ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
From: "Dmitriy L. Kruglikov" <Dmitriy.Kruglikov@orionagro.com.ua>
To: sysadmins@lists.altlinux.org
Subject: Re: [Sysadmins] безопасность
Date: Mon, 28 Aug 2006 08:58:58 +0300
Message-ID: <20060828085858.06b6015b.Dmitriy.Kruglikov@orionagro.com.ua> (raw)
In-Reply-To: <ecsana$pgm$1@sea.gmane.org>

On Sun, 27 Aug 2006 17:36:22 +0300 Artem Zolochevskiy wrote:

> Скажу сразу, я не спец по безопасности...
Ну, особым спецом, в вашем случае, быть и не нужно, 
но кое-что нужно понимать...
Для начала, в консоли от root
# netstat -nap
И посмотрите, какие порты открыты, особенно, на адресе
0.0.0.0
Проверить, нужны ли вам эти сервисы...
> 1. запретить iptables INPUT на необходимые порты
Более правильно, запретить все, а потом открыть только то, что
действительно нужно.
> 2. просто настроить сервисы на слушание определённых
> интерфейсов (чтоб не слушали интернет_нитерфейс).
И это правильно...
> 
> Что предпочтительнее?
Лучше всего комбинировать оба варианта.

> Я так понимаю, во втором случае от iptables вообще можно
> отказаться? Или даже если на внешнем интерфейсе никаких
> сервисов не висит, всё равно стоит что-то подкручивать с
> iptables - но тогда что именно? Что есть толкового почитать на
> это тему, чтоб кратко и по теме?
В Инете примеров и рекомендаций много...

> 
> PS
> вопрос возник после того, как только что подняв машину завёл
> пользователя admin c паролем admin (думал когда закончу работу
> поменяю) поставил ssh и... 
Будет правильным в конфиге sshd прописать пользователей, которым
явно разрешено пользовать ssh ...
# cat /etc/openssh/sshd_config
...
AllowUsers yourname
AllowGroups wheel
DenyUsers bin nobody sys
DenyGroups users

> Я ж не супер-мега сервер какой-то, а
> рядовой adsl-щик.
Интересно было бы узнать, что именно и куда заливали...
Скорее всего, ваш сервер пытались поиметь на предмет рассылать с
него спам ...

В любом случае, защита сервера или рабочей станции, смотрящей в
Инет, вопрос комплексный ...
Пишите конкретные вопросы, не оставим без подсказки ...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
СОВЕТ НАЧИНАЮЩЕМУ ПРОГРАММИСТУ
  Никогда не исправляйте найденные ошибки, ибо это повлечет за
собой появление неизвестного числа ненайденных. Лучше опишите их
  в сопроводительной документации как особенность программы.


  reply	other threads:[~2006-08-28  5:58 UTC|newest]

Thread overview: 20+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2006-08-27 14:36 Artem Zolochevskiy
2006-08-28  5:58 ` Dmitriy L. Kruglikov [this message]
2006-08-28  9:10   ` Konstantin A. Lepikhov
2006-08-28  6:41 ` Dmitriy L. Kruglikov
2006-08-28  8:18 ` Sergei Boudnik
2006-08-28  8:44   ` ABATAPA
2006-08-28  9:42     ` Sergei Boudnik
2006-08-28  9:56       ` ABATAPA
2006-08-28 10:11         ` Sergei Boudnik
2006-08-28 10:29           ` ABATAPA
2006-08-28 10:11         ` Dmitriy L. Kruglikov
2006-08-28 15:59         ` Olvin
2006-08-28 16:43           ` ABATAPA
2006-08-28 18:52             ` Sergei Boudnik
2006-08-29  6:31               ` ABATAPA
2006-08-29  9:15                 ` Sergiy Guminilovych
2006-08-29  9:20                   ` Vladimir V. Kamarzin
2006-08-29  9:27                     ` Sergiy Guminilovych
2006-08-29  9:35                       ` ABATAPA
2006-08-29  9:53                         ` Sergiy Guminilovych

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20060828085858.06b6015b.Dmitriy.Kruglikov@orionagro.com.ua \
    --to=dmitriy.kruglikov@orionagro.com.ua \
    --cc=sysadmins@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git