Linux-security

sziasztok,

Beirtam ezt a cikket tobb helyre is, hatha gyorsabban kapok valasz.

A kovetkezo az en gondom.

Van nekem egy Debian Sarge-om 2.6.13-as kernellel benne van az ipsec tamogatasahoz szukseges dolgok.
Racoon-t hasznalok.

kiepul az ipsec tunnel:
IP1 IP2
esp mode=tunnel spi=1878259377(0x6ff3f6b1) reqid=0(0x00000000)
E: 3des-cbc aae340a0 a95b3c00 d508bbba bdc653f0 ae94c09e 04ab25bd
A: hmac-sha1 aec03960 5580ad64 ed8976b3 d7a456dc e7a0b7b4
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Mar 29 14:02:47 2006 current: Mar 29 14:37:04 2006
diff: 2057(s) hard: 3600(s) soft: 2880(s)
last: Mar 29 14:02:47 2006 hard: 0(s) soft: 0(s)
current: 60376(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 445 hard: 0 soft: 0
sadb_seq=3 pid=13214 refcnt=0
IP2 IP1
esp mode=tunnel spi=120415650(0x072d65a2) reqid=0(0x00000000)
E: 3des-cbc 7a810575 a6c4e31d 19ea94fb 54ea7d3b 7f6089a0 70066c32
A: hmac-sha1 696540f3 88313337 a394cff9 09fca6af 8f43a24e
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Mar 29 14:34:37 2006 current: Mar 29 14:37:04 2006
diff: 147(s) hard: 3600(s) soft: 2880(s)
last: hard: 0(s) soft: 0(s)
current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 0 hard: 0 soft: 0
sadb_seq=2 pid=13214 refcnt=0

---------
majd elnyomok egy pinget vagy egy telnetet teljesen mindegy a lenyeg, hogy genarolok forgalmat es kozben dumpolom az interface-t es ezt kapom

14:39:39.921697 IP IP1 > IP2: ESP(spi=0x6ff3357e,seq=0xc13301c1)
14:39:39.944519 IP IP2.isakmp > IP1.isakmp: isakmp: phase 2/others ? inf[E]
14:39:40.926763 IP IP1 > IP2: ESP(spi=0x6ff3357e,seq=0xc13301c2)
14:39:41.930777 IP IP1 > IP2: ESP(spi=0x6ff3357e,seq=0xc13301c3)
14:39:42.934819 IP IP1 > IP2: ESP(spi=0x6ff3357e,seq=0xc13301c4)

gyakorlatilag ez ismetlodik.....latszolag mintha minden rendben lenne, de forgalom az nincsen es az ellenoldal az IP2 bizonyos idokozonkent rekeyinget ker vagy valami. elkezdtuk jobban megnezni, hogy mi lehet a gond.

elsore az latszik, hogy a spi es a seq nem stimmel azzal, amiben eloszor megallapodtak:

a csomagoknal IP1>IP2 -> spi=0x6ff3357e
SA -nal IP1>IP2 -> 0x6ff3f6b1

tehat nem stimmel....igy az ellenoldal nem tudja, hogy milyen SA-val kene dekodolja az en csomagomat...a kerdes az, hogy miert kuldozgetek en teljesen mas SPI-t mint amiben megallapodtunk?

barkinek barmi otlete van erre?

Udv,
Istvan

Helló!

Néhány számítógép átvizsgálásakor a nessus a címben megadott hibaüzenetet adja az első másodpercekben. Furcsa mert sok esetben meg nem és gyakorlatilag a scannelést el sem kezdi mikor ezt egy ablakban kiírja. Tudja valaki, hogy mivel lehetne ezt kijavítani, hogy végigcsinálja az ellenőrzést?

A most megjelent http://hup.hu/node/23003 hír döbbenetén szántam el magam, hogy nyitok egy topicot, ami az aktuális és korábbi biztonsági rések kihasználásának veszélyeivel és annak foltozásával foglalkozik.
Tudom, hogy vannak a neten erre specializálódott siteok, de ha már pár embernek felhívjuk erre a figyelmét, akkor szerintem már megérte megnyitni a topicot.
Szóval aki birtokában van régebbi vagy aktuális konkrét kritikus biztonsági réseknek és főképpen annak javitásának információjával az pls publikálja.
Ne feldjétek el, mi az Open Source oldalon állunk, és a hibákat nem eltitkolni kell, hanem felhívni a veszélyre az emberek figyelmét.
Thx.

Sziasztok!

Debian etch-t használok. Szerverecském naponta küldi nekem mailben a tripwire-reportot. Az eredménnyel kapcsolatosan van 2 kérdésem:

Modified:
"/var/log/mysql/mysql.log"
"/var/log/mysql/mysql.log.1.gz"
"/var/log/mysql/mysql.log.2.gz"
"/var/log/mysql/mysql.log.3.gz"
"/var/log/mysql/mysql.log.4.gz"
"/var/log/mysql/mysql.log.5.gz"
"/var/log/mysql/mysql.log.6.gz"
"/var/log/mysql/mysql.log.7.gz"
"/var/log/mysql.err"
"/var/log/mysql.err.1.gz"
"/var/log/mysql.err.2.gz"
...

Ez gondolom logrotate miatt van, nem? Vagy valaki b@sztatná szinte _minden_ logfilet? :-/ A configban nem változtattam a /var/log-ra vonatkozó default bejegyzést. Tehát van erre vmi racionális magyarázat?

Modified:
"/etc"
"/etc/mtab"
"/etc/resolv.conf"
"/etc/rmtab"

Ok, nyilván mtab, resolv.conf és rmtab tiszta. Ez mind változhat. De az mit jelent, hogy maga a könyvtár, az "/etc" módosult? Ez a jelenség 2 napja jelentkezett, előtte nem volt.

Köszi,
Csaba

Hi all!

Segitséget szeretnék kérni az itt olvasottak alapjan se akkar müködni az "MSN Messenger" különös hiba mivel "Gaim" úgyan ahoz a hálozathoz csatlakozik ugyan az a porton is és működik vele az MSN.

Ez lenne az első hiba ha már ezzen tudnatok segíteni meg köszöném.
Azért a többit is leírom. :)

1.Windos Update&Internet Expoler nem megy , a windows update fontos lenne mert ugy-e szegényem bugos "egy" picit.Nem IE-t használok de azért jó lenne tudni a hiba okát ha legközelebb is ilyenel találkozok akkor legyen miből ihletett meríteni :).

2.A SmartDraw nevezetű program se tud le updatelni templateket a netről.

3. A server az APT nem megy.

4. Hupon nem müködik a beküldés nem tudok hozzá szólni se.

A hibákat úgyis meg vizsgáltam , hogy direktbe köttötem az ADSL modemel úgy viszont müködött minden ahogy kell.

#!/bin/sh

ipt="/sbin/iptables"
inet="ppp0"
ilan="eth1"

echo -n Modulok betoltese...

modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe iptable_filter

echo -n Betoltve!

$ipt -F
$ipt -X
$ipt -Z
$ipt --flush
$ipt --table nat --flush
$ipt --delete-chain
$ipt --table nat --delete-chain

echo -n Szabalyok toltese...

$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD DROP
$ipt -t nat -F

$ipt -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
$ipt --append FORWARD --in-interface $inet -j ACCEPT
$ipt --append FORWARD --in-interface $ilan -j ACCEPT
$ipt -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o $inet -j TCPMSS --set-mss 1452

$ipt -A INPUT -i lo -j ACCEPT
$ipt -A OUTPUT -o lo -j ACCEPT

## SSH
# Kifele meno ssh engedelyezese
$ipt -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

## SSH
# SSHD szerver engedelyezese (+kimeno ssh)
$ipt -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
$ipt -A INPUT -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j ACCEPT

## NTP
# Rdate-nek engedelyezzuk a time.kfki.hu-ra valo accesst
$ipt -A INPUT -s 148.6.0.1 -i $inet -p tcp --sport 37 -m state --state ESTABLISHED -j ACCEPT

# ICMP
# Elfogadjuk azokat az ICMP-ket amelyek related allapotban vannak (pl.: time exceeded (11) traceroute)
# vagy established-ben
$ipt -A INPUT -i $inet -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
# Minden icmp-t kiengedunk.
$ipt -A OUTPUT -o $ilan -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

## LOGGING
# Minden UDP amit eddig a pontig nem engedelyeztunk loggolva van es eldobva
$ipt -A INPUT -i $inet -p udp -j LOG --log-prefix "$ipt UDP-IN: "
$ipt -A INPUT -i $inet -p udp -j DROP
# Ugyanez ICMP-re
$ipt -A INPUT -i $inet -p icmp -j LOG --log-prefix "$ipt ICMP-IN: "
$ipt -A INPUT -i $inet -p icmp -j DROP
# TCP-re ugyanez
$ipt -A INPUT -i $inet -p tcp -j LOG --log-prefix "$ipt TCP-IN: "
$ipt -A INPUT -i $inet -p tcp -j DROP
# Minden mas amit eddig nem engedelyeztunk, eldobasra kerul (tudom mar engdelyeztuk, de paranoid vagyok :))
$ipt -A INPUT -i $inet -j LOG --log-prefix "$ipt PROTOCOL-X-IN: "
$ipt -A INPUT -i $inet -j DROP

echo -n Szabalyok betoltve...

echo -n Kernel flagek betoltese...

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

# Pingre nem valaszolunk (egyes esetekben szukseg van ra)
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Broadcast ICMP reply-ok eldobasa. (Smurf vedelem)
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1

# Source routing letiltasa.
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f;
done

# ICMP redirect letiltasa.
echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 >/proc/sys/net/ipv4/conf/all/send_redirects

# Hibas ICMP csomagokat eldobjuk.
/sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1

# Azon csomagok letiltasa amelyek forrascime nem egyezik meg azzal az interfesszel ahonnan a csomag jon.
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

# Az RP filter altal eldobott packetek loggolasa (martians)
for f in /proc/sys/net/ipv4/conf/*/log_martians; do
echo 1 > $f
done

echo -n Kernel flagek betoltve
echo -n End.

Itt:

http://www.linuxportal.hu/

A kérdésem a következő:
Ha egy alkalmazásra akarok szűrni a kimenő formgalomban, az tiszta, hogy az iptables -m owner --cmd-owner "progi_megnevezese" mire jó, hogy ezt kellene használni.
Azonban a legtöbb szoftverre (pl. böngésző és más egyebek) nevét hiába adom meg, valószínüleg a rendszer ezeken a neveken nem tudja beazonosítani, hogy mire is utalok.
Van rá valami mód, hogy megtudjam, melyik progira milyen névvel hivatkozzak, és esetleg ezeket naplózhassam is? És a naplózást úgy, hogy abban a bármilyen kimenő progi neve is szerepeljen?

remélem, nem fogalmaztam túl kuszán.

Apache+PHP+Drupal

Egy betörés tanulságai.

2.6.x kernel modul fejlesztes