farba Napisano Grudzień 13, 2009 Zgłoszenie Share Napisano Grudzień 13, 2009 Jak to jest z Fedorą. Czy nawet wersja z liveCD zawiera to o czym wspominają na stronie jakilinux? Mam na myśli to Fedora to pierwsza dystrybucja, która w domyślnej instalacji zawarła pakiet SELinux. W dystrybucji znajdziemy również wiele innych funkcji, które zwiększają bezpieczeństwo systemu: Exec-Shield, Compile Time Buffer Checks (FORTIFY_SOURCE), ELF (Executable and Linkable Format) Data Hardening, Restricted Kernel Memory access, Stack Smash Protection, Buffer Overflow Detection i Variable Reordering. A co z łatą grsecurity i PAX? Jak je nałożyć? p.s. czy skanowanie nmap localhost dające wynik, że wszystkie 1000 portów jest zamkięte jest normalne? ;-) W jaki sposób ukryć wszystkie porty? W wyniku skanowania na stronie GRC jedynie kilka portów miało status stealth p.s 2 Jest jeszcze coś. Pomyślałem, że dopiszę tutaj. Po instalacji Firestartera otrzymuję taki błąd Error reading /proc/net/ip_conntrack: Nie ma takiego pliku ani katalogu Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Grudzień 13, 2009 Zgłoszenie Share Napisano Grudzień 13, 2009 W jaki sposób ukryć wszystkie porty? W wyniku skanowania na stronie GRC jedynie kilka portów miało status stealth Domyślny firewall w Fedorze jest b.słaby, prawie żaden. Nie jestem supermocny w ustawianiu ogniomurków, ale na szybko przychodzi mi do głowy kilka zasad: 1.Zacznij przede wszystkim od zmodyfikowania domyślnych polityk na poszczególnych łańcuchach. Przynajmniej na INPUT ustaw DROP chociaż oczywiście na wszelki wypadek warto zrobić to samo z OUTPUT i FORWARD. Zamknięcie OUTPUT i FORWARD nieco utrudni życie, bo trzeba będzie wszystko przepuszczać ręcznie tj.dopisywac kolejne regułki (oczywiście przez pewien czas), ale tak jak powiedziałem ostatecznie OUTPUT i FORWARD mogą zostać ACCEPT. Z pkt 1. wynika 2.Akceptuj tylko połączenia wchodzące zainicjowane po Twojej stronie przez pakiety wychodzące, czyli coś w rodzaju iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Tylko oczywiście ta reguła musi być odpowiednio ustawiona wśród innych. 3.Odpowiadaj tylko na określone pingi z określonymi flagami, pozostałe - DROP 4.W sieci znajdziesz reguły zabezpieczające przed stealth-scan itp czynnościami przygotowującymi atak. p.s 2 Jest jeszcze coś. Pomyślałem, że dopiszę tutaj. Po instalacji Firestartera otrzymuję taki błąd Error reading /proc/net/ip_conntrack: Nie ma takiego pliku ani katalogu Osobiście preferuję ręczne wpisywanie reguł niż firestartera, który działa jak dla mnie jakoś dziwnie. Korzystając z serwisu /etc/init.d/iptables i pliku konfiguracyjnego /etc/sysconfig/iptables nigdy nie miałem takich problemów. BTW. Chyba kiedyś już to pisałem, ale powtórzę. Bardzo fajny jest domyślny firewall z LiveCD OpenSUSE. Wystarczy uruchomić i zrzucić do jakiegoś pliku poleceniem iptables-save a na naszym systemie odtworzyć (iptables-restore). Pamiętamy o bakcupie oryginalnego /etc/sysconfig/iptables Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
kloss72 Napisano Grudzień 14, 2009 Zgłoszenie Share Napisano Grudzień 14, 2009 Dzięki pomocy WalDo zmodyfikowałem domyślną ścianę - cały skrypt zamieszczam poniżej: *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A INPUT -p all -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 51413 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 51413 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT Trzy pierwsze komendy dają pożądany przez ciebie efekt - zamykają wszystkie porty, dwie kolejne zezwalają na ruch wewnętrzny, o trzecim pisze powyżej WalDo (eth0 jest moim domyślnym interfejsem sieciowym), dwie następne otwierają port z którego korzysta program Transmission. Dwie ostatnie wyłączają odpowiedź na pingi. Test z podanej przez Ciebie strony stwierdził, że jestem niewidoczny w sieci Program grsecurity trzeba skompilować samemu - niestety, w repozytoriach nie ma paczki .rpm Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
farba Napisano Grudzień 14, 2009 Autor Zgłoszenie Share Napisano Grudzień 14, 2009 Dzięki za wyczerpujące odpowiedzi. Jednak są pewne problemy. Kiedy wyczyściłem firewalla (@ kloss72 mój obecny firewall jest łudząco podobny do Twojego) próbując wpisać na nowo regułki, przy tej - właściwie pierwszej, wywalił mi tym iptables -A INPUT -m --state ESTABLISHED -j ACCEPT iptables v1.4.5: Couldn't load match `--state':/lib/xtables/libipt_--state.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information. a w wersji drugiej iptables -A input -m state --state ESTABLISHED -j ACCEPT iptables: No chain/target/match by that name. W jaki sposób mam zacząć wpisywać Twoje reguły, żeby potem je zapisać i zastosować Kloss72? *filter, :INPUT drop etc występują w pliku iptables w folderze sysconfig, ale tam jest zaznaczone, że nie należy edytować go ręcznie. A gdybym chciał użyć narzędzia system-config-firewall? Jest tam zakładka moje reguły. Jakie więc rozszerzenie ma mieć plik w którym napisze reguły, żeby wczytać je za pomocą tego narzędzia? Zwykły plik tekstowy? A jaki typ zapory mam wybrać? mangle, nat czy filter? Protokół oczywiście ipv4? A co z ipv6? Przepraszam za tyle pytań. @kloss72 jeśli chodzi o grsecurity, są paczki .rpm ale tylko dla jajka 2.6.29.x a teraz w F po aktualizacjach jest 2.6.31.6-166.fc12.i686. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Grudzień 14, 2009 Zgłoszenie Share Napisano Grudzień 14, 2009 iptables -A input -m state --state ESTABLISHED -j ACCEPT iptables: No chain/target/match by that name. No bo i prawdę pisze "input" != "INPUT" a w pierwszej wersji reguły zabrakło "state" przed "--state". Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
kloss72 Napisano Grudzień 14, 2009 Zgłoszenie Share Napisano Grudzień 14, 2009 Co się tyczy sposobu (i miejsca) wpisywania reguł - zobacz odpowiedź WalDo na mój post: http://forum.fedora.pl/index.php?s=&sh...st&p=134946 Zapora - filter, protokół IPv4, IPv6 nie używam (i chyba nie jestem w tym osamotniony ) Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
farba Napisano Grudzień 16, 2009 Autor Zgłoszenie Share Napisano Grudzień 16, 2009 Ale wiecie co, mimo wyłączenia usługi iptables6 nie mam - według mnie podstawowych - modułów iptables. Nie piszę teraz z Fedory, ale nie mogę załadować ip_conntrack - bo nie ma takiego modułu etc. Próbując odpalić APF z którego de facto byłem jakiś czas temu zadowolony, również wywalił info o braku jakichś modułów. Nie wiem czy to wina tego, że jest to instalka z LiveCD, ale musiałem doinstalować między innymi gcc, kernel-headers, patch etc. Nie wiem o co chodzi z tym iptables. p.s. zdarłem dzisiaj jajko 2.6.31.8 i patch grsecurity, pax. Po chyba pomyślnej kompilacji, dodaniu odpowiedniego wpisu do gruba, po restarcie i wybraniu tego nowego jajka na pół ekranu wyskoczyło coś w stylu [XXXXXX]? [jakieś liczby] ale to inna historia, na inny temat ;-) Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Grudzień 16, 2009 Zgłoszenie Share Napisano Grudzień 16, 2009 (edytowane) Nie wiem o co chodzi z tym iptables.To może czas poczytać? → http://docs.fedoraproject.org/security-guide/f12/en-US/html/ O Googlach juz nie wspominam, podobnie jak o świetnej dostępnej online dokumentacji Red Hat. Od CentOS pewnie też można się czegoś nauczyć. BTW Wyłączenie usługi ip6tables nie wyłącza protokołu IPv6 tylko firewall dla tego protokołu. Zapewne polecenie ifconfig nadal pokazuje na interfejsach adresy IPv6. Sam wymyśl co to znaczy Edytowane Grudzień 16, 2009 przez WalDo Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się