Linux-security

Sziasztok!

Olyan weblapot kell csinálnom, ami a klienssel titkosított adatcsatornát biztosít a szerverrel. (Lighttpd). Rendben is van, csináltam egy önhitelesítést, működik is a 443-as porton a kommunikáció.
Szembesültem sajnos azzal a problémával, hogy - míg más böngészők legfeljebb egy ablakban figyelmeztetnek arra, hogy nem ellenőrizhető a hitelesítés -, addig az a majom IE egy komplett weboldalon hívja fel a figyelmet arra, hogy a felhasználónak eszébe ne jussson a weblapom megnyitására.
Ez elég suxx, mert zsigerből elrettenti az IE felhasználókat.
Nekem nincs szükségem CA-ra, de titkosításra igen.
Valahol azt olvastam, hogy a ssl-ca=/dev/null-t adjam meg a pam forrásának. Ez, mint az várható volt, nem működik.
Milyen megoldást javasoltok?

Előre is köszönöm.

Pepó

Sziasztok!

Segítséget kérnék, mert nem sikerül burkolnom az ssh-t.
A hosts.allow ALL: ALL, hosts.deny üres. Legalábbis amíg nem sikerül valahogy beizzítanom.

xinetd.conf:

defaults
{
    log_type = SYSLOG daemon info
}

includedir /etc/xinetd.d

service ssh
{
    socket_type = stream
    protocol    = tcp
    wait        = no
    user        = root
    port        = 22
    server      = /usr/sbin/tcpd
    server_args = /usr/sbin/sshd -i 
}

Próbáltam -i nélkül is. PuTTY-al próbálok bejelentkezni, de nem csinál semmit. Még hibaüzenetet sem ad.
Ha átírom az utolsó két bejegyzést erre:

    server      = /usr/sbin/sshd
    server_args = -i

akkor megy. Csak így nem tudom szabályozni a hozzáférést a tcp burkolóval...
tud valaki segíteni?

Tud valaki olyan modulról iptables/netfilter-hez, amely segítségével szó szerint programozni lehet a tűzfalat?

Jelenleg ugye statikus szabályokat lehet felvenni. De olyat már nem lehet csinálni, hogyha egy nem előre megadott tartományba eső IP címmel találkozik, akkor arra egy szabályt hozzon létre.

Tudom hogy IDS-ekkel ezt szépen meg lehet csinálni, csak egy egyszerű feladatért egy IDS-t üzemeltetni nem szeretnék, valamint PCAP-et sem szeretnék hegesztgetni. Meg amúgy is jól jönne egy ilyen "beágyazott nyelv eventekkel".

Sziasztok!

A kérdésem az lenne, hogy miként lehetne a samba szolgáltatást tcpd-vel szabályozni? Nem igazán találok erre megoldást, lehet azért mert fáradt vagyok. Példa inetd.conf állományokat nézegettem, de ott csak swat bejegyzést találtam, az speciel pont nem kell.
Azon filózok, hogy lehet, hogy elég az smb.conf filében a hosts allow meg deny sorokat kitölteni? Igazából akkor lennék nyugodt, ha be lenne állítva mind az /etc/inetd.conf, az /etc/hosts.allow/deny, meg az /etc/samba/smb.conf állományokban, hogy ki jöhet be, és miként legyen a logolás. Van erre mód?

Találtam egy leírást, és jónak tűnik elsőre. /etc/hosts.allow-ba beszúrt bejegyzés:

smbd: 192.168.0.1

Így elvileg pontosan meg tudom mondani, hogy melyik gép jöhet be, csak furcsállom, hogy az inetd.conf-ban nem kell állítani semmit.
Előre is köszönöm a segítséget!

Adott egy szerver, amin van 2 domain, 2-2 virtuális hoszttal.
host1.domain1.hu /home/domain1/host1
host2.domain1.hu /home/domain1/host2
host1.domain2.hu /home/domain2/host1
host2.domain2.hu /home/domain2/host2

FTP-vel nincs semmi gond, az teljesen jó.
A gondom az, hogyha pl a host1.domain1.hu -ra felteszek egy scriptet, ami a könyvtár struktúrát írja ki, azzal el tudom érni a /etc -t a /var -t, és mindent, amit abszolút nem kellene.
Hogyan tudom ezt kiküszöbölni, hogy a dhoszthoz tartozó kezdőmappa az ténylegesen a sajátja legyen, és ne férjen hozzá mások (és főleg a rendszer) dolgaihoz? Mint pl az FTP-nél, ahol a megadott kezdő mappánál nem tud "fentebb" lépni.
Valami olyan beállítás lenne a legjobb, amit az Apache Virtualhostok beállításánál adhatok meg, de sajna még nem sikerült megoldanom ezt a problémát.
Elég fontos lenne, a válaszokat előre is köszönöm.

Hi!

A problemam a kovetketo, egy olyan relay mail gateway-t kellene csinalnom ami minden honnan fogad es kuld leveleket, de elotte hitelesit.

eddig nem fogtam hozza, gyujtom az infokat. Sajnos gyorsan kell megcsinalni, ugyhogy vmi fel megoldas is jo, csak mukodjon :-D utanna mar lehet finomitani.

Elore is koszonom!

Addig google-zom 1000-rel :-D

Tud valaki olyan iptables log analizáló programot, amit egy magamfajta kezdő is könnyen tud telepíteni és konfigurálni?
Elég sokat keresgéltem, de amit eddig találtam, azokkal több problémám van. Vagy valamit mellé kell tanulni (MySQL), vagy egy másik program kell, ami újabb gondokat okoz.
Gyűrkőztem az fwanalog-gal, de ez egy Analog nevű progit igényel, aminél a make után nem tudok tovább lépni, csinál valami html zanzát, de ez nem az, amire gondoltam.
Szóval valami egyszerű kellene...
Ha nincs ilyen, akkor viszont olyan kellene, ami legalább jól dokumentált. :-)
Köszönettel:
SPétör
--
http://spuhulinux.blog.hu

Sziasztok!

A Shorewall-t használtam már régóta, persze már szerettem volna helyette mást használni, de sehgyan sem tudtam olyan akár frontendet, 3rd party alkalmazást találni, ami számomra exzakt lenne. (A Feisty-re frissítve a Shorewall egyátalán nem látszik működőképesnek a korábbi konfigokkal.)

Végül is a hup-ot olvasgatva arra a döntésre jutottam, hogy az iptables-t konfigolom fel manuálisan. Több doksit is átnéztem (köztük pl. régi írásokat a szabilinux-on). Sajnos még mindig hiányzik valami láncszem, hogy megértsem és gyakorlatban tudjam magam konfigolni. Ezért most azt szeretném, hogy segítsetek nekem beállítani. Az alábbi dolgokat szeretném:

1, A proxy 3128-as porton kommunikál, de mert Dansguardian is megy a rendszeren, ezér a proxy-elérést a felhasználók felé a 8080-as porton szeretném használni.
2, A szervergép pop3 és smtp kiszolgálást is ellát.
3, Ssh hozzáférést szeretnék biztostani, de úgy, hogy a jelszórontás esetén fél óra bann legyen.
4, Ping mehet a net felől és a kliensek felől kifelé is.
5, Skype-ot és az msn-ert tudják használni a felhasználók.
6, Egyébként minden más port legyen tiltva.
7, Szeretném ha bemutatnátok, hogyan lehet feloldani portokat. (Kintről befelé.)
8, Ha jól gondolom a munkaállomások felől minden port mehet kifelé, de arra is kíváncsi lennék, hogy hogyan lehetne tiltani szüség esetén a pl. a 192.168.1/24-ről érkező kéréseket pl. a 34223-es porton.
9, Portforwardra nincs szükség csak a 3128-ról 8080-ra de az is localhoston, más irányba semmilyenre nincs szükség.
10, Jó szívell venném, ha esetleg még további ötlettel szolgálnátok.

Nagyon bízom abban, hogy nemcsak nekem, hanem másoknak is nagy segítségére lenne a segítségetekkel sikerülne egy jó iptables konfigot összehozni, és lehetőségem nyílna, hogy így végre összerakjam a képet.

Előre is köszönöm

Miért van az, hogy ez egyszercsak nincs:
list.dsbl.org
meg ez:
relays.mail-abuse.org
stb...
?

qmail rblsmtpd egyébként.

valaki tudja?

Row

Sziasztok!

Szeretnék már végre egy tűzfalprogramnál kikötni. Szóval a kérdésem:
Melyik tűzfalprogit ajánlod, és miért? (Esetleg az ajánlásodban szereplő tűzfalprogramhoz nagyon jó könyvet tudsz ajánlani?)

Előre is köszi.