélyezett, mindem más tiltólistára kerülhet. Végleg. Ja, és ezt úgy oldom meg, hogy lusta vagyok - így teljes hálózatokat tiltok, néha 3-as prefix-szel :)

János: megkaptam. Azt hittem, így oldottad meg:
tcpdump | myscript
bár enélkül sem piskóta :)
Majd megkísérlem így átírni, de azt hiszem, perl lesz belőle, aztán érdeklődőknek publikálom is. De most inkább honlapot hegesztek :)

[quote:152b59d8e3="Fifi"][quote:152b59d8e3="norcrys"][quote:152b59d8e3="zsigabiga"]
Mondok jobbat: init=.....

Már ha ez nincs letiltva. Nálam le volt.

Ezt hol lehet megtenni, melyik konfig file-ban?

Legegyszerűbben a LILO vagy a GRUB konfigjában lehet beállítani, hogy ne engedélyezze, illetve egészen pontosan jelszót kérjen az init 1-es indításhoz.

Ergo ha valamely intézménytől rendszeresen nézik a szervered,
akkor az adot intézményen belül elég egy renitens egyén, hogy erérhetetlenné tegye a szervered.

Igen, ez benne van a pakliban.

Megéri?

Ezt mindenkinek magának kell eldöntenie, az összes körülményt mérlegelve. Nagy nyilvánosságnak szánt szolgáltatást üzemeltető gépen (http, ftp) én sem igen használnám. Nem használnám >10Mbit/s sávszélességnél sem, mert ezt már valszeg nem győzné szusszal a gép. Nálunk viszont igencsak közepes a sávszélesség, és csak smtp és szűk körnek szánt https, pop3 és ssh elérhető, plusz gateway-ként funkcionál a gép a mögöttes hálózatnak. Kicsit én is meglepődtem azon, hogy semmi zavart nem okoz a szkript, pedig az IP címeket tiltja szépen.
Úgy látszik a partnereink között nincs renitens, az pedig nem izgat, ha egy kíváncsi távolkeleti spammer egy füst alatt letiltatja a teljes hálózatát.
Sőt, az utóbbit kimondottan követendő példának tartanám.

Egyébként - éppen az általad említettek miatt - már a kezdet kezdetén volt egy ötletem, amit végül nem valósítottam meg, mert a gyakorlat azt mutatta, hogy nekem nincs szükségem rá:
A tiltó szabályoknak tetszőlegesen beállítható élettartammal (lejárati idővel) kellene rendelkeznie.

Ezzel együtt a scriptet már elég rugalmasan lehetne beállítani, jócskán kiszélesítve a felhasználási területét.

[quote:88f9030971="norcrys"][quote:88f9030971="blanc"][quote:88f9030971="norcrys"][quote:88f9030971="zsigabiga"]
Mondok jobbat: init=.....

Már ha ez nincs letiltva. Nálam le volt.

Ha le van tiltva, akkor cd-ről bootolsz (esetleg használsz valami live cd-t).

- nincs cd meghajtó a gépben (persze tehetsz bele, de akkor már a vincsit is kiveheted)?
- törölheted is a jelszót, de mindjárt adhatsz is egy újat, az jobbnak tűnik :)

Ja, hogy nincs? Hmm, az már macera... Bár igazából ilyenkor mindössze annyi (nálunk) a szokás, hogy levesszük a házat, mellérakunk egy megfelelő méretű dobozt, arra rá egy mezei cd-olvasó rákötve a másodlagos szalagra, táp neki és máris megy a cd-ről indulás. Általában úgyis az első vinyó szokott lenni a rendszer, minek csavarnék ki még 4 csavart? (Na igen, lustaság szobra lehetnék, ha nem lennék lusta modellt állni :D)
Amennyire lehet, megpróbáljuk úgy megoldani, hogy minél kevesebb cuccot bontsunk ki. Aztán amikor visszakapja a vinyó a szalagkábelét, akkor már hótmindegy, mire írja át az ember a kinullázott jelszót...

Jah, egyetertek.
Ha csak a "kivalasztott" usereknek kell a hozzaferes az adott portokhoz, akkor masnak semmi keresnivaloja nincs ott.
Nalam pl. minden IP cim tiltott minden portra, csak onnan hasznalhatjak, ahonnan tudom, hogy hasznalni fogjak. Szerencsere nem sok ISP-tol jonnek a userek, igy eleg keves tartomanyt kell engedelyezni, de megeri :)
Kevesbe kell tartani a koreai altalanos iskolasoktol :)

[quote:8c5ceece0d="nyce"][quote:8c5ceece0d="Fifi"][quote:8c5ceece0d="norcrys"][quote:8c5ceece0d="zsigabiga"]
Mondok jobbat: init=.....

Már ha ez nincs letiltva. Nálam le volt.

Ezt hol lehet megtenni, melyik konfig file-ban?

Lilo hasznalata eseten: man lilo.conf
password=
restricted - jelszot ker, ha boot-parametert adsz meg inditasnal.

Ah, már emlékszem csak régen használtam.

Akkor álljon itt a grubra is, hátha jóljön:
grub-md5-crypt programmal legeneráljuk a password-hash-t, majd a menu.lst globális opciói közé felvesszük az alábbi sort:
password --md5 a_legenerált_hash

Köszi az emlékezetem visszanyerését ;)

Bye, Fifi

Valóban gond a nyilvános szolgáltatásoknál az IP tiltás. Én azt az utat választottam, hogy a webszerver egy külön gép, mint legkritikusabb pont,
a levelezés és egyéb sajnos kívülről is elérhető dolgok pedig a másik gép.
A web ott megy ebek harmincadjára a 80-as porton,
de a levelezős munkacsoportos gépet kicsit eldugtam és a naplók alapján nézve nem is igazán cseszetegeti senki. (auth.log -ba csak akkor van riasztás, ha én csesztem el a jelszót:)

No és mit értek eldugás alatt:

egroupware csoportmunka webes felülete, csak https-en, fent a 4443-as porton. Soha senki nem kereste, eddig :)

https://kutyaf*sza.hu:4443/egroupware
amelyik dolgozó otthonról ennyit nem tud beírni, azt inkább ki kell rúgni, iskolán belül meg be van linkelve az intranetre

ssh

permit root login = no

így először kell egy sima user a belépéshez

majd csak kulcsokkal engedem a belépést (use pam=no :) -mint legegyszerűbb, a kulcsokat én generálom az usernek, így nem teheti meg, hogy a kulcs jelmondata nem egy legalább többszörösen összetett mondat, így az sem gond ha ellpoják a kulcsát

az egész ssh nem a 22-es porton van, hanem az 54421-esen, azt kereshetik :)

..ha meg mégis sikerül, akkor ott fogadja a chroot-olt környezet

..ha meg az sem akadály, akkor ... akkor kénytelen vagyok mindent újratelepíteni :) ... :(

..és aki sftp-t kap az meg tanulja meg:
sftp -oPort=54421 paraszt@kutyaf*sza.hu

Nekem ezek voltak annó az 5leteim, mint security.

[quote:073a858d2d="muszashi"]
majd csak kulcsokkal engedem a belépést (use pam=no :) -mint legegyszerűbb, a kulcsokat én generálom az usernek, így nem teheti meg, hogy a kulcs jelmondata nem egy legalább többszörösen összetett mondat, így az sem gond ha ellpoják a kulcsát

Sok hűhó semmiért. ssh-keygen segítségével módoístható a passphrase.

[quote:073a858d2d="muszashi"]
..ha meg mégis sikerül, akkor ott fogadja a chroot-olt környezet

No ez sem megoldás mindenre, mert nem épp egy BSD jail, annál kevesebb. Bár a legjobb lenne akkor már inkább egy VM-ben futtatott linuxot használni :)

[quote:c9a083719c="Panther"][quote:c9a083719c="muszashi"]
majd csak kulcsokkal engedem a belépést (use pam=no :) -mint legegyszerűbb, a kulcsokat én generálom az usernek, így nem teheti meg, hogy a kulcs jelmondata nem egy legalább többszörösen összetett mondat, így az sem gond ha ellpoják a kulcsát

Sok hűhó semmiért. ssh-keygen segítségével módoístható a passphrase.

[quote:c9a083719c="muszashi"]
..ha meg mégis sikerül, akkor ott fogadja a chroot-olt környezet

No ez sem megoldás mindenre, mert nem épp egy BSD jail, annál kevesebb. Bár a legjobb lenne akkor már inkább egy VM-ben futtatott linuxot használni :)

Ezt persze megteheti, de az usereimnek még a winscp használata is gondot okoz :)

Nem BSD, mivel Linux. ...de nem is a NASA. :)