From: "Алексей Шенцев" <ashen@nsrz.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] osec & DoS
Date: Wed, 22 Aug 2007 18:28:15 +0400
Message-ID: <200708221828.16026.ashen@nsrz.ru> (raw)
In-Reply-To: <20070822141703.GV8054@osdn.org.ua>
В сообщении от Wednesday 22 August 2007 18:17:03 Michael Shigorin написал(а):
> On Wed, Aug 22, 2007 at 05:29:18PM +0400, Алексей Шенцев wrote:
> > > На эту тему есть большие мануалы.
> >
> > Угу ... и анекдоты то же ... ;)
> >
> > > Нужно снять всю текущую информацию, которая может поспособствовать
> > > расследованию инциндента, вплоть до дампов оперативки
> >
> > Поздно: 1) сервер запущен в работу; 2) сервак у меня завис так,
> > что даже на клаву не реагировал. На экране было такое:
> > int=eth0 его мак-адрес bla-bla-bla SRC=125.190.36.89 bla-bla-bla
>
> Фотографировать надо.
Не было под рукой чем фотать ... хотя идея ...
<skip>
> При малейших подозрениях тебе светит выдирание/проверка конфигов
> и построение системы с нуля с их использованием.
Давно хочу снести этот сервак и построить систему с нуля. По иному ...
> Более интересно другое -- какой комплект софта у тебя смотрит в сеть?
Правила для iptables начинаются с такого:
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
# удаляем все имеющиеся правила
$IPTABLES -F
$IPTABLES -X
# создаем свои цепочки
#Для NetAMS
/sbin/modprobe ip_queue
$IPTABLES -A INPUT -i all -j QUEUE
$IPTABLES -A FORWARD -i all -j QUEUE
$IPTABLES -A OUTPUT -o all -j QUEUE
# отбрасываем tcp с неправильными флагами
$IPTABLES -N bad_tcp_packets
# tcp, прошедшие основную проверку
$IPTABLES -N allowed
# все пакеты соотв. протоколов
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
# безусловно разрешаем соединения по локальному интерфейсу (loopback,
127.0.0.1)
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# безусловно разрешаем соединения по интерфейсу ЛВС (et0)
$IPTABLES -A INPUT -i $LAN_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN_IFACE -j ACCEPT
#для подсчёта с помощью ulogd-acctd
$IPTABLES -A allowed -j ULOG --ulog-nlgroup 1 --ulog-qthreshold
50 --ulog-prefix allow
$IPTABLES -A rejected -m limit --limit 5/minute -j
LOG --log-prefix "REJECTED: "
$IPTABLES -A rejected -j ULOG --ulog-nlgroup 1 --ulog-qthreshold
50 --ulog-prefix drop
#/sbin/modprobe ip_conntrack_ftp
# сюда пойдут все tcp-пакеты, и будут отброшены имеющие статус NEW, но не
имеющие флагов SYN,ACK
# предохраняет от определенных типов атак, подробности в приложении B4 к
Iptables Tutorial
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m
state --state NEW -j DROP
# принимаем все пакеты, относящиеся к уже установленным соединениям
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
# а все остальные из этой цепочки сбрасываем
$IPTABLES -A allowed -j DROP
# здесь открываем некоторые порты, т.к. по умолчанию мы закрыли всё
# СЛушаем DNS
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 53 -j ACCEPT
# Domain Name Server
$IPTABLES -A udp_packets -p UDP -s 0/0 --sport 53 -j ACCEPT
# Domain Name Server
# Принимаем
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 20 -j ACCEPT
# File Transfer [Default Data]
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 20 -j ACCEPT
# File Transfer [Default Data]
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 21 -j ACCEPT
# File Transfer [Control]
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 21 -j ACCEPT
# File Transfer [Control]
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 25 -j ACCEPT
# Simple Mail Transfer Protocol
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 25 -j ACCEPT
# Simple Mail Transfer Protocol
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 110 -j ACCEPT
# Post Office Protocol - Version 3
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 110 -j ACCEPT
# Post Office Protocol - Version 3
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 995 -j ACCEPT
# pop3 protocol over TLS/SSL
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 995 -j ACCEPT
# pop3 protocol over TLS/SSL
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 143 -j ACCEPT
# IMAP2
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 143 -j ACCEPT
# IMAP2
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m udp --dport 220 -j ACCEPT
# IMAP3
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 220 -j ACCEPT
# IMAP3
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 993 -j ACCEPT
# IMAP4
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 993 -j ACCEPT
# IMAP4
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 80 -j ACCEPT
# World Wide Web HTTP
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 80 -j ACCEPT
# World Wide Web HTTP
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 443 -j ACCEPT
# http protocol over TLS/SS
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 443 -j ACCEPT
# http protocol over TLS/SS
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 3389 -j ACCEPT
# RDP
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 5222 -j ACCEPT
# Jabber Client Connection
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 5222 -j ACCEPT
# Jabber Client Connection
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 5269 -j ACCEPT
# Jabber Server Connection
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 5269 -j ACCEPT
# Jabber Server Connection
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m multiport --dport $VP_PORTS -j
ACCEPT # VideoPhone
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m multiport --dport $VP_PORTS -j
ACCEPT # VideoPhone
# Принимаем форвардинг для установленных соединений
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Т.е. в инет открыты следующие порты:
53 tcp/udp
25,110 tcp/udp
80 tcp/udp
3389 tcp
389,522,1300,1718:1720,1503,11720,1731,1739,15329:15332,32700:32799 tcp/udp
Что смотрит в инет: named, postfix, apache2. Остальные: squid, proftpd, mysql
слушают только локалку.
Для apache2 во многие каталоги можно попасть либо только из локалки, либо
только с определённых машин локалки.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
next prev parent reply other threads:[~2007-08-22 14:28 UTC|newest]
Thread overview: 26+ messages / expand[flat|nested] mbox.gz Atom feed top
2007-08-22 13:13 Алексей Шенцев
2007-08-22 13:16 ` Avramenko Andrew
2007-08-22 13:29 ` Алексей Шенцев
2007-08-22 14:17 ` Michael Shigorin
2007-08-22 14:28 ` Алексей Шенцев [this message]
2007-08-22 14:33 ` Алексей Шенцев
2007-08-22 16:05 ` Michael Shigorin
2007-08-23 5:35 ` Алексей Шенцев
2007-08-23 11:58 ` Michael Shigorin
2007-08-23 12:17 ` Алексей Шенцев
2007-08-23 13:45 ` Michael Shigorin
2007-08-23 13:50 ` Konstantin A. Lepikhov
2007-08-23 14:06 ` Michael Shigorin
2007-08-23 14:20 ` Алексей Шенцев
2007-08-23 14:23 ` Konstantin A. Lepikhov
2007-08-23 17:23 ` Michael Shigorin
2007-08-23 19:04 ` Konstantin A. Lepikhov
2007-08-24 14:17 ` [Sysadmins] файловые системы Michael Shigorin
2007-08-24 9:46 ` [Sysadmins] osec & DoS Maxim Tyurin
2007-08-24 14:16 ` Michael Shigorin
2007-08-23 13:58 ` Алексей Шенцев
2007-08-23 14:02 ` Avramenko Andrew
2007-08-22 14:59 ` Alexey I. Froloff
2007-08-22 15:00 ` Алексей Шенцев
2007-08-22 15:17 ` Alexey I. Froloff
2007-08-22 20:11 ` Michael Shigorin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=200708221828.16026.ashen@nsrz.ru \
--to=ashen@nsrz.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git