[Sysadmins] безопасность

[Sysadmins] безопасность

[Artem Zolochevskiy]

hi all

Скажу сразу, я не спец по безопасности...

компьютер большую часть времени подключен к интернет. на нём крутятся
vsftpd,apache,postfix,popa3d. Я верно понимаю, что чтоб обезопасить себя
снаружи я имею 2 пути
1. запретить iptables INPUT на необходимые порты
2. просто настроить сервисы на слушание определённых интерфейсов (чтоб не
слушали интернет_нитерфейс).

Что предпочтительнее?
Я так понимаю, во втором случае от iptables вообще можно отказаться?
Или даже если на внешнем интерфейсе никаких сервисов не висит, всё равно
стоит что-то подкручивать с iptables - но тогда что именно?
Что есть толкового почитать на это тему, чтоб кратко и по теме?

PS
вопрос возник после того, как только что подняв машину завёл пользователя
admin c паролем admin (думал когда закончу работу поменяю) поставил ssh
и... пошёл на 10 мин в туалет. Когда вернулся дело было уже сделано - уже
кто-то приконектился и начал что-то на мою машину заливать. Удивительно
даже - маньяки какие-то... Я ж не супер-мега сервер какой-то, а рядовой
adsl-щик.

--
Artem Zolochevskiy

Re: [Sysadmins] безопасность

[Dmitriy L. Kruglikov]

On Sun, 27 Aug 2006 17:36:22 +0300 Artem Zolochevskiy wrote:

> Скажу сразу, я не спец по безопасности...
Ну, особым спецом, в вашем случае, быть и не нужно, 
но кое-что нужно понимать...
Для начала, в консоли от root
# netstat -nap
И посмотрите, какие порты открыты, особенно, на адресе
0.0.0.0
Проверить, нужны ли вам эти сервисы...
> 1. запретить iptables INPUT на необходимые порты
Более правильно, запретить все, а потом открыть только то, что
действительно нужно.
> 2. просто настроить сервисы на слушание определённых
> интерфейсов (чтоб не слушали интернет_нитерфейс).
И это правильно...
> 
> Что предпочтительнее?
Лучше всего комбинировать оба варианта.

> Я так понимаю, во втором случае от iptables вообще можно
> отказаться? Или даже если на внешнем интерфейсе никаких
> сервисов не висит, всё равно стоит что-то подкручивать с
> iptables - но тогда что именно? Что есть толкового почитать на
> это тему, чтоб кратко и по теме?
В Инете примеров и рекомендаций много...

> 
> PS
> вопрос возник после того, как только что подняв машину завёл
> пользователя admin c паролем admin (думал когда закончу работу
> поменяю) поставил ssh и... 
Будет правильным в конфиге sshd прописать пользователей, которым
явно разрешено пользовать ssh ...
# cat /etc/openssh/sshd_config
...
AllowUsers yourname
AllowGroups wheel
DenyUsers bin nobody sys
DenyGroups users

> Я ж не супер-мега сервер какой-то, а
> рядовой adsl-щик.
Интересно было бы узнать, что именно и куда заливали...
Скорее всего, ваш сервер пытались поиметь на предмет рассылать с
него спам ...

В любом случае, защита сервера или рабочей станции, смотрящей в
Инет, вопрос комплексный ...
Пишите конкретные вопросы, не оставим без подсказки ...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
СОВЕТ НАЧИНАЮЩЕМУ ПРОГРАММИСТУ
  Никогда не исправляйте найденные ошибки, ибо это повлечет за
собой появление неизвестного числа ненайденных. Лучше опишите их
  в сопроводительной документации как особенность программы.

Re: [Sysadmins] безопасность

[Dmitriy L. Kruglikov]

On Sun, 27 Aug 2006 17:36:22 +0300 Artem Zolochevskiy wrote:

> hi all
> 
> Скажу сразу, я не спец по безопасности...
Вот, по быстрому, набросал для вас заметочку...
http://www.freesource.info/wiki/ALTLinux/Dokumentacija/Bezopasnost
Писал наспех, особо не ругайте ...
Дополнения приветствуются :)

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Не тот писатель оригинален, которому никто не подражает, а тот,
кому никто не в силах подражать.
		-- М.Шатобриан

Re: [Sysadmins] безопасность

[Sergei Boudnik]

Artem Zolochevskiy пишет:

> компьютер большую часть времени подключен к интернет. на нём крутятся
> vsftpd,apache,postfix,popa3d. Я верно понимаю, что чтоб обезопасить себя
> снаружи я имею 2 пути
> 1. запретить iptables INPUT на необходимые порты

Правильнее будет разрешить то, что нужно, а по-умолчанию сделать DROP

> 2. просто настроить сервисы на слушание определённых интерфейсов (чтоб не
> слушали интернет_нитерфейс).

Там, где сервисы это умеют - обязательно ограничить их настройками.
> 
> Что предпочтительнее?

Оба метода только дополняют друг-друга, а не заменяют.

> Я так понимаю, во втором случае от iptables вообще можно отказаться?

А вот этого делать крайне не рекомендуется. Лучше изучите возможности 
iptables, и тогда подобные мысли у Вас уже возникать не будут.

> Что есть толкового почитать на это тему, чтоб кратко и по теме?

http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html
> 
> вопрос возник после того, как только что подняв машину завёл пользователя
> admin c паролем admin (думал когда закончу работу поменяю) поставил ssh

А вот так никогда больше не делайте. Ну, Вы сами теперь знаете :)


-- 

WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================> hi all
 >
 > Скажу сразу, я не спец по безопасности...
 >
Trap for spam & virii:
trap@wildlist.org.ua

Re: [Sysadmins] безопасность

[ABATAPA]

28 августа 2006 12:18, Sergei Boudnik написал:
> Правильнее будет разрешить то, что нужно, а по-умолчанию сделать DROP
Я бы не сказал, что DROP - это правильно. Ибо это, во-первых, позволяет при 
сканировании определить использующиеся порты, а во-вторых, при работе через 
спутник может дать кое-кому хороший шанс...
use REJECT reject-with tcp-reset

-- 
ABATAPA

Re: [Sysadmins] безопасность

[Konstantin A. Lepikhov]

<цитата от="Dmitriy L. Kruglikov">
<skip>
> Будет правильным в конфиге sshd прописать пользователей, которым
> явно разрешено пользовать ssh ...
> # cat /etc/openssh/sshd_config
> ...
> AllowUsers yourname
> AllowGroups wheel
> DenyUsers bin nobody sys
> DenyGroups users
проще запретить авторизацию по паролью и настроить hosts.*, чем заниматься
такими извращениями. just my $0.02

-- 
WBR et al.

Re: [Sysadmins] безопасность

[Sergei Boudnik]

ABATAPA пишет:
> 28 августа 2006 12:18, Sergei Boudnik написал:
> 
>>Правильнее будет разрешить то, что нужно, а по-умолчанию сделать DROP
> 
> Я бы не сказал, что DROP - это правильно. Ибо это, во-первых, позволяет при 
> сканировании определить использующиеся порты, а во-вторых, при работе через 
> спутник может дать кое-кому хороший шанс...
> use REJECT reject-with tcp-reset
> 
ICMP пакеты - хорошее средство для DDoS-атак, да и попадание на трафике 
может получиться не малое. Поэтому политика (-P) REJECT в iptables не 
предусмотрена.


-- 

WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================
Trap for spam & virii:
trap@wildlist.org.ua

Re: [Sysadmins] безопасность

[ABATAPA]

28 августа 2006 13:42, Sergei Boudnik написал:
> да и попадание на трафике может получиться не малое.
Рассказать, как при DROP и при наличии "добрых" людей может быть "попадание" 
на трафике, идущем со спутника?

> Поэтому политика (-P) REJECT в iptables не предусмотрена. 
А и не нужно. Для открытых TCP можно прописАть и так, а для закрытых - icmp 
reject пойдет и так. А тех админов и сети, которые полностью закрывают у себя 
icmp, нужно, как минимум, переучивать, а максимум - ...
-- 
ABATAPA

Re: [Sysadmins] безопасность

[Sergei Boudnik]

ABATAPA пишет:
> 28 августа 2006 13:42, Sergei Boudnik написал:
> 
>>да и попадание на трафике может получиться не малое.
> 
> Рассказать, как при DROP и при наличии "добрых" людей может быть "попадание" 
> на трафике, идущем со спутника?
> 
Тут уж палка о двух концах - и бороться с этим надежнее будет "руками".
> 
>>Поэтому политика (-P) REJECT в iptables не предусмотрена. 
> 
> А и не нужно. Для открытых TCP можно прописАть и так, а для закрытых - icmp 
> reject пойдет и так. А тех админов и сети, которые полностью закрывают у себя 
> icmp, нужно, как минимум, переучивать, а максимум - ...
К сожалению, эти болезни не всегда лечатся ;)


-- 

WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================
Trap for spam & virii:
trap@wildlist.org.ua

Re: [Sysadmins] безопасность

[Dmitriy L. Kruglikov]

On Mon, 28 Aug 2006 13:56:51 +0400 ABATAPA wrote:

> > да и попадание на трафике может получиться не малое.
> Рассказать, как при DROP и при наличии "добрых" людей может
> быть "попадание" на трафике, идущем со спутника?
Лучше на wiki поправить ... Привести более правильные
настройки... Всем будет полезно ...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Искренность в политике... есть вполне доступное проверке
соответствие между словом и делом. 
		-- В.И.Ленин

Re: [Sysadmins] безопасность

[ABATAPA]

28 августа 2006 14:11, Sergei Boudnik написал:
> К сожалению, эти болезни не всегда лечатся ;)
Вот-вот... Потому и имеем часто массу проблем. Из-за параноиков.
-- 
ABATAPA

Re: [Sysadmins] безопасность

[Olvin]

ABATAPA wrote:
>>да и попадание на трафике может получиться не малое.
> Рассказать, как при DROP и при наличии "добрых" людей может быть "попадание" 
> на трафике, идущем со спутника?

Расскажите. Я, в общих чертах, представляю, как это, и не только со 
спутника, но послушать детальное объяснение как минимум интересно.

Re: [Sysadmins] безопасность

[ABATAPA]

28 августа 2006 19:59, Olvin написал:
> Расскажите. Я, в общих чертах, представляю, как это, и не только со
> спутника, но послушать детальное объяснение как минимум интересно.
В общих чертах - ставится тарелка, ищется провайдер, по умыслу или незнанию 
выпускающий наружу "чужой" трафик, ищется клиент спутниковый, в адресном 
пространстве которого есть адреса, где пакеты "теряются", и...
Выставляем у себя "чужой" адрес, "выпускаем" наружу пакет через наземного 
провайдера, и возвращается он двоим - законному владельцу, и "еще одному". 
Только у законного он делает DROP (и обратно ничего не уходит), а у "еще 
одного" он используется по назначению. 
Таким образом можно иметь "халявный" спутник. И, что характерно, - с _чужих_ 
адресов.
-- 
ABATAPA

Re: [Sysadmins] безопасность

[Sergei Boudnik]

ABATAPA пишет:
> 28 августа 2006 19:59, Olvin написал:
> 
>>Расскажите. Я, в общих чертах, представляю, как это, и не только со
>>спутника, но послушать детальное объяснение как минимум интересно.
> 
> В общих чертах - ставится тарелка, ищется провайдер, по умыслу или незнанию 
> выпускающий наружу "чужой" трафик, ищется клиент спутниковый, в адресном 
> пространстве которого есть адреса, где пакеты "теряются", и...
> Выставляем у себя "чужой" адрес, "выпускаем" наружу пакет через наземного 
> провайдера, и возвращается он двоим - законному владельцу, и "еще одному". 
> Только у законного он делает DROP (и обратно ничего не уходит), а у "еще 
> одного" он используется по назначению. 
> Таким образом можно иметь "халявный" спутник. И, что характерно, - с _чужих_ 
> адресов.
ну это ты совсем криминальную схему нарисовал...
это не является проблемой.
Хуже другое:
спутниковая связь является настолько медленной, что может не выдерживать 
тайм-аутов по запросам на соединение. Из этого может быть такой 
интересный выход, как проксирование всех соединений.
И оно будет заливать всю DATA, если ему не рубанешь соединение с самого 
начала.
А в первом случае все решается подключением к провайдеру через VPN.

-- 

WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================
Trap for spam & virii:
trap@wildlist.org.ua

Re: [Sysadmins] безопасность

[ABATAPA]

28 августа 2006 22:52, Sergei Boudnik написал:
> ну это ты совсем криминальную схему нарисовал...
Это - уже реальность. И не редкость.
> это не является проблемой.
Является. Зачастую.
> Хуже другое:
> спутниковая связь является настолько медленной, что может не выдерживать
> тайм-аутов по запросам на соединение.
Мда? Как же миллионы людей работают? :)
> Из этого может быть такой 
> интересный выход, как проксирование всех соединений.
Не вижу связи. 
> И оно будет заливать всю DATA, если ему не рубанешь соединение с самого
> начала.
Ну, если у кого-то именно так настроен прокси - это его личные проблемы, к 
типу соединения отношения не имеющие.
> А в первом случае все решается подключением к провайдеру через VPN.
Да? VPN на 2 Mb? 4? 8?
Если у клиента еще "что-нибудь" с криптопроцессором потянет, то вот у 
спутникового провайдера...
-- 
ABATAPA

Re: [Sysadmins] безопасность

[Sergiy Guminilovych]

ABATAPA пишет:

>  
>
>Да? VPN на 2 Mb? 4? 8?
>Если у клиента еще "что-нибудь" с криптопроцессором потянет, то вот у 
>спутникового провайдера...
>  
>
ppoe, постоянно в онлайне окло 300 клиентов и у половины из них 10
Мбит/с работает на двуядерном слоне 3000
что мы делаем не так? нагрузка на цпу до 25%
хинт: правильно собранное ядро :) до пересборки больше 2 мбит/с линк не
держало
-- 
Best regards,
Sergiy Guminilovych mailto:gray_post@mail.ru

Re: [Sysadmins] безопасность

[Vladimir V. Kamarzin]

>>>>> On 29 Aug 2006 at 15:15 "SG" == Sergiy Guminilovych writes:

>>Да? VPN на 2 Mb? 4? 8?
>>Если у клиента еще "что-нибудь" с криптопроцессором потянет, то вот у 
>>спутникового провайдера...
>>  
>>
 SG> ppoe, постоянно в онлайне окло 300 клиентов и у половины из них 10
 SG> Мбит/с работает на двуядерном слоне 3000
 SG> что мы делаем не так? нагрузка на цпу до 25%
 SG> хинт: правильно собранное ядро :) до пересборки больше 2 мбит/с линк не
 SG> держало

А в чём заключается "правильность"?

-- 
vvk

Re: [Sysadmins] безопасность

[Sergiy Guminilovych]

Vladimir V. Kamarzin пишет:

> SG> ppoe, постоянно в онлайне окло 300 клиентов и у половины из них 10
> SG> Мбит/с работает на двуядерном слоне 3000
> SG> что мы делаем не так? нагрузка на цпу до 25%
> SG> хинт: правильно собранное ядро :) до пересборки больше 2 мбит/с линк не
> SG> держало
>
>А в чём заключается "правильность"?
>
>  
>
убрано все лишнее + pppoe интегрирован в ядро + еще "мелочи" которые
знает наш root
-- 
Best regards,
Sergiy Guminilovych mailto:gray_post@mail.ru

Re: [Sysadmins] безопасность

[ABATAPA]

29 августа 2006 13:27, Sergiy Guminilovych написал:
> убрано все лишнее + pppoe интегрирован в ядро + еще "мелочи" которые
> знает наш root
>что мы делаем не так? 

PPPoE != VPN
-- 
ABATAPA

Re: [Sysadmins] безопасность

[Sergiy Guminilovych]

ABATAPA пишет:

>29 августа 2006 13:27, Sergiy Guminilovych написал:
>  
>
>>убрано все лишнее + pppoe интегрирован в ядро + еще "мелочи" которые
>>знает наш root
>>что мы делаем не так? 
>>    
>>
>
>PPPoE != VPN
>  
>
да, накладные раходы в ппое меньше, но сат-провайдеры продают впн со
скоростями больше 2 м
-- 
Best regards,
Sergiy Guminilovych mailto:gray_post@mail.ru