desktop update

ma kicsit hegesztettem a conky-t plusz kapott új hátteret és lecseréltem az órát.
http://users.hszk.bme.hu/~bp854/screenshot.jpg

iptables fel lett izmozva, befelé minden szűrve, kivéve www és ssh, bruteforce védelemmel, ahogy azt kell. plusz van egy script ami kétpercenként átnyálazza a logokat és szól, ha valaki ssh-val bepróbálkozott volna, de a tűzfal megfogta :)
pekingből már zaklattak is, úgyhogy tényleg működik...

( hrgy84 | 2009. 02. 14., szo – 22:39 )

Azmiaz ott jobbra? Conky? Orat hogy csinaltal?
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

( dzsolt v | 2009. 02. 15., v – 07:22 )

:-)
Jól sikerült! Esetleg konfig látható? És a tűzfalscript is esetleg :-) ?

nem egy nagy durranás... 

pali@calypso:~$ sudo iptables-save 
[sudo] password for pali: 
# Generated by iptables-save v1.4.0 on Sun Feb 15 11:17:43 2009
*nat
:PREROUTING ACCEPT [197858:12065019]
:POSTROUTING ACCEPT [90193:5804382]
:OUTPUT ACCEPT [90257:5814206]
-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE 
COMMIT
# Completed on Sun Feb 15 11:17:43 2009
# Generated by iptables-save v1.4.0 on Sun Feb 15 11:17:43 2009
*mangle
:PREROUTING ACCEPT [65226346:38996443816]
:INPUT ACCEPT [64682505:38537250298]
:FORWARD ACCEPT [543496:459161157]
:OUTPUT ACCEPT [95393560:121497427806]
:POSTROUTING ACCEPT [95938735:121956842509]
-A PREROUTING -j TTL --ttl-inc 1 
COMMIT
# Completed on Sun Feb 15 11:17:43 2009
# Generated by iptables-save v1.4.0 on Sun Feb 15 11:17:43 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [5286533:5945896748]
-A INPUT -i eth0 -j ACCEPT 
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 30 --hitcount 4 --name DEFAULT --rsource -j LOG --log-prefix "SSH-HAM" 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 30 --hitcount 4 --name DEFAULT --rsource -j DROP 
-A INPUT -d 152.66.221.135/32 -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -d 152.66.221.135/32 -i eth1 -p udp -m udp --dport 51413 -j ACCEPT 
-A INPUT -d 152.66.221.135/32 -i eth1 -p tcp -m tcp --dport 51413 -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -d 152.66.221.135/32 -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -i eth1 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -s 127.0.0.0/8 -i ! lo -j LOG 
-A INPUT -s 127.0.0.0/8 -i ! lo -j DROP 
-A INPUT -d 255.255.255.255/32 -i eth0 -j ACCEPT 
-A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT 
-A INPUT -d 224.0.0.0/4 -i eth0 -p ! tcp -j ACCEPT 
-A INPUT -d 224.0.0.1/32 -j DROP 
-A INPUT -j LOG 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -j DROP 
-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -d 192.168.0.0/24 -o eth1 -j LOG 
-A FORWARD -d 192.168.0.0/24 -o eth1 -j DROP 
-A FORWARD -d 224.0.0.1/32 -j DROP 
-A FORWARD -j LOG 
-A FORWARD -j DROP 
COMMIT
# Completed on Sun Feb 15 11:17:43 2009

Na most, aki ezek után bepróbálkozik nálam, mert talál benne egy hibát, annak ejnye-bejnye!

( vomberg | 2009. 02. 15., v – 11:13 )

van egy script ami kétpercenként átnyálazza a logokat és szól, ha valaki ssh-val bepróbálkozott volna,

Ilyesmire szolgál a fail2ban is.

nekem csak a conkyhoz kellett 


#!/bin/bash

cd ~/bin
OCOUNT=$(cat sshcount 2>/dev/null)
NCOUNT=$(dmesg | grep SSH-HAM | wc -l)
let DIF=$NCOUNT-$OCOUNT;
echo $NCOUNT > sshcount

if [ "$NCOUNT" -gt "$OCOUNT" ]

then
echo -n '${color red}${font pixelsize=10}WARNING!$font ssh bruteforce (' 
echo -n "$DIF"
echo ")"
dmesg | awk '/SSH-HAM/{y=$5;};END{split(y,a,"="); printf "$alignc from " a[2] "$color\n";}'

else
echo '${color gray}${font pixelsize=10}pSysWatch$font active $color'
echo
fi

( skynetpro | 2009. 02. 15., v – 12:13 )

hmmm...
azt hiszem találtam egy bugot a conkyban.

ha a tcp_portmon-t használom, akkor megfelelő mennyiségű (>0) tcp kapcsolatnál 20-25% cpu-t is megeszik a "lightweight" rendszermonitor. google nem segített. ha kiveszem a tcp_portmont, 1%-nál soha nem kér többet.

szerintem megírom awk-val, még úgy is biztosan takarékosabb, ráadásul akkor lehet állítani az update intervalt a conky többi részétől függetlenül