Linux-security

Hello.

Gondoltam kiterjesztem az itthoni halozatom gepeinek firefox adblock szabalyait a routeren levo tuzfalra.
Tehat azt szeretnem, hogy ha netezek itthon a routeremen keresztul, akkor ne jojjenek at a kovetkezok:

ad.adverticum.net stb.stb.stb...... esetleg: *banner*

probalkoztam tobb szaballyal is, de nem sikerult. (probaltam input chainnel, sot input_rule es input_wan-nal is) A baj az, hogy nem vagyok tisztaban vele, hogy hogy kellene.

A felszerelesem: Linksys routeren White Russian RC6

Sziasztok!

Az SMCWBR14-G2 routeremen elvileg van olyan lehetőség, hogy egy "3rd party syslog server" segítségével bővebb logállományt le lehet tölteni(vagy töltetni) egy meghatározott IP-jű gépre.
Nem találtam rá sem az SMC oldalán sem a neten utalást arra, hogy mi lenne ez a szoftver, vagy milyen szoftverek használhatók egyátalán erre.

Van ötletetek?

Előre is köszi.

Sziasztok!

Gyors segítség kellene, hogy milyen iptables paranccsal lehet:
a) egy helyi interface egy adott portjához hozzáférést minden IP számára megengedni,
b) egy helyi interface egy adott portjához hozzáférést egy IP kivételével az összes többi számára letiltani
c) milyen iptables paranccsal lehet a fenti b) szabályt törölni,

mégpedig úgy, hogy ne akadjon össze a susefirewall-al.

A porton olyan szolgáltatás érhető el, amit ha egyidejűleg több IP-ről is próbálnak használni, akkor összeakadnak úgy, hogy végül egyik sem tudja a szolgáltatást igénybe venni. Ezért szeretném azt megoldani, hogy ténylegesen egy időben csak egy IP használhassa. Ezt úgy biztosítanám, hogy a portot alapból kinyitnám az összes IP számára (a), majd amikor az első IP-ről csomag érkezik rá, akkor az összes többi IP számára letiltanám a hozzáférést (b). Ha viszont arról az IP-ről x ideig nem jön csomag, akkor ismét megnyitnám a többi IP számára is, törölve a korábban beillesztett tiltó szabályt (c). Gondolom nincs olyan progi, amivel pont ezt az automatikus működést meg lehetne oldani, úgyhogy most egy tcpdump logját figyelő bash szkriptben gondolkodom (perl jobb lenne, de nem értek hozzá).

Erősen tanakodom az x idő optimális hosszán is; minél rövidebb, annál jobb, de nem lehet túl rövid se. Itt alapvetően http kapcsolatok szabályozásáról van szó; nincs véletlenül valami http timeout, aminek a szokásos értéke fogódzót adna, mennyi inaktivitás után célszerű a portot elvenni?

http://www.virushirado.hu/hirek_tart.php?id=1181&ref=hl

Leginkább ezen a szakaszon akadtam fenn:

"Aggodalomra leginkább a forráskódok és a hivatalos bináris csomagok (futtatható formára lefordított fájlok) esetleges megmérgezése adhat okot, ha ugyanis a hackerek ezeket a saját kártékony kódjaikkal észrevétlenül megtoldották, akkor minden a fertőzött szervereket használó Ubuntu-t telepítő gép megfertőződhet. Ennek megelőzése érdekében az üzemeltetők általában korábbi dátumú, ismert tiszta mentéshez térnek vissza a betörést követő helyreállítás során és abból töltik fel a szerveren tárolt tartalmakat."

Ha ubuntum lenne, .. hát nem is tudom. Újratelepiteném.

Sziasztok!

Van egy szerverem, amin postfix fut, és küldéshez TLS-t használ. Normális levelezőkkel rendben működik, azonban az Outlook széria tagjaival nem - kivétel az új 2007-es, ami hol megy, hol nem megy(?).
Outlook küldése esetén ilyesmi van a logban:

postfix/smtpd[18174]: connect from unknown[x.x.x.x]
postfix/smtpd[18174]: setting up TLS connection from unknown[x.x.x.x]
postfix/smtpd[18174]: SSL_accept:before/accept initialization
postfix/smtpd[18174]: SSL_accept:error in SSLv2/v3 read client hello A
postfix/smtpd[18174]: SSL_accept:error in SSLv3 read client hello B
postfix/smtpd[18174]: SSL_accept:error in SSLv3 read client hello B

A visszakapott hibaüzenet 554 5.7.1 : Relay acess denied

A beállítások szinte teljesen megegyeznek a többi szerveremen lévő beállításokkal, de ott nincs ilyen probléma. A google-t már végigtúrtam, de szinte mindenhol azt írják, hogy ez csak tájékoztatás, nem hiba, viszont megoldást nem találtam rá.
A gond szerintem valahol az openssl körül van, de tovább nem jutok.

Tud valaki segíteni?

Üdv!

A tárgyban jelölt UPS-hez keresek debian 4.0-hoz valamilyen "emergency shutdown" szoftvert,
vagy megoldást.
A gyártó honlapján csak windowsosat találtam. (UPSurf Control)

Valaki esetleg tud ajánlani valamit?

Jó estét!

A minap történt, hogy az eddig jól működő hálózaton, ahol egy SQUID-en keresztül mennek a gépek netre, az egyik whatismyip szerű oldal megmondta, hogy nekem az IP-m 192.168.1.1 (a belső hálón tényeg). Eddig nem látta, csak a külsőt. A squid beállításain nem igen módosítottam. A gubanc biztos, hogy a squid beállításaiba van, mert ha kikapcsolom, és egy mezei NAT-tal mennek ki a gépek, akkor csak a küldős ip-t látja, ahogy kell. Viszont ha megint elindítom, és frisssítek egyet a böngészőbe, azonnal kiírja, hogy proxy server detected, és a LAN ip-t mondja meg.

Milyen beállításokat kellene módosítanom, hogy kifele tényleg SEMMI ne látszódjon?

Van egy szerver amin van egy MTA (postfix ami most lényegtelen) és van rajta egy domain, és rengeteg élő postafiók. Na most ezek a postafiókok tulajdonosai egy bizonyos másik szolgáltató előfizetőivel (nagyobb cég) hatalmas levélforgalmat bonyolítanak. A másik szolgáltató bejelentés nélkül elkezdte ellenőrizni (Gondolom a T-online SMTP lock adott neki ihletet), hogy létező feladók -e feladók? És mindezt úgy csinálja hogy minden egyes levél után, megnyit egy kapcsolatot felénk, aztán gyakorlatilag egy timeout-ig fenn is tartja azt. A baj csak az hogy mindezt másodpercenként 150-200 kapcsolatot kezdeményez. Nálam meg elfogy az erőforrás; illetve a tűzfalon is kizárja saját magát...

Erre én kitiltom a másik szolgáltató IP címét - aminek persze az ügyfelek nem örülnek, de legalább a többi MTA-ról megkapják a leveleiket -, és átverekszem magam a szolgáltató ügyfélszolgalatán, több óra után eljutok a másik rendszregazdához, aki végre megigéri hogy jelzi az illetékesnek a problémát...

Vajon annak ellenére hogy van az összes domainhez van bejegyezve "spf", miért kell DOS-olni a környezetet? Más még nem futott hasonlóba bele? Viszonylag "kicsi szolgáltató", de nyilván a nagyobb "ügyfél cégek" levelezésénél ütközik ki jobban ez a jelenség.

Sziasztok!
Volt pár avc denial a log fileokban amiket kiküszöböltem, viszont minden semodule -i policyX.pp parancsra kaptam egy szép hosszú hibaüzenetet (nem vágom be az egészet mert marha hosszú, de végig hasonlókat dob):

qmaill homedir /var/qmail/ or its parent directory conflicts with a defined context in /etc/selinux/targeted/contexts/files/file_contexts,
/usr/sbin/genhomedircon will not create a new context. This usually indicates an incorrectly defined system account. If it is a system account please make sure its login shell is /sbin/nologin.
qmailp homedir /var/qmail/ or its parent directory conflicts with a defined context in /etc/selinux/targeted/contexts/files/file_contexts,
/usr/sbin/genhomedircon will not create a new context. This usually indicates an incorrectly defined system account. If it is a system account please make sure its login shell is /sbin/nologin.

Google ilyen hibaüzenetre 1 találatott adott, amiben nincs hasznos infó a megoldásra. Sajnos nem vagyok SELinux guru de ha már bennevolt alapból a FC6-ban akkor nem akarom kikapcsolni, elcseszni meg nem akarom a rendszert a hülye próbálkozásokkal ezért kérdezek inkább itt. Ettől függetlenül amúgy működik a levelezés és minden más is (legalábbis úgy tűnik), de azért aggaszt a dolog. A másik, hogy minden egyes virtualhost könyvtárára is hasonlót dob. Van valakinek valami ötlete a megoldásra? Előre is köszi!

Adott a feladat: vírus és SPAM szűrő vállalati MTA kiszolgálóra!

Elsősorban a fizetős megoldások/motorok közül kinek mi a véleménye/tapasztalata a következőkről:

Spam- és phishing-szűrő:
- Commtouch RPD
- Cloudmark Authority
- Mailshell Spamcompiler

Antivírus:
- Eset NOD32 Antivirus
- Sophos Anti-Virus
- Kaspersky Anti-Virus