Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam,
Niestety Helion mnie olewa a jestem zainteresowany tą książką Bezpieczeństwo sieci w Linuksie. Wykrywanie ataków i obrona przed nimi za pomocą iptables, psad i fwsnort Autor: Michael Rash.
Może ktoś z Was ją posiada chce ją sprzedać lub może ją wypożyczyć.
Proszę o informację.
Offline
Alledrogo ? → http://allegro.pl/listing.php/search?string=Bezpiecze%C5%84stwo+sieci+w+Linuksie&category=79468&sg=0
Ostatnio edytowany przez drelbrown (2013-02-15 19:26:47)
Offline
niestety to helion i też mają cię w du.... po zakupie nie dostałem książki tylko informację że nie mogą zrealizować totalna porażka z ich strony
Na chomikuj jest ale ktoś skopiował 1 rozdział kilkanaście razy więc bez sensu
Ostatnio edytowany przez redelek (2013-02-15 19:29:34)
Offline
Nie możesz gdzie indziej kupić?
Offline
Ta druga to chyba nie helion → http://allegro.pl/bezpieczenstwo-sieci-w-linuksie-wykrywanie-atakow-i3013111427.html
Offline
już się boję bo nikt nie ma jej fizycznie na stanie, tylko po zakupie kierują do helion prośbę o wydrukowanie. Fizycznie nikt jej nie posiada, dlatego zadałem pytanie tutaj.
Offline
A po co tobieto?
Porządnie skonfigurujesz iptables i gotowe.
Fwsnort przerabia reguły snorta na regułki firewall korzystajać z modułu string - przeszukiwanie regexem pakietów przez fw.
Ani to specjalnie wydajne, ani zbyt doskonałe.
W dodatku fwsnort jest taki skuteczny, że z kilkunastu tysięcy reguł snorta zrobił może ze dwadzieścia regułek firewalla, olewając najważniejsze fitry.
Jak chcesz użyć reguł snorta, to bierz Snorta + (guardian|snortsam), jak chcesz zabezpieczyć sieć wewnętrzną, to bierz Squida z wtyczką do Clama, i pacjentów wygoń na Squida..
Psad natomiast, to jest portscan-detector, do którego jakośtam można podpinać reguły snorta, ale nie zauważyłem, żeby to jakoś wybitnie działało.
Lepiej napisz, co chcesz chronić, to się wyjaśni, czym to najlepiej zrobić.
Ostatnio edytowany przez Jacekalex (2013-02-15 20:12:55)
Offline
Jacekalex, nie jestem taki obcykany jak Ty. A po ostatnim ataku dużo poprawiłem i udało się opanować sytuację. jednak dało mi to dużo do myślenia i śledzenia. Głównie chodzi o zabezpieczenie i ochrone pojedynczych hostów. Podałeś mi w poście rozwiązania o gresecurity na jądro i kilka jeszcze informacji. Ale mam upartych kolegów, którzy nadal skanują mój serwerek, wiem, że w 100% ich nie wytnę ale nie mogę tak tego zostawić, bo skoro nadal skanują serwer to znaczy , że zaraz znajdą jakieś wejście. Więc szukam jakiegoś rozwiązania. Nie chciał bym forum zasypywać pierdołami więc najpierw coś trzeba poczytać :)))
Offline
[quote=redelek]Jacekalex, nie jestem taki obcykany jak Ty. A po ostatnim ataku dużo poprawiłem i udało się opanować sytuację. jednak dało mi to dużo do myślenia i śledzenia. Głównie chodzi o zabezpieczenie i ochrone pojedynczych hostów. Podałeś mi w poście rozwiązania o gresecurity na jądro i kilka jeszcze informacji. Ale mam upartych kolegów, którzy nadal skanują mój serwerek, wiem, że w 100% ich nie wytnę ale nie mogę tak tego zostawić, bo skoro nadal skanują serwer to znaczy , że zaraz znajdą jakieś wejście. Więc szukam jakiegoś rozwiązania. Nie chciał bym forum zasypywać pierdołami więc najpierw coś trzeba poczytać :)))[/quote]
Zainteresuj się modułami xtables-addons.
Jak zapuścisz na całym zakresie portów od 1 do 65535 hashlimit (z wyłączeniem portów usług publicznych), i tego hashlimita ożenisz z modułem TARPIT, to gówniarze od nmapa od razu odpadną.
Próba włamu na ssh, pop3, imap, smtp?
Nie ma zmiłuj się, hashlimit albo recent, ban na godzinę po trzech próbach, i gotowe.
Http?
Od Snorta lepiej się sprawdzi co?
Jak znasz dobrze program na serwerze, i strukturę wywołań GET i POST, to możesz ograniczyć ich rozmiary w Nginxie, i filtrować je regexem do woli.
Nie znasz regexu? Najwyzej za Nginxiem Apache z zestawem reguł mod-security - też jest to szybsze od Snorta.
Snort? - dość ciężko się go integruje z firewallem?
Właśnie przerabiam Guardniana, żeby pasowal do rsysloga, chodził na sockecie /dev/snort i pakował gówniarzy do ipseta.
Tablicę ipseta możesz użyć w 250 rożnych regułach do woli.
Znajdą wejście?
Chyba do własnej dooopy.
Robię teraz pancerny serwerek.
Będzie na nim m.in Worpress.
Jak tego Wordpressa robię?
Osobny użytkownik systemowy, Mysql dla użytkownika Web tylko Select,dla admina pełne uprawnienia.
To samo do plików.
jak to zrobić?
dwóch użytkowników, do table w bazie i dwóch systemowych.
Jak to zrobić?
Wordpress stoi na razie na Lighttpd i ma tylko select do bazy, leci bez hasła przez sql-safe-mode.
Dodatkowo, php idzie przez php-fpm - który nie ma prawa zapisu w folderach Wordpressa poza absolutnie niezbędnymi.
Jak tym zarządzać?
Za Lighttpd kryje się Apache dostępny po ssl, ale żeby się do niego dostać, trzeba mieć certyfikat ssl pkcs12, bo inaczej dooopppaaa blada.
Ten apache ma właśnie mod-security, evasive, i służy do różnych rzeczy administracyjnych, włącznie np z phpmyadminem i podobnymi bzdurami.
IPS?
Swatch, albo taki drobiazg naszego forumowego Kolegi:
http://debian.linux.pl/entries/30-Implementacja-systemu-aktywnego-przeciwdzia%C5%82ania-intruzom-%28IPS%29-w-Pythonie-cz.-1
I oczywiście Snortem też się można bawić, jednak jak na mój gust ma za dużo fałszywych alarmów.
Ale przynajmniej działa.
W Linuxie masz spro zabawek do aktywnej obrony.
Poza tym, chcesz PSAD? to go zainstaluj, i tu masz przepis:
http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/
Fwsnort?
http://bodhizazen.net/Tutorials/psad
Z tą uwagą, że do blacklist nie iptables tylko ipset.
Użycie ipseta?
iptables -t raw -I PREROUTING -p tcp -m set --match-set peerblock src -j NOTRACK iptables -t mangle -I INPUT -p tcp -m set --match-set peerblock src -j TARPIT --honeypot
I np taki skrypt: - działa, choć jest strasznie chaotycznie zrobiony po ostatnich przeróbkach:
http://jacekalex.sh.dug.net.pl/spamhaus
Eskalacja uprawnień? jest taki mały programik ninja, możesz też go dorzucić.
W każdym razie masz dość rozmaitej artylerii, żeby się bronić przed włamaniem na serwer.
W ten sposób szybciej postawisz pancerny serwer, niż przeczytasz i ogarniesz książkę.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2013-02-16 18:49:50)
Offline
pokłon szacunek i 17000 dugolandów dla Ciebie. Dzięki jacekalex za kolejną pomoc i informacje . Teraz to zaszaleję.
Offline
[PYTANIE] Jacekalex nie myślałeś kiedyś o napisaniu książki, czy jakiś szkoleniach z zakresu zabezpieczeń? [/PYTANIE]
Ostatnio edytowany przez thomsson (2013-02-16 17:18:16)
Offline
[quote=thomsson][PYTANIE] Jacekalex nie myślałeś kiedyś o napisaniu książki, czy jakiś szkoleniach z zakresu zabezpieczeń? [/PYTANIE][/quote]
Szkoleniach nie, książki też nie.
Wszystko macie w Synapticu, ja mam w Portage - i nie żartuje.
Każdy serwer WWW jaki znam, ma filtrowanie zapytań GET i POST przy pomocy Regexu - wyrażeń regularnych.
Pytanie: co można zrobić przy pomocy regexu? :D
W dodatku, Linux jest tak projektowany, żeby wytrzymał wszystko, co może mu się przytrafić.
Trzeba tylko pokombinować z tymi narzędziami, zamiast marzyć o jakimś "dokręcaniu śruby w maśle" czyli cudownym "antywirusie".
A wspomniana książka? Książkę o Linuxie wtedy warto kupić, jak napisali ją i wydrukowali najpóźniej 18 miesięcy temu.
Potem jest już coraz to bardziej nieaktualna.
A jak masz pytania do jakiegoś dość popularnego programu, jak np PSAD, to ja nie znam takiego programu, który nie ma jakiejś instrukcji lub wiki na stronie projektu, i ktoś go nie opisał na blogu tu czy tam.
Jak koniecznie chcesz wydać na powszechnie dostępną wiedzę kilka złotych, to wiele projektów na Linuxa ma na stronie taki sznurek: DONATE. :D
Pozdrawiam
;-)
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00007 | SET NAMES latin2 |
0.00102 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.224.69.176' WHERE u.id=1 |
0.00076 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.224.69.176', 1732469642) |
0.00049 | SELECT * FROM punbb_online WHERE logged<1732469342 |
0.00050 | SELECT topic_id FROM punbb_posts WHERE id=224671 |
0.00006 | SELECT id FROM punbb_posts WHERE topic_id=22966 ORDER BY posted |
0.00086 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=22966 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00212 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=22966 ORDER BY p.id LIMIT 0,25 |
0.00096 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=22966 |
Total query time: 0.007 s |