From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Mon, 28 Aug 2006 08:58:58 +0300 From: "Dmitriy L. Kruglikov" To: sysadmins@lists.altlinux.org Message-Id: <20060828085858.06b6015b.Dmitriy.Kruglikov@orionagro.com.ua> In-Reply-To: References: Organization: ORION-AGRO X-Mailer: Sylpheed version 2.2.6 (GTK+ 2.10.1; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-Virus-Scanned: amavisd-new at orionagro.com.ua Subject: Re: [Sysadmins] =?koi8-r?b?wsXaz9DB087P09TY?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 28 Aug 2006 05:59:38 -0000 Archived-At: List-Archive: On Sun, 27 Aug 2006 17:36:22 +0300 Artem Zolochevskiy wrote: > Скажу сразу, я не спец по безопасности... Ну, особым спецом, в вашем случае, быть и не нужно, но кое-что нужно понимать... Для начала, в консоли от root # netstat -nap И посмотрите, какие порты открыты, особенно, на адресе 0.0.0.0 Проверить, нужны ли вам эти сервисы... > 1. запретить iptables INPUT на необходимые порты Более правильно, запретить все, а потом открыть только то, что действительно нужно. > 2. просто настроить сервисы на слушание определённых > интерфейсов (чтоб не слушали интернет_нитерфейс). И это правильно... > > Что предпочтительнее? Лучше всего комбинировать оба варианта. > Я так понимаю, во втором случае от iptables вообще можно > отказаться? Или даже если на внешнем интерфейсе никаких > сервисов не висит, всё равно стоит что-то подкручивать с > iptables - но тогда что именно? Что есть толкового почитать на > это тему, чтоб кратко и по теме? В Инете примеров и рекомендаций много... > > PS > вопрос возник после того, как только что подняв машину завёл > пользователя admin c паролем admin (думал когда закончу работу > поменяю) поставил ssh и... Будет правильным в конфиге sshd прописать пользователей, которым явно разрешено пользовать ssh ... # cat /etc/openssh/sshd_config ... AllowUsers yourname AllowGroups wheel DenyUsers bin nobody sys DenyGroups users > Я ж не супер-мега сервер какой-то, а > рядовой adsl-щик. Интересно было бы узнать, что именно и куда заливали... Скорее всего, ваш сервер пытались поиметь на предмет рассылать с него спам ... В любом случае, защита сервера или рабочей станции, смотрящей в Инет, вопрос комплексный ... Пишите конкретные вопросы, не оставим без подсказки ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- СОВЕТ НАЧИНАЮЩЕМУ ПРОГРАММИСТУ Никогда не исправляйте найденные ошибки, ибо это повлечет за собой появление неизвестного числа ненайденных. Лучше опишите их в сопроводительной документации как особенность программы.