Уязвимости по умолчанию.

Порты по умолчанию, например. Срочно перекидывай ssh с 22 порта, ты в опасности!

ставь hardened и сверху selinux настраивай, юудет тебе счастье

А ssh кто тянет? Или оно напрочь привязано к иксам?

aptitude install harden-doc

Вот хотелось бы без таких инсинуаций, на голом дефолте.

имх. надо сразу в /etc/iptables/iptables.rules нечто такое(хотя точно не помню чего там надо):
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

А ssh кто тянет? Или оно напрочь привязано к иксам?

Ёксель-моксель, и у него две звезды.

aptitude install матчасть

если сетевые -

sockstat

Генту же.

А ssh кто тянет? Или оно напрочь привязано к иксам?

Неожиданно...

И как ты Gentoo смог поставить?

Если после установки обновил систему то никаких уязвимостей быть не должно (по идее)

никаких.

И никто не ответил, кто тянет.

fads@extensa ~ $ sudo emerge -avc virtual/ssh

Calculating dependencies... done!
  virtual/ssh-0 pulled in by:
    @system

Пока к сети не подключат, точно никаких не будет. Я гарантирую.

У Gentoo тот дефолт, который ты сам сделал.

Про фаервол - да, правильно сказали. Когда-то наблюдал иксовый порт открытый - ну да, тоже фаервол.

От каких уязвимостей хочешь предохраниться?

- Физический доступ на комп - запароль grub чтобы single mode нельзя зайти. BIOS чтобы с LiveDVD никак, в идеале отключи USB (а что - в R&D так делают).
- Всякие эксплоиты? NX-бит в ядре. Да и вообще SELinux, а вообще - да gentoo-hardened.
- Автозагрузка autorun.sh не помню в KDE/Gnome работает?
- На соответствующие разделы поставь noexec в fstab.
- Если пользуешься wine - не давай ему доступ ни к чему кроме ~/.wine или специального каталога (по умолчанию он к хомяку имеет полный доступ)
- Я еще доступ на запись люблю со всякого убирать, да долгоживущим данным ставить owner=root.
- Логам тоже убираю все младшие биты (те которые others), дабы лазил только тот кто в группе root или нужной группе, но не все.
- В sudoers люблю опцию targetpw .
- всякие ftp, ssh, torrent, samba ни в коем случае не а автозапуске. На рутере ssh, ftp тоже только по надобности открывается и сразу закрывается. samba ни в коем случае за пределы локалки не должна выходить.
- Настройку ftp и др. сервисов, надеюсь не рассматриваем.
- Про браузер - отдельная тема
- Wi-Fi - про WPA и скрытие не нужно рассказывать?
- Службы всякие в chroot
- Пароли правильные делать
- от DDos можешь предохраняться
- Хочешь диски зашифруй, IPSec до рутера прокинь, только молись чтобы что-то случайно не лягло, а то нахлебаешься ;)

То что вспомнил навскидку...

Вообще зависит от степени твоей паранойи, доступного времени, и количества мануалов и Интернете (последнее - чуть больше чем дофига)

У меня приступ паранойи.

Паранойя - это плохо. Кормить её - вредить себе.

rm -rf /*

Бекапы есть? Похер.

удаленное управление

Данные есть? А если найду?

Из личного опыта: храни в постоянной доступности как можно меньше критических данных, которые ты боишься потерять. Загружайся с LiveCD и делай бекапы на винты, которые не будут крутиться. Всё-таки вирусов под линуксы ещё не так много, а у злоумышленников обычно нет целей выше запуска знаменитого однострочника или зомбификации машины с целью рассылки спама. Одна из самых уязвимых и толстых программ - браузер, типа фокса. С флешем ещё хуже. Его (браузер) следует запихать под другого юзера. Если остальной софт доверенный - на него можно забить. И меньше приступов паранойи. Они заставляют тебя искать чёрную кошку в тёмной комнате, которой никогда не существовало.

И как ты Gentoo смог поставить?

Из хендбука в камсоль копипастил же.

netstat -nlp тебе в помощь.

Ёксель-моксель, и у него две звезды.

Что в очередной раз доказало, что есть как минимум 2 пути получить звёзды..

Что в очередной раз доказало, что есть как минимум 2 пути получить звёзды..

Второй - как в шоубизнесе - через постель модератора?

Второй - как в шоубизнесе - через постель модератора?

Уже 3 :) Жаль что знающий этот способ - не показал себя))

Теперь понятно, почему здесь мало многозвёздных женского пола, учитывая пристрастия модеров к продукции одной компании.

4.2
Могут быть дырки из за прокладки между креслом и монитором ;)

например?

Посмотрите на мою аватарку, затем на лого своего дистрибутива. Затем снова посмотрите на моё лого. Да, я на харденед генте!

А если серьёзно, то основные уязвимости десктопа за натом - это переполнение буфера в разных сетевых клиентах (плеер, флеш, браузер, IM). И ты от этого только в hardened генте (можно просто перейти на харденед тулчейн. Тебя никто не заставляет даже ядро с паксом юзать для этого, не говоря уже про selinux. Тогда разницы между обычной гентой и HG вообще почти не будет). Ну есть другие дистрибутивы с защитой от переполнений буфера, но с ними куда сложнее, чем с HG. Либо они (как либерте линукс или пенту) на HG основаны (они и есть HG, только сразу настроенная).

И меньше приступов паранойи. Они заставляют тебя искать чёрную кошку в тёмной комнате, которой никогда не существовало.

Ой, нашелся тут. Вали на эксплойтдб, как прочтешь, сколько узвимостей под вские клиенты и пейджеры находится, тогда и приходи. Нашел тут, блин, доверенный софт. Ни так давно kvirc вообще имел бал с переполнением, при котором можно весело поиметь права процесса. Я уж молчу, что перехватить права рута можно просто поставив алиас в .bashrc в подавляющем большинстве случаев.

Я уж молчу, что перехватить права рута можно просто поставив алиас в .bashrc в подавляющем большинстве случаев

Как? Было бы неплохо узнать. Для общего развития, так сказать...

Как? Было бы неплохо узнать. Для общего развития, так сказать...

Да я понял. Тут же все задают вопросы только для того, чтобы сделать свою систему более безопасной. Взлом же у нас по закону запрещен.

У тебя при запуске баша запускается всё, что в .bashrc . Кто тебе мешает запустить поддельный баш внутри этого? Или вообще приложение-прокси? Которое проксирует стандартный ввод и вывод между консольным устройством и реальным башем, сама, какбе в фон уходя при запуске?

А вообще самый простой вариант, это тупо делай алиас sudo и su на свои (в локальном каталоге) версии прокси. Теперь уже между bash и sudo.



Просто вопрос в том, нужно ли тебе за того же самого сеанса рута что-то запустить (допустим логи входов валятся на внешний сервер, поэтому заходить просто так нельзя), или тебе нужно тупо пароль узнать.

Но если мы про иксы говорим, то проще кейлоггер поставить :) Это будет даже незаметнее, а заодно кучу другой инфы стыришь.

сколько узвимостей под вские клиенты и пейджеры находится

Кто мешает с ними поступать также, как и с браузером?

Ни так давно kvirc вообще имел бал с переполнением

Рад за kvirc в очередной раз (пользователь irssi).

Я уж молчу, что перехватить права рута можно просто поставив алиас в .bashrc

Да хоть в inittab. Современные системы разжирели до такого уровня, что быстренько пройтись по всем местам и посмотреть, а не наставили ли мне всяких алиасов - трудная задача. «А знаете ли вы, что динамические библиотеки делают систему намного более уязвимой?»

Вали на эксплойтдб

Нет ты. Как найдёшь чёрную кошку без переполнения стека - скажешь? Паранойю лечить нужно, а не кормить.

Рассмотрю только удалённые уязвимости. По умолчанию их нет, потому что это не винда и сервисы сами не запускаются. В голой системе никакие порты ничего не слушает, поэтому и угрозы нет.

Если будет нужен SSH - включай авторизацию по publickey, по паролям сразу убирай.

Всякие FTP, HTTP - своевременно обновлять (хотя вообще-то всё надо своевременно обновлять) + запускать из-под специальных пользователей, а не root. При необходимости вообще оборачивать в chroot, но при относительной стабильности исполняемых веб-приложений это не обязательно.

Если будет нужна Samba - дальше локалки ни в коему случае не пускать. Правилами на роутере (если за NAT), в iptables... И вообще пускать в интернет только те службы, которые ты действительно хочешь сделать общедоступными, а не все подряд.

Рассмотрю только удалённые уязвимости. По умолчанию их нет, потому что это не винда и сервисы сами не запускаются.

Дебиановцы с вами не согласны, там запускается всё что поставилось. :-)

кстати да, меня офигенно удивляет такая политика в debian и ubuntu. В ubuntu ещё можно понять, но debian вроде как позиционируется для людей, которые знают как управлять инициализацией.

Рассмотрю только удалённые уязвимости. По умолчанию их нет, потому что это не винда и сервисы сами не запускаются.

Да ну? Читать до просветления http://ru.wikipedia.org/wiki/Сетевая_модель_OSI и помнить что на каждом уровне могут быть уязвимости, вы рассмотрели только транспортный.

Да и на транспортном тоже. Надеюсь про знаменитый баг 98й (или 95й) венды слышали, когда особым пингом ее можно было в даун увести?

Рассмотрю только удалённые уязвимости. По умолчанию их нет, потому что это не винда и сервисы сами не запускаются.

Да ну? Читать до просветления http://ru.wikipedia.org/wiki/Сетевая_модель_OSI и помнить что на каждом уровне могут быть уязвимости, вы рассмотрели только транспортный.

Сам бы свой линк прочитал бы чтобы не путать транспортный и прикладной уровень.

Сам бы свой линк прочитал бы чтобы не путать транспортный и прикладной уровень.

ICMP - сетевой, да, попутал. Но и вы не блещете я смотрю - сначала критикуете потом проверяете?

Любой цели - rm -rf /*, удаленное управление и пр. Интересуюсь с целью закрыть сразу после установки.

вдоль.

от DDos можешь предохраняться

вот тут - поподробнее... Просвети сирых и убогих...

Надеюсь про знаменитый баг 98й (или 95й) венды

это ты кому вообще сказал-то?

> Надеюсь про знаменитый баг 98й (или 95й) венды
это ты кому вообще сказал-то?

Это я привел пример того, что, даже если у тебя все tcp/udp порты закрыты, это еще не означает что ты надежно защищен от атак извне.

Вообще я давно админил, вот то, что помню. Не воспринимай как догму, но по крайней мере направление, в котором копать, оно тебе даст.

Ну, первое и самое простое- syn cookies. Подробней, например, здесь: http://www.protocols.ru/modules.php?name=News&file=article&sid=139 . В последних ядрах включено по умолчанию, и если ты ползуешься торрентами, то видел сообщения в логах ядра вида «TCP: Possible SYN flooding on port 60000. Sending cookies.». Хотя, говорят нагружает ядро, поэтому испольуй аккуратно.

Следующее - ограничить колличество запросов в секунду с помощью -m limit в iptables. Я бы ограничивал не только tcp/ip, udp/ip но и icmp и другие если используются. Нужное значение определяется экспериментами, обычно от 10 до 100 в секунду.

Еще потюнить ядро на предмет keepalive, размер окна, таймауты и что-то там еще. Гугл поможет.

Вот еще хорошая статья http://www.xakep.ru/post/49752/default.asp?print=true

...

Вообще, ИМХО все эти автоматизации могут только уменьшить атаку, а чтобы реально отбить нужен человек. Поэтому поможет логирование и самописный скриптик, который обрабатывает лог и при обнаружении подозрительной активности сообщает админу (я использовал комманду write ), да и вообще отправляет ежедневные отчеты.

Еще по моему СУБЪЕКТИВНОМУ мнению большое колличество reject'ов не есть хорошо, поэтому на «популярных» портах (22, 138 ...) я всегда ставил DROP.

Еще я резал «неправильные» пакеты, так как нельзя гарантировать как система на них отреагирует. Например TCP/UDP с SPORT или DPORT рывным 0. Еще есть критерий unclean , но я его не использовал, да и его не очень рекомендуют.

Не особо относится к DDos, но для временных сервисов, таких как ssh, прикольная штука - port knocking.

Но это мы защищались на сетевом/транспортном уровнях. Далее зависит от того, какие серваки у тебя крутятся.

Если WEB-сервер, то nginx считается предназначенным именно для высоких нагрузок. Насколько я помню, его можно использовать в связке с apache.

...

Любому серверу я бы ограничивал колличество потоков и памяти, которую он может юзать, колличество сессий (для ftp, например).

Далее, учитывая что отказ в обслуживании можно сделать не только большой активностью, но и «парвильными» запросами которые активируют определнные уязвимости - следи за обновлениями.

Ну, а дальше в гугл.

Hope it helps.

уязвимости могут быть, например, если в свежеустановленной генте софт какой-то версии, в которой недавно нашли уязвимость, 0-day короче

еще насколько знаю, по дефолту обновление дерева portage происходит по открытому каналу и без проверки подписей, лучше сразу настроить обновление с проверкой

http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=2&chap=3#webr...

Это я привел пример того, что, даже если у тебя все tcp/udp порты закрыты, это еще не означает что ты надежно защищен от атак извне.

а... это наверное для тех ты сказал, кто никогда не работал (и даже не играл) с Windows95...

Для всех остальных разъясняю: этот баг никак не проявлялся, система висла/падала и без всяких запросов, и без всякого интернета вовсе.

Любому серверу я бы ограничивал колличество потоков и памяти, которую он может юзать, колличество сессий (для ftp, например).

ты вообще похоже не в теме: где ты видел сервер с неограниченным числом потоков? В 95й венде что-ли?

Ну, а дальше в гугл.

понятно. типичный лоровский аналитег. А теперь представь себе, что твой сервер атакуют 100500 запросов в секунду. Не, не хакеры, просто тупой флуд без смысла. Твои действия? DROP? Что, 80й порт? Дык у тебя там web-сервер крутится... Nginx? Ну с апачем твоё железо держало Over9000 запросов, с nginx будет держать 19000, с потерей функционала. А у тебя, напомню, 100500 запросов.

Вообще, ИМХО все эти автоматизации могут только уменьшить атаку, а чтобы реально отбить нужен человек.

и?

я использовал комманду write

открой для себя xmessage, gxmessage, gmessage... Хотя, если тебя будут DDoSить, ты это и так заметишь, по реакции «радостных» клиентов.

ЗЫЖ и да, «коМанда», КО Манда! Сложно запомнить что-ли?

понятно. типичный лоровский аналитег.

Понятно, типичный лоровский нытик, который ничего предложит не может, только критиковать умеет. Страницу текста перед этим ты, видать случайно, не заметил?

открой для себя xmessage, gxmessage, gmessage

Зачем? У меня все работает, и именно так, как надо.

А теперь представь себе, что твой сервер атакуют 100500 запросов в секунду. Не, не хакеры, просто тупой флуд без смысла. Твои действия?

Мои действия - активировать моск! А пищей ему будут служить те логи, которые старательно до этого настроил.

Хотя, если тебя будут DDoSить, ты это и так заметишь, по реакции «радостных» клиентов.

Нормальный админ проблему обнаруживает ДО того, как ему звонит клиент.

ЗЫЖ и да, «коМанда», КО Манда! Сложно запомнить что-ли?

Проходи, мальчик, тебе не сюда, тебе на лингвофорум...

Мои действия - активировать моск! А пищей ему будут служить те логи, которые старательно до этого настроил.

внезапно: логи пишут, что

твой сервер атакуют 100500 запросов в секунду.

твои действия?

внезапно: логи пишут, что твой сервер атакуют 100500 запросов в секунду. твои действия?

Если твои логи только это и пишут, то ты плохо настроил систему логов. Кроме того, если ты ищешь универсальное решение, которое подходит всегда и везде - проходи мимо, потому его нет и не может быть. Моск нужен именно потому, что позволяет учесть огромное количество факторов и принимать разумные решения.

Вот возможный вариант развития событий:

Можно ли выделить перечень хостов с которых происходит атака (логи - привет)? Если да - блеклистить их. Скрипт, который парсит логи и автоматом банит по IP пишется за 10 минут. Хуже, если приходится банить подсети - больший процент ошибочно забаненых пользователей. Опять-таки, смотрим логи включаем моск. Кого обслуживает сервер? Корпоративных клиентов? Сколько их? Если их с десяток, может можно просто сделать white list. Их до 50? Если атака на один порт (логи - привет!) - поменять порт на нестандартный, попросить кол-центр обзвонить клиентов, попросить переконфигурить. Может они вообще идут через одну точку, на которой можно сменить порт - тогда звоним тамошнему админу.

Насколько критичен сервис? Может можно дропать каждый второй запрос на соединение.

Как проявляется отказ в обслуживании? Чего не хватает? Памяти? Пропускной способности канала? Процессора? Можно ли это как-то расширить, например, попросить у прова временно шире полосу? Может есть бекапный сервак и трафик идет через какую-то точку из которой можно сделать load-balancer?

Есть ли что-то общее у атакующих (логи - еще раз привет), например, запрос с зомби-машины поступает с определенной периодичностью, например, каждую секунду - пишем скрипт, баним такие машины.

Далее. Есть ли возможность у нас сменить IP? Если мы важный клиент для прова, думаю, провайдер может нам это предоставить временно, платно или нет. Меняем IP, переписываемся в DNS-серваках (кооперация с провайдером - привет). Думаю, зомби-машины не каждый раз резолвят наш IP шник. Можно вообще сменить IP, не менять DNS запись, прозвонить клиентов и распространить /etc/host .

И т. д. и т. п. Тут вариантов - масса, и, как видишь все зависит от реально ситуации. Если бы была одна пилюля, которая защищала бы от всех DoS атак, то эта проблема канула бы в историю.