Tárgyban szereplő megoldást keresek egy fapados klienshez, mi a módja, hogy user-autentikálás után a szerver építse ki a konfigjában szerelő portokra a tunnelt a kliens felé?
Ez mi? :)
Tartalma:
NPP_GetValue is called
NPP_GetValue is called
Hosszú. Eddig naívan azt hittem, hogy az iptables -L által kapott lista azt a sorrendet tükrözi, ahogyan a szabályokat a netfilter majd értelmezi. Azaz mondjuk ha van a listában előrébb egy proto all ACCEPT, akkor már egy későbbi proto all REJECT nem hat. No mostani esetem szerint a dolog nem teljesen igaz. Ha valaki mást tud és elmondja, vagy értelmes magyarázatot ad az alábbira, azt megköszönném.
zahy@szerverke:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp dpt:bootpsChain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 172.27.1.0/24 state RELATED,ESTABLISHED
ACCEPT all -- 172.27.1.0/24 anywhere
ACCEPT all -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
REJECT all -- anywhere anywhere reject-with icmp-port-unreachableChain OUTPUT (policy ACCEPT)
target prot opt source destination
zahy@szerverke:~$ sudo iptables -D FORWARD 4
zahy@szerverke:~$ sudo iptables -D FORWARD 4
zahy@szerverke:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp dpt:bootpsChain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 172.27.1.0/24 state RELATED,ESTABLISHED
ACCEPT all -- 172.27.1.0/24 anywhere
ACCEPT all -- anywhere anywhereChain OUTPUT (policy ACCEPT)
target prot opt source destination
zahy@szerverke:~$
És a lényeg. Ameddig a a FORWARD láncból nem töröltem a két REJECT szabályt, addig sem pingetni nem lehetett, sem elérni nem lehetett a szerverke mögött (benne, mert VM-ben) levő indiánt futtató gépet. Abban a pillanatban, hogy a két reject eltűnt, életre kelt a ping, és elérhetővé vált az indián. Miért?
Szevasztok,
$ telnet server 22
Trying a.b.c.d...
Connected to server (a.b.c.d).
Escape character is '^]'.
SSH-2.0-OpenSSH_5.8
Tehát meg lehet oldani valahogy, hogy az utolsó sort ne írja ki ? Ezáltal ne derüljön ki milyen verzió fut ?
Interneten azt javasolták hogy kézzel át kell írni a stringet a forrásban és újraforgatni, mert nincs rá opció ami kikapcsolja (vagy amit találtam az nem működik).
Sziasztok,
Egy egyszerűnek és átlagosnak mondható Debian 6 (Apache 2.2, PHP 5.3, MySQL 5.1 - open_basedir szigorítva a saját htdocs, /tmp és /var/tmp mappákra) kiszolgálónkon a weboldalak felén a "Hacked by Mahabad Cíber Army" található, egyszerűen az index.php|html|htm -et cserélték le. A szervert heti szinten frissítjük APT-vel (gyári Debian US mirror-ok), gyakorlatilag minden mindig a legfrissebb. A feltört lapok közt vannak Joomla-k, Drupal-ok, CMS Made Simple-k, egyedi fejlesztésű lapok, és ami végképp érdekes, egyszerű HTML oldalak is.
A fájlok dátuma mindenütt Január 30, 15:28-15:30.
FTP logokban semmi, debian log-okban semmi, az apache log-okban pedig csak GET -ek vannak az adott időpontban és közvetlenül előtte. Természetesen az oldalak gazdái is teljesen különböznek, nem is ismerik egymást. Van valakinek ötlete?
Köszi
Üdv!
Nekiálltam egy rendes tűzfal összerakásának, amiben igyekszek a legtöbb dolgot elkövetni, hogy megússzak néhány kellemetlen percet. A tűzfalnak a következő feladatai vannak: DoS védelem, portscan védelem, szükséges portok nyitása, a maradék átjutó "hibás" csomag szűrése, szükséges portok nyitása, minden egyéb elutasítása. Erre a feladatra állítottam össze ezt a scriptet. Ezzel kapcsolatban szeretném a tapasztaltabbak véleményét kikérni. Mi jó benne, mi rossz, mi kerülte el a figyelmemet, mit kellene másképp megoldani?
Ahogy teszteltem a dolgot, nagyjából jól is működik. Azonban a limit modul paraméterezése nem teljesen világos számomra így abban kérnék egy kis segítséget. Példának itt ez a sor:
$IPTABLES -A FINSCAN -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "[Firewall] FIN scan: "
Itt úgy gondoltam, hogy percenként 1 sor(--limit 1/min) kerül majd a logba, de a burst opció többszöri utána olvasás ellenére sem teljesen világos. Ahogy megfigyeltem ez így ebben a formában nem is azt csinálja amit szeretnék, mivel csak egyetlen sor kerül a logba mikor elkezdek nmap-el garázdálkodni és utána akárhány percen át megy, több log bejegyzés nem születik.
Valamint a 30 perces tiltólista is esetenként furcsán működött, bár lehet ott más befolyásolta a dolgot. Az IP-k, akiknek kell fel is kerülnek a recent modul listájára, de 30 perc múlva nem mindig járt le a tiltás. Mivel a gépre, ahonnan nmap-eltem ssh-n keresztül jelentkeztem be a tűzfalas gépről, lehet hogy a félbeszakított ssh kapcsolat hosszabbította mindig meg a tiltás idejét...
Hu, ez így kicsit tömény lett, de remélem érthető... Tudom elég sok ilyen jellegű topik volt már, többek közt azokból is építkeztem.
Köszönöm!
Sziasztok!
Nem tudja valaki, miként lehetne megvalósítani, egy felcsatlakoztatott meghajtó fájl szintű hozzáférés naplózását?
Értem ez alatt, hogy ha egy felhasználó olvasásra megnyit, másolja, írja, törli, futtatja, akkor azt naplózza? (ki, mikor, művelet, fájl, opc: melyik program végezte)
Előre is köszönöm a válaszokat
Sziasztok,
Azt viszonylag könnyen meg tudom oldani, hogy ha egy user még ismeretlen IP címről jelentkezik be, akkor az értesítést generáljon:
http://www.ossec.net/doc/manual/rules-decoders/rule-lists.html#positive…
Lista, lookup, és hajrá. Viszont így csak egy globális adatbázisom van, az igazi pedig az lenne, ha külön-külön tudnék szűrni, joe, moe, bob, larry, stb., stb userekre, hogy ki honnét szokott bejelentkezni. Erre viszont nem találtam normális megoldást (az address_match_key_value nem az).
Nem ragaszkodom az OSSEC-hez, bár egyelőre tetszik (még úgy is hogy pl. a dovecot decoder nem igazán tuti).
Különböző weboldalakhoz (ügyfelek által feltöltöttek) keresünk trójai, malware, javascript, stb. irtó/kereső cuccot.
Ezt ismeri valaki?
Esetleg más alternatívát a cílra?
Sziasztok!
Már egy ideje gondolkodom azon, hogy veszek egy olcsóbb, második gépet, amolyan tanulásfélére, amire Ubuntu linuxot tennék fel, mivel szeretnék a linuxszal közelebbről is megismerkedni. Jópár témát elolvasva mindenki ezt ajánlja, ugyanis a gyakorlatban felmerülő problémák megoldásából többet tanulhatnék, mintha csak könyveket bújnék. De ha már így alakul, érdemes lenne szerintetek egyből egy Ubuntu szervert felrakni rá és azzal kezdeni az ismerkedést? Nem sok előképzettségem van Linuxból, anno pár éve volt fent Ubuntu a Windows mellett és néha próbálgattam dolgokat. Olvasgattam a szerverekről, de igazából nem tudom, hogy melyikkel is kellene először megismerkednem. Meg nem is igazán tudom a leírások alapján sem, hogy melyik mire is való. Ebben kérném a segítségeteket.
Tehát:
- Szerver vagy sima Ubuntu?
- Ha szerver, akkor melyik legyen kezdésként és miért?
- Akkor már pár szóban a főbb szervertípusok lényegét is leírhatnátok, vagy ha van oldal, ami érthetően magyarázza, az is megfelel.
- Elég-e, ha kezdésként nem egy szervergépet veszek, hanem csak egy hagyományos PC-t, ugyanis még csak ismerkednék vele, valószínűleg nem éjjel-nappal menne?
Végül pedig bocsánat, ha butaságokat kérdezek, remélem nem harapjátok le a fejem a kérdésekért. :D
Egyébként tervezem, hogy a linuxos gépen elkezdek majd ismerkedni a PHP-val, MySQL-lel és a Perl-lel.