Linux-kezdő

Sziasztok!

Elkezdtem foglalkozni alapszintű iptables beállítássokkal.
Amit szeretnék elérni: először is mindent tiltani, majd a pár szolgáltatásomat engedni kifelé-befelé.
(web[80], ssh[22], openvpn[1194])

A scriptemet több létező scriptből ollóztam össze, szabilinux és társai, és bizonyára a hozzáértő szem elsőre kiszúrja, mi nem jó. Természetesen távolról elindítottam... ki is dobott azon nyomban az ssh-ról és a vpn-ről is :)

Tudnátok segíteni, hogy mit javítsak rajta, hogy jó legyen?
(Van benne egy pár sor, amivel alapszinten blokkolok pár próbálkozót. Legalábbis ezt is szeretném elérni a felsoroltak mellett.)

http://pastebin.com/6raeFMrP

Köszönöm!

Sziasztok.

Egyik gépemen néha előveszem a nessust, meg mindenféle egyéb vad dolgokat, hogy nézegessem vele a saját kis 2 db honlapomat. Csodálatos naplókat ad mindegyik (szörnyű listát adva néha arról, mekkora hibákat csinálok), aztán okoskodhatok tovább, ha ilyesmire épp van időm.

Amióta Salixra váltottam a Slackware-ről, a nessust valahogyan fel sem raktam, mert eredetileg debianos csomagból oldottam meg a felrakását deb2tgz-vel.

Óva intettek attól, hogy Salixon ilyen manővert csináljak, azaz keverjem a csomagokat. Most itt állok nessus nélkül, a fejlesztők honlapján meg a slackware nem szerepel.
http://www.nessus.org/products/nessus/select-your-operating-system

Szerintetek mit tegyek?
Megint deb2tgz?

Hali!

Tegyük fel, hogy kezdő Linux rendszergizda vagyok. Ezenkívül még
valamennyire értelmes is, meg még angolul is tudok, de kezdő.

Szakmailag kb. akkor leszek sikeres, ha az általam telepített/üzemeltetett szerverek
-nem pusztulnak meg a terhelés alatt, legalábbis nehezen
(a hw-ból kihozom a maximumot, tehát úgy állítom be, hogy a hw legyen a
szűk keresztmetszet, ne a szoftveres konfiguráció, és amennyire lehet,
elkerülöm a túlterhelés lehetőségét)
-nehezen törhetőek fel.
(a nehezen kb. ezt akarja jelenteni: feltételezve, hogy a gép fizikailag
biztonságban van, a gép "ellenáll" az elterjedt automatikus támadásoknak,
és nem egy script kiddie fogja felnyomni a gépet)

Mivel "howto"-kat fordítani lassú és időigényes, (és még el is avulnak :) )
ezért kéne egy "must read" linklistát összerakni, ami megmondaná,
hogy milyen projektekkel kell feltétlenül megismerkednie egy kezdőnek. (pl. nekem. :) )
Meg talán nem kezdő embereknek is hasznos lehet.

Szóval az én listám, ami most így hirtelen eszembe jut:
http://www.fail2ban.org/
http://grsecurity.net/
http://www.gentoo.org/proj/en/hardened/
http://rkhunter.sourceforge.net/
http://en.wikipedia.org/wiki/Chkrootkit
http://sourceforge.net/projects/tripwire/

Érdemes ismerni:
http://en.wikipedia.org/wiki/FastCGI
http://www.snort.org/
http://www.splunk.com/
http://debian-handbook.info/

[Szerk 2012-02-27]
Még néhány link. (zárójelben a júzer, aki ajánlotta)
http://www.debian.org/doc/manuals/securing-debian-howto/ (neutrino)
http://www.modsecurity.org/ (asci)
http://www.linuxjournal.com/article/4751 (Kayapo - portsentry)
http://sourceforge.net/projects/snoopylogger/ (Kayapo)
http://en.wikipedia.org/wiki/Selinux (csuhi)
http://sys-admin.hu/cikkek/20070617/vedd_magad_az_selinux_1 (csuhi)
http://sys-admin.hu/cikkek/20070617/vedd_magad_az_selinux_2 (csuhi)
http://www.freetechbooks.com/efiles/selinuxnotebook/The_SELinux_Noteboo… (csuhi)
http://www.openna.com/pdfs/Securing-Optimizing-Linux-The-Hacking-Soluti… (zeller)
http://haproxy.1wt.eu/ (tbs)
http://www.stunnel.org/ (tbs)
http://linux-vserver.org/ (tbs)
http://www.gentoo.org/proj/en/hardened/primer.xml (Dwokfur)

Üdv!

Az volna a kérdésem, hogy hogyan tudok olyan scriptet írni, ami alapértelmezetten paraméterek nélkül is futtatható (pl. "sh script.sh")
de lehet neki paramétereket is adni (pl. "sh script.sh -a -b)
az adott paraméterek egy egy plusz információt adnának vissza a kimeneten

alapvetően egy DNS szerver működését szeretném tesztelni (nslookup parancs)
a kimeneti érték alap esetben 0 vagy 1 lehet (ezt egy monitorozó rendszer dolgozza majd fel)
viszont én szeretnék hozzáadott paraméterekkel beszédesebb kimenetet kapni
pl. adja vissza a szerver IP-címét is
(sajnos nem pingelhető az adott DNS szerver)

nyilván ez csak egy gyakorló példa a későbbiekhez

sajnos nem találtam ehhez használható leírást (valószínűleg rosszul kerestem)
tudnátok írni ehhez egy egyszerű példát?

nagyjából ennyit írtam eddig:

#!/bin/sh
$valt=`nslookup 8.8.8.8 | grep name | cut -f 1`
if [ -s $valt ]
then echo "0"
else echo "1"
fi
exit 1

gondolom változókat kellene elhelyeznem a scriptben
de hogyan tudom úgy elhelyezni őket hogy pl. "sh script.sh -a"-ra beszédesebb kimenetet kapjak?

A válaszokat előre is köszönöm!

Sziasztok!

Indítás után szeretnék lefuttatni egy szkriptet, ami leállítja az egyik vinyómat, mert benne van a gépben, de csak biztonsági mentésre használom. Szóval mindig pörög, de feleslegesen szívja az áramot is, meg zavar a hangja.

Most ezt írtam bele egy fáljba:
#! /bin/sh
sudo hdparm -Y /dev/sda

De kézzel tudom elindítani paracssorból, és root jelszót is kér, szóval közel sem automatikus.

Az én tudásomból csak erre telt :D
Szóval ha valaki tud valami jobb ötletet, azt megköszönném ;)

Ezidáig mindig sikerűt megúsznom, elkerülnöm a kernelfordítást.... így semmi tapasztalatom egyedi "bütykölésű" kernellel.

Végül is sikeresen fordult le, működik is. Csak... honnét tudom, hogy ez így a legjobb, "közel hibátlan", és stabil.

Ha megy, működik az amit szerettem volna már kész is?

Egy kis backup scripten nyűglődöm. Mivel egy win -es gépről kell levenni, egyenlőre root ként kell futtatni (mount.cifs/umount). A tart-gz archívumot a /home könyvtáram mélyén hozom létre, az eredmény valami ilyesmi:
-rw-rw-r-- 1 root root 48M Feb 16 16:39 wines-mentes-20120216.tar.gz

Persze, mint talpas felhasználó dolgozok, és a "$ su -c" paranccsal futtatom a scriptet - megfeledkeztem erről és kiadtam a következő parancsot:

$ rm wines-mentes-20120216.tar.gz

Rákérdezett, hogy tényleg ki akarom törölni az írásvédett fájlt, mire én persze - és törölte!? Most ez normális, hiszen még csak a root csoportban sem vagyok benne.

Debian Squeeze 6.0.4

Sziasztok!

Van nekem egy régi gépem, melyben van 1 integrált és 3 pci-os hálókártya. A gépen i386-os Debian 6 GNU/Linux fut. Mind a négy hálókártya üzemel, melyeket router funkciókra használnék fel. A gépen beállítottam a ip_forward-ot (echo "1" > .../ip_forward), a route -n paranccsal látom mind a 4 tartományt és a default route-ot is. Viszont a tartományon belüli hálózatban lévő gépek nem tudnak kimenni a default route-on (internet felé), minden tartomány belelát a másik tartományba.

Összefoglalva:

192.168.1.0/24 ----internet felöli tartomány

Ez a három tartomány pedig az aminek látniuk kellene kifelé is, azaz 192.168.1.0/24 tartományt:

192.168.2.0/24
192.168.3.0/24
192.168.4.0/24

Odáig okés, hogy egymás tartományát látják, de amint az internet felé kellene menni, akkor nem okés (192.168.1.1 a router).

Valakinek ötlete?

köszönöm

Egyszerűen nem tudom mit rontok el. Szeretnék egy meglévő win7 mellé egy linux mintet feltenni. Illetve fel is tettem. Telepítettem a grubot a linux partícióra, fel is ismerte a win7-et, ám indításkol nem tölti be a grubot, hanem a win7 indul. Super grub diskkel tudok linuxra bejelentkezni.
Idézet:
# fdisk -l

/dev/sda lemez: 250.1 GB, 250059350016 bájt

255 fej, 63 szektor, 30401 cilinder
Egység: cilinderek 16065 * 512 = 8225280 bájt
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Lemezazonosító: 0xabababab

Eszköz Indítás Eleje Vége Blokkok Az Rendszer
/dev/sda1 * 1 6527 52428096 7 HPFS/NTFS
/dev/sda2 6528 30400 191759872+ f W95 kiterj. (LBA)
/dev/sda5 9139 19581 83883366 7 HPFS/NTFS
/dev/sda6 19582 30400 86903586 7 HPFS/NTFS
/dev/sda7 * 6528 9008 19923968 83 Linux
/dev/sda8 9008 9138 1045504 82 Linux lapozó / Solaris

A partíciós tábla bejegyzései nem a lemezen található sorrendben vannak
Tehát sda1 a win7 sda 5-6 ntfs adatpartíciók sda7 ext3 linux sda8 swap. Mint mondtam a grubot sda7-re telepítettem. Mindtkét partíció (1 és 7) aktív, mint látszik.
Hol a hiba tehát?

A problémám a következő: szeretnék egy NEM LIVE-os USB telepítőt készíteni Debianhoz (IA64 lenne a legjobb, esetleg i386, netinstall nem jó)
próbáltam már kismillió programot (pl: winsetupfromusb, Universal-USB-Installer)

megnéztem a hivatalos leírást: http://www.debian.org/releases/stable/i386/ch04s03.html.en#usb-copy-iso…

leformáztam a pendriveom FAT32-re

megnéztem a /etc/mtab fájlt
ott a pendriveom sdb1-nek írja
kiadtam a "cat /home/user/debian.iso > /dev/sdb1" parancsot
majd a "sync" parancsot

ezek után windows formázatlannak látja a pendriveom
és nem tudok bootolni róla

mit kellene még csinálnom?
fel kellene kézzel másolnom fájlokat?
aktívra kellene állítanom a pendriveot?

Előre is köszi a segítséget!