Forum Debian Users Gang

Alledrogo ?  → http://allegro.pl/listing.php/search?string=Bezpiecze%C5%84stwo+sieci+w+Linuksie&category=79468&sg=0

Ostatnio edytowany przez drelbrown (2013-02-15 19:26:47)

Nie możesz gdzie indziej kupić?

już się boję bo nikt nie ma jej fizycznie na stanie, tylko po zakupie kierują do helion prośbę o wydrukowanie. Fizycznie nikt jej nie posiada, dlatego zadałem pytanie tutaj.

Jacekalex, nie jestem taki obcykany jak Ty. A po ostatnim ataku dużo poprawiłem i udało się opanować sytuację. jednak dało mi to dużo do myślenia i śledzenia. Głównie chodzi o zabezpieczenie i ochrone pojedynczych hostów. Podałeś mi w poście rozwiązania o gresecurity na jądro i kilka jeszcze informacji. Ale mam upartych kolegów, którzy nadal skanują mój serwerek, wiem, że w 100% ich nie wytnę ale nie mogę tak tego zostawić, bo skoro nadal skanują serwer to znaczy , że zaraz znajdą jakieś wejście. Więc szukam jakiegoś rozwiązania. Nie chciał bym forum zasypywać pierdołami więc najpierw coś trzeba poczytać :)))

[quote=redelek]Jacekalex, nie jestem taki obcykany jak Ty. A po ostatnim ataku dużo poprawiłem i udało się opanować sytuację. jednak dało mi to dużo do myślenia i śledzenia. Głównie chodzi o zabezpieczenie i ochrone pojedynczych hostów. Podałeś mi w poście rozwiązania o gresecurity na jądro i kilka jeszcze informacji. Ale mam upartych kolegów, którzy nadal skanują mój serwerek, wiem, że w 100% ich nie wytnę ale nie mogę tak tego zostawić, bo skoro nadal skanują serwer to znaczy , że zaraz znajdą jakieś wejście. Więc szukam jakiegoś rozwiązania. Nie chciał bym forum zasypywać pierdołami więc najpierw coś trzeba poczytać :)))[/quote]
Zainteresuj się modułami xtables-addons.
Jak zapuścisz na całym zakresie portów  od 1 do 65535 hashlimit (z wyłączeniem portów usług publicznych), i tego hashlimita ożenisz z modułem TARPIT, to gówniarze od nmapa od razu odpadną.

Próba włamu na ssh, pop3, imap, smtp?
Nie ma zmiłuj się, hashlimit albo recent, ban na godzinę po trzech próbach, i gotowe.

Http?
Od Snorta lepiej się sprawdzi co?
Jak znasz dobrze program na serwerze, i strukturę wywołań GET i POST, to możesz ograniczyć ich rozmiary w Nginxie, i filtrować je regexem do woli.
Nie znasz regexu? Najwyzej za Nginxiem Apache z zestawem reguł mod-security - też jest to szybsze od Snorta.

Snort? - dość ciężko się go integruje z firewallem?

Właśnie przerabiam Guardniana, żeby pasowal do rsysloga, chodził na sockecie /dev/snort i pakował gówniarzy do ipseta.
Tablicę ipseta możesz użyć w 250 rożnych regułach do woli.

Znajdą wejście?
Chyba do własnej dooopy.
Robię teraz pancerny serwerek.
Będzie na nim m.in Worpress.

Jak tego Wordpressa robię?
Osobny użytkownik systemowy, Mysql dla użytkownika Web tylko Select,dla admina pełne uprawnienia.
To samo do plików.
jak to zrobić?
dwóch użytkowników, do table w bazie i dwóch systemowych.

Jak to zrobić?
Wordpress stoi na razie na Lighttpd i ma tylko select do bazy, leci bez hasła przez sql-safe-mode.
Dodatkowo, php idzie przez php-fpm - który nie ma prawa zapisu w folderach Wordpressa poza absolutnie niezbędnymi.
Jak tym zarządzać?
Za Lighttpd kryje się Apache dostępny po ssl, ale żeby się do niego dostać, trzeba mieć certyfikat ssl pkcs12, bo inaczej dooopppaaa blada.
Ten apache ma właśnie mod-security, evasive, i służy do różnych rzeczy administracyjnych, włącznie np z phpmyadminem i podobnymi bzdurami.

IPS?
Swatch, albo taki drobiazg naszego forumowego Kolegi:
http://debian.linux.pl/entries/30-Implementacja-systemu-aktywnego-przeciwdzia%C5%82ania-intruzom-%28IPS%29-w-Pythonie-cz.-1

I oczywiście Snortem też się można bawić, jednak jak na mój gust ma za dużo fałszywych alarmów.
Ale przynajmniej działa.

W Linuxie masz spro zabawek do aktywnej obrony.
Poza tym, chcesz PSAD? to go zainstaluj, i tu masz przepis:
http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/
Fwsnort?
http://bodhizazen.net/Tutorials/psad

Z tą uwagą, że do blacklist nie iptables tylko ipset.
Użycie ipseta?

iptables -t raw -I  PREROUTING -p tcp  -m set --match-set peerblock src -j NOTRACK
iptables -t mangle -I INPUT   -p tcp  -m set --match-set peerblock src -j TARPIT --honeypot

I np taki skrypt: - działa, choć jest strasznie chaotycznie zrobiony po ostatnich przeróbkach:
http://jacekalex.sh.dug.net.pl/spamhaus


Eskalacja uprawnień? jest taki mały programik ninja, możesz też go dorzucić.
W każdym razie masz dość rozmaitej artylerii, żeby się bronić przed włamaniem na serwer.
W ten sposób szybciej postawisz pancerny serwer, niż przeczytasz i ogarniesz książkę.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2013-02-16 18:49:50)

[PYTANIE] Jacekalex nie myślałeś kiedyś o napisaniu książki, czy jakiś szkoleniach z zakresu zabezpieczeń? [/PYTANIE]

Ostatnio edytowany przez thomsson (2013-02-16 17:18:16)