Biztonsagos-e ez igy

Linux-kezdő

Sziasztok!

A kovetkezo lenne a kerdesem. Osszeallitottam egy debianos tuzfalat, es kivancsi vagyok ti mit valtoztatnatok meg rajta 1-2 szolgaltatassal. A kovetkezoket tettem a biztonsag erdekeben:

grsec, shorewall, bastille, tripwire, snort

szolgaltatasok: kulso felen: pptpd, sshd.
Belso felen: mysql, lighttpd, torrentflux,samba,clamav

nmap kimenete kivulrol:
Starting Nmap 4.22SOC8 ( http://insecure.org ) at 2007-11-30 11:46 Central Europe Standard Time
Initiating ARP Ping Scan at 11:46
Scanning 10.100.8.118 [1 port]
Completed ARP Ping Scan at 11:46, 0.06s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 11:46
Completed Parallel DNS resolution of 1 host. at 11:46, 0.02s elapsed
Initiating SYN Stealth Scan at 11:46
Scanning 10.100.8.118 [1705 ports]
Discovered open port 1723/tcp on 10.100.8.118
Discovered open port 22/tcp on 10.100.8.118
Completed SYN Stealth Scan at 11:47, 8.38s elapsed (1705 total ports)
Initiating Service scan at 11:47
Scanning 2 services on 10.100.8.118
Completed Service scan at 11:47, 6.27s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against 10.100.8.118
Retrying OS detection (try #2) against 10.100.8.118
Initiating gen1 OS Detection against 10.100.8.118 at 19.016s
For OSScan assuming port 22 is open, tcp/113 and udp/42165 are closed, and neither are firewalled
SCRIPT ENGINE: Initiating script scanning.
Initiating SCRIPT ENGINE at 11:47
Completed SCRIPT ENGINE at 11:47, 0.05s elapsed
Host 10.100.8.118 appears to be up ... good.
Interesting ports on 10.100.8.118:
Not shown: 1702 filtered ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.3p2 Debian 9 (protocol 2.0)
113/tcp closed auth
1723/tcp open pptp?
MAC Address: xx:xx:xx:xx:xx:xx (Intel)
Device type: general purpose
Running: Linux 2.4.X|2.6.X
OS details: Linux 2.4.20 - 2.4.28, Linux 2.6.10
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=9999999 (Good luck!)
IP ID Sequence Generation: Randomized
Service Info: OS: Linux

SSH vedelme: egyelore kezzel beutott jelszo, de majd megcsinalom meg a kulcs alapu authentikaciot. tcp wrapperrel vedve van, bizonyos tartomanyokbol johet csak be ssh. Bar ez neha nem tul jo otlet :). Csak 1 user lephet be ssh-n keresztul, root alapbol kilove.

shorewall beallitasa:

/etc/shorewall/zones
fw firewall
net ipv4
loc ipv4

/etc/shorewall/rules

ACCEPT net fw tcp 22
ACCEPT net fw icmp
ACCEPT net fw tcp 59115:59117
DNAT net loc:192.168.0.1 tcp 1723
DNAT net loc:192.168.0.1 47

/etc/shorewall/policy

loc all ACCEPT
fw all ACCEPT
net all DROP info
all all REJECT

pptpd beallitasai:

/etc/pptpd.conf

option /etc/ppp/options.pptp
localip 192.168.0.1
remoteip 192.168.0.200-210

/etc/ppp/options.pptp

lock
debug
auth
require-mppe-128
ms-dns 192.168.0.1
ms-wins 192.168.0.1

mysql szervernek termeszetesen adtam root jelszavat. Ti esetleg meg mit tennetek a biztonsag kedveert? A belso felrol erkezo tamadasoktol igazsag szerint nem tartok, igy mint lathatjatok azt a felet nagyon nem vedem (persze kiv. a snort), de amugy a belso gepeknek barmit szabad.

samba usereknek termeszetesen mas a jelszavuk mint a linuxos shellhez. Bar lehet hogy le is tiltom a belepesuket, ha nem akarnak foglalkozni vele.

Ha szerintetek ez okes, es biztonsagos, akkor kirakom a netre, es koszonom! :) Ha nem biztonsagos, akkor kerlek adjatok par tippet meg. Igazabol meg gondolkodtam azon is, hogy esetleg a pptp szolgaltatast ssh-n keresztul fogom csak bekapcsolni akkor amikor nekem kell.

Valaszokat elore is koszi!

  • 1409 megtekintés

( mazursky | 2007. 11. 30., p – 12:54 )

Szervusz!

Ezek szerint ez PPTP/L2TP VPN csatornát is kezel? (ha jól veszem ki, FIX_ME)
Azt lehetne eleve ssh-n keresztül is húzni, erre van egy régi de elég jó doksim. email-ben szívesen elküldöm (1,4Mb körüli, 3db kép scannelve egy néhány évvel ezelőtti PCWorld-ből), akit érdekel.

A különböző jelszavak ssh-ra és samba-ra pedig jó ötlet.
Amúgy jónak tűnik. Egyébként nem vagyok angy szaki, ezért kérdezem, hogy az 59115:59117 portokat mire használja?

/mazursky

Mondjuk nalam ugy szokott lenni, hogy van kulon emailes jelszavak, kulon regisztracios jelszo, kulon egyeb jelszo, es kulon root/sima user jelszo :). Igy ha esetleg hulye voltam es valahova beuottem a titkos jelszavamat, akkor tuti nem lesz problema belole, hogy az emailt, wiwet, meg mittomenmibe is belemennek :). Portok a torrentnek kellenek.

A vpn pedig csak pptp. Igazabol inkabb ipsec-et szerettem volna, de nem vagyok jaratos benne, es inkabb ezt valasztottam.

kuldok privit a doksik miatt, koszonom!

( joesalty | 2007. 11. 30., p – 13:42 )

Reszemrol az alapp 22-es portrol attennem az ssht egy masi portra, mondjuk 2222-re.

egyebkent erdemes v tcp wrappert hasznalni, v deny2host, v barmi ilyesmit hasznalni, mert ha fel percre v 2 percre kitiltod par probalkozas utan alt. nem jonnek vissza. Egyebkent lehet atteszem magasabb portra az ssh-t, mert teny rohadt idegesito mikor az ember nem latja at a logot a botok miatt.

( sj | 2007. 11. 30., p – 13:47 )

Tuzfalon definicio szerint nem fut mas alkalmazas, csak a tuzfal funkciot implementalo szoftver.

ASK Me No Questions, I'll Tell You No Lies

szerver.

Ha megtorik a gepet, akkor ugy sem szolgaltatason keresztul fogjak megnyomni. openssh-ban eleg regen volt kihasznalhato ertelmes hiba. Nem erdemes tul parazni az egyeszet, amig mondjuk:

- rwxr-xr-x jogu a /root illetoleg a userek home-jai
- backupolsz localhostra
- hostolsz php-t.
- van rajta X
- gyenge a jelszod
- szar helyrol authentikalsz

megoldas:

- adduser.conf atallitod a default umaskot a home-ra. Ami mar megvan user annak manualisan ue.
- backupolsz localhostra es 13x megnezed, hogy jo-e a permission.
- normalisan beallitod
- nincs rajta X :D
- nem valasztasz hulye jelszot :D
- opie, es akkor mindenhonnan mehet.

synapse

fontos: nezd vegig a home-konyvtaras dolgot. A debianosok idiotak, az alapbeallitasban barki vegigbongeszi a /root-ot. Namost ha ott van fontos dolog (backup), akkor az nagyon nagy szivas.

Ja, es nagyon NAGYON nezd meg, hogy ki hasznalhatja a flux-ot. En is hasznalom, es az egy bugtenger. Ha be tud ra jelentkezni akkor viszi az apache-ot.

synapse