Kilka Pytań Odnośnie Bezpieczeństwa W F12

[farba]

Jak to jest z Fedorą. Czy nawet wersja z liveCD zawiera to o czym wspominają na stronie jakilinux? Mam na myśli to

Fedora to pierwsza dystrybucja, która w domyślnej instalacji zawarła pakiet SELinux. W dystrybucji znajdziemy również wiele innych funkcji, które zwiększają bezpieczeństwo systemu: Exec-Shield, Compile Time Buffer Checks (FORTIFY_SOURCE), ELF (Executable and Linkable Format) Data Hardening, Restricted Kernel Memory access, Stack Smash Protection, Buffer Overflow Detection i Variable Reordering.

A co z łatą grsecurity i PAX? Jak je nałożyć?

 

p.s. czy skanowanie nmap localhost dające wynik, że wszystkie 1000 portów jest zamkięte jest normalne? ;-) W jaki sposób ukryć wszystkie porty? W wyniku skanowania na stronie GRC jedynie kilka portów miało status stealth

 

p.s 2 Jest jeszcze coś. Pomyślałem, że dopiszę tutaj. Po instalacji Firestartera otrzymuję taki błąd

Error reading /proc/net/ip_conntrack: Nie ma takiego pliku ani katalogu

[@WalDo]

W jaki sposób ukryć wszystkie porty? W wyniku skanowania na stronie GRC jedynie kilka portów miało status stealth

Domyślny firewall w Fedorze jest b.słaby, prawie żaden. Nie jestem supermocny w ustawianiu ogniomurków, ale na szybko przychodzi mi do głowy kilka zasad:

1.Zacznij przede wszystkim od zmodyfikowania domyślnych polityk na poszczególnych łańcuchach. Przynajmniej na INPUT ustaw DROP chociaż oczywiście na wszelki wypadek warto zrobić to samo z OUTPUT i FORWARD. Zamknięcie OUTPUT i FORWARD nieco utrudni życie, bo trzeba będzie wszystko przepuszczać ręcznie tj.dopisywac kolejne regułki (oczywiście przez pewien czas), ale tak jak powiedziałem ostatecznie OUTPUT i FORWARD mogą zostać ACCEPT.

Z pkt 1. wynika 2.Akceptuj tylko połączenia wchodzące zainicjowane po Twojej stronie przez pakiety wychodzące, czyli coś w rodzaju

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Tylko oczywiście ta reguła musi być odpowiednio ustawiona wśród innych.

3.Odpowiadaj tylko na określone pingi z określonymi flagami, pozostałe - DROP

4.W sieci znajdziesz reguły zabezpieczające przed stealth-scan itp czynnościami przygotowującymi atak.

 

p.s 2 Jest jeszcze coś. Pomyślałem, że dopiszę tutaj. Po instalacji Firestartera otrzymuję taki błąd

Error reading /proc/net/ip_conntrack: Nie ma takiego pliku ani katalogu

Osobiście preferuję ręczne wpisywanie reguł niż firestartera, który działa jak dla mnie jakoś dziwnie. Korzystając z serwisu /etc/init.d/iptables i pliku konfiguracyjnego /etc/sysconfig/iptables nigdy nie miałem takich problemów.

 

BTW. Chyba kiedyś już to pisałem, ale powtórzę. Bardzo fajny jest domyślny firewall z LiveCD OpenSUSE. Wystarczy uruchomić i zrzucić do jakiegoś pliku poleceniem iptables-save a na naszym systemie odtworzyć (iptables-restore). Pamiętamy o bakcupie oryginalnego /etc/sysconfig/iptables

 

[kloss72]

Dzięki pomocy WalDo zmodyfikowałem domyślną ścianę - cały skrypt zamieszczam poniżej:

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -i lo -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

-A INPUT -p all -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 51413 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp --dport 51413 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

 

 

 

 

Trzy pierwsze komendy dają pożądany przez ciebie efekt - zamykają wszystkie porty, dwie kolejne zezwalają na ruch wewnętrzny, o trzecim pisze powyżej WalDo (eth0 jest moim domyślnym interfejsem sieciowym), dwie następne otwierają port z którego korzysta program Transmission. Dwie ostatnie wyłączają odpowiedź na pingi. Test z podanej przez Ciebie strony stwierdził, że jestem niewidoczny w sieci

 

 

 

 

Program grsecurity trzeba skompilować samemu - niestety, w repozytoriach nie ma paczki .rpm

 

 

 

[farba]

Dzięki za wyczerpujące odpowiedzi. Jednak są pewne problemy. Kiedy wyczyściłem firewalla (@ kloss72 mój obecny firewall jest łudząco podobny do Twojego) próbując wpisać na nowo regułki, przy tej - właściwie pierwszej, wywalił mi tym

iptables -A INPUT -m --state ESTABLISHED -j ACCEPT
iptables v1.4.5: Couldn't load match `--state':/lib/xtables/libipt_--state.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

a w wersji drugiej

iptables -A input -m state --state ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.

 

W jaki sposób mam zacząć wpisywać Twoje reguły, żeby potem je zapisać i zastosować Kloss72? *filter, :INPUT drop etc występują w pliku iptables w folderze sysconfig, ale tam jest zaznaczone, że nie należy edytować go ręcznie.

A gdybym chciał użyć narzędzia system-config-firewall? Jest tam zakładka moje reguły. Jakie więc rozszerzenie ma mieć plik w którym napisze reguły, żeby wczytać je za pomocą tego narzędzia? Zwykły plik tekstowy? A jaki typ zapory mam wybrać? mangle, nat czy filter? Protokół oczywiście ipv4? A co z ipv6?

Przepraszam za tyle pytań.

 

@kloss72 jeśli chodzi o grsecurity, są paczki .rpm ale tylko dla jajka 2.6.29.x a teraz w F po aktualizacjach jest 2.6.31.6-166.fc12.i686.

[@WalDo]

iptables -A input -m state --state ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.

No bo i prawdę pisze "input" != "INPUT" a w pierwszej wersji reguły zabrakło "state" przed "--state".

[kloss72]

Co się tyczy sposobu (i miejsca) wpisywania reguł - zobacz odpowiedź WalDo na mój post: http://forum.fedora.pl/index.php?s=&sh...st&p=134946

 

Zapora - filter, protokół IPv4, IPv6 nie używam (i chyba nie jestem w tym osamotniony )

[farba]

Ale wiecie co, mimo wyłączenia usługi iptables6 nie mam - według mnie podstawowych - modułów iptables. Nie piszę teraz z Fedory, ale nie mogę załadować ip_conntrack - bo nie ma takiego modułu etc. Próbując odpalić APF z którego de facto byłem jakiś czas temu zadowolony, również wywalił info o braku jakichś modułów.

Nie wiem czy to wina tego, że jest to instalka z LiveCD, ale musiałem doinstalować między innymi gcc, kernel-headers, patch etc. Nie wiem o co chodzi z tym iptables.

 

p.s. zdarłem dzisiaj jajko 2.6.31.8 i patch grsecurity, pax. Po chyba pomyślnej kompilacji, dodaniu odpowiedniego wpisu do gruba, po restarcie i wybraniu tego nowego jajka na pół ekranu wyskoczyło coś w stylu

 [XXXXXX]?
[jakieś liczby]

ale to inna historia, na inny temat ;-)

[@WalDo]

Nie wiem o co chodzi z tym iptables.

To może czas poczytać? → http://docs.fedoraproject.org/security-guide/f12/en-US/html/

O Googlach juz nie wspominam, podobnie jak o świetnej dostępnej online dokumentacji Red Hat. Od CentOS pewnie też można się czegoś nauczyć.

 

BTW Wyłączenie usługi ip6tables nie wyłącza protokołu IPv6 tylko firewall dla tego protokołu. Zapewne polecenie ifconfig nadal pokazuje na interfejsach adresy IPv6. Sam wymyśl co to znaczy

Edytowane Grudzień 16, 2009 przez WalDo