Sada je: 23 lis 2019, 13:41.
Linux, poslužitelj, mreže i sigurnost

Moderator/ica: Moderatori/ce

MODERATOROVA opaska: ako imate vlastiti server, ni pod razno nemojte implementirati predloženi firewall prije nego ga pogledate jer će gotovo garantirano prouzročiti probleme.

Duze vreme nalazim razna podesavanja za linux pa sam najzad pronasao sta se treba uraditi na linux radi sopstvene zastite od raznih zlonamernih skripti i hakera, pa cu vam objasniti ukratko.
Pre nego sto ukljucite internet podesite vas ufw-gufw incoming deny i outgoing deny pa zatim sledece portove allow: 53,631,80,443,5353,8080,http,https . Kao sto vidite ne morate instalirati skripte za mail skype ili ostalo ukoliko koristite desktop linux dovoljno je imati http i https.

Zatim pre konekcije destiklirajte backport za apdjetovanje, kada ste to uradili konektujte se na internet i
izvrsite dopunu za vas linux update,upgrade,dist-upgrade.

E sad krecemo na iptables u vas terminal instalirati za iptables persistent kako bi kasnije sacuvano podesavanje iptables bilo dostupno ukoliko se izbrise
Kod: Označi sve
 sudo apt-get install iptables-persistent

Kada ste to uradili, skinete sa pastebin sajta iptables remix podesavanje za hard sigurnost

Pastebin-iptables
Videcete unutar skripte
Kod: Označi sve
 $IPT -A INPUT -i enp0s20   -s desktop   -j In_RULE_0

enp0s20 - je ime za moju network card - vi upisite vasu.
desktop - je hostname mog Linuksa ' vi upisite ime vaseg.
Zatim skrolujte skriptom na dole i pri kraju, nacicete jos jednom upisano hostname promenite vasim hostname. Medjutim, da se nebi zbunili zasto sam ubacio dport i sport , hteo sam konfigurisati iptables za desktop i server linux, a zasto sam podesio double drop port? Zato sto, zlonamerni kodovi koji dolaze izvan vase lokacije mogu uleteti i ako imate podesen iptables pa i ufw-gufw.

-Pozeljno je zatim, instalirati new kernel 4.6.3 ili 4.7

-Otvorite firefox ukoliko koristite i upisite about:config zatim u adres baru ukucate:
media.peerconnection.enable i klik kako bi to postalo false
ovaj false iskljucuje WebRTC detekciju

Sledece je instalacija firejail i firetools izolacija, skinuti deb pakete sa linka:
https://firejail.wordpress.com/
-U slucaju da nije jedan paket instaliran i pokazuje error, u vas terminal ukucate
Kod: Označi sve
 apt-get install -f


Da bi podesili izolaciju za firefox otvorite firetools i na firefox skrolujte na edit i upisite:
Kod: Označi sve
 firejail --seccomp  --dns=8.8.8.8 --dns=8.8.4.4 firefox -no-remote

-Ukoliko ne zelite da koristite terminal vec samo GUI skripte za apdejtovanje i ostalo u terminal ukucati:
Kod: Označi sve
 usermod --shell /usr/bin/firejail vasusername


-usermod ce izolirati sve moguce komande kroz bash, shell, telnet, sudo i root komande kao i lozinku pa i kradju fajlova poput citanja shadow i ostalo, ukoliko vam je kojim slucajem backdoor i linux bice izolovan i haker nece imati nikakvog pristupa fajlovima i vasem kucanju sa tastature.

E sad sledi jos jedan delic a to je antivirus njega mozete a i ne morate instalirati, u pitanju je clamTK, rkhunter, charootkit. Kao sto sam rekao vas je izbor hocete li instalirati ili Ne. Ja nemam instaliran jer koristim firejail, iptables, ufw-gufw i pametan surfing kao i download.

-Tor_Browser mozete instalirati ukoliko volite deepweb, u konfiguraciji tokom startovanja izabracete opciju koja pokazuje da vas firewall ne dozvoljava proxy to ce vam podesiti tor browser za 80,433 port. A ukoliko zelite instalirati u ceo sistem Linuksa instalirajte samo tor bez privoxy i bez polipo zatim u
sistem proxy network samo u socks kolonu upisete : 127.0.0.1 port 9050 ali onda morate podesiti skriptu za iptables ACCEPT 9050 i takodje u ufw-gufw allow 9050.


Ukoliko imate pitanja krenite....
Postovi: 17
Postovi: 17
Pridružen/a: 19 srp 2016, 10:09
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Ubuntu-MATE
banetomic je napisao/la:Ukoliko imate pitanja krenite....

Pošto Chromium već ima sandbox, a firefox na linuxu nema, je li velika razlika između Chromium sandboxa i kombinacije Firefox - Firejail?
Avatar
Postovi: 1893
Postovi: 1893
Pridružen/a: 16 tra 2011, 08:34
Lokacija: i grupa Film
Podijelio/la zahvalu: 45 puta
Primio/la zahvalu: 338 puta
Spol: M
OS: Mint 10 LXDE itd...
jurastublic je napisao/la:Pošto Chromium već ima sandbox, a firefox na linuxu nema, je li velika razlika između Chromium sandboxa i kombinacije Firefox - Firejail?

Komande koje upisujes za firejail firefox iste su za chromium, firejail je dodatak za sve programe pa cak i za ceo linux na primer
Kod: Označi sve
  usermod --shell /usr/bin/firejail vasusername 

ovom komandom zakljucava se ceo rad van GUI programske grafike, poput terminala, shell, telnet, ftp, kradja lozinke i ostalo, na primer ukucas apt-get update nece raditi sudo nece raditi wget i ostale komenade takodje nece raditi totalna izolacija Linuxa uz pomoc firejail. Preporucujem ti firejail takodje za chromium, jer je firejail bolji ali opet laksi za firefox, nece nista skoditi ako se instalira firefox uz pomoc firejail bice odlicna sigurnost.
Postovi: 17
Postovi: 17
Pridružen/a: 19 srp 2016, 10:09
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Ubuntu-MATE
Kako radi točno to? Ovo zvuči kao da se podiže u nekom izoliranom userspaceu tipa lxc.
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Avatar
Moderator
Postovi: 9902
Moderator
Postovi: 9902
Pridružen/a: 07 pro 2007, 18:07
Podijelio/la zahvalu: 158 puta
Primio/la zahvalu: 269 puta
Spol: Y
OS: utuntu 17.04
shrike je napisao/la:Kako radi točno to? Ovo zvuči kao da se podiže u nekom izoliranom userspaceu tipa lxc.


Upravo to, izolirani Linux se dobija komandom usermod preko shell-a uz firejail vasekorisnickoime, moram da napomenem da se cak i root izolira i ako ste samo izolirali vas username. Dobijate izolacioni Linux zato je pozeljno da sve sto ima veze sa terminal instalacijama prvo skinete i instalirate i podesite config ukoliko je potrebno za nesto pa tek kasnije uraditi izolaciju jer posle necete moci nista raditi sa config opcijama u terminal necete moci ni menjat konfiguracije, cak ni doci do njih uz pomoc terminala ili root&sudo koriscenja.
Postovi: 17
Postovi: 17
Pridružen/a: 19 srp 2016, 10:09
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Ubuntu-MATE
Sve radi i dalje kako je radilo , nesto poput totalne blokade koju imaju Guest na vasem linux-u, samo jace od toga.
Postovi: 17
Postovi: 17
Pridružen/a: 19 srp 2016, 10:09
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Ubuntu-MATE
Ukoliko imate chromium ili chrome komanda koju cete u firetools gde je chromium otici na Edit i upisati :
Kod: Označi sve
 firejail --seccomp  --dns=8.8.8.8 --dns=8.8.4.4 chromium -no-remote

Ovo vam je high security sto znaci slobodni surfing za bankovne racune
Postovi: 17
Postovi: 17
Pridružen/a: 19 srp 2016, 10:09
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Ubuntu-MATE
za iptables ukoliko neko nije znao komande koje ubacuje u iptables posle restarta znaju se izgubiti zato se instalira
Kod: Označi sve
      sudo apt-get install iptables-persistent

i kad ste kopirali iptables skriptu koju sam vam ovde dao uradicete samo
Kod: Označi sve
     sudo netfilter-persistent save

kako bi spasili tabelu koju ste konfigurisali a ukoliko je slucajno izbriste cackanjem iptables -F vracate je komandom
Kod: Označi sve
     sudo netfilter-persistent reload
Postovi: 17
Postovi: 17
Pridružen/a: 19 srp 2016, 10:09
Podijelio/la zahvalu: 2 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Ubuntu-MATE

Na mreži
Trenutno korisnika/ca: / i 1 gost.