Архив форумов ЦИТФорума

[live&learn]

Чего я боюсь - автоматизированного взлома. Ясно, что мою маленькую фирму сверххакеры ломать не будут, но думается, что есть серваки, которые автоматом сканят айпишники в цикле, и если есть слабости, ломают. Вот у меня что было: однажды поставил Красную Шапку 7.1, подключил по выделенке к инету, файрволл решил пока оставить открытым - все АССЕРТ. Так вот - и получасу не прошло, как заметил в логах:
adduser: test ...
ROOT login from xxx.xxx.xxx.xxx
После этого многие мои стандартные проги ЮНИКСА (ps например) - были заменены какими-то зловредными прогами (по tripwire посмотрел), а в стартовых скриптах появилась ссылка на какой-то linsniffer
Я был в шоке. После этого - перед подключкой к инету настраиваю СТРОЖАЙШИЙ файрволл, запрещаю ВСЕ, ЧТО ТОЛЬКО МОЖНО. И с тех пор никаких взломов не было.
Но... оказалось, что для открытия ftp во внешний мир надо открывать не только 20, 21, а и огромный кусок портов... Вот по этим, указанным вами портам проходит только ls. Все остальные ftp-операции проходят с 20 и 21 порта. Я хочу знать: ПОЧЕМУ БЫ разработчикам фтп-серваков ls тоже не сделать по тем же портам??
А еще хотелось бы услышать, что вы думаете про вышеописанный взлом меня...
Спасибо за ответы.

[butcher]

[live&learn]

Угроза открытия этих портов проявляется только тогда, когда за какой-либо из этих портов отвечает какй-либо сервис.
Вот по логике, вроде бы, и так, но ... мне всегда казалось, что лучше перебдеть, чем недобдеть. Что, если зловредный хакер будет просто открывать множество подключений к этим самым портам, вешая машину по сети? Даже не смотря на то, что компутер не откликается по этим портам. Ведь компутер должен переварить пакет, и ответить: destination port unreachable, а это требует ресурсов. Потому не проще ли резать эти левые порты сразу и навсегда ?? Может, мои слова звучат наивно, но хотелось бы узнать в чем я не прав
И еще вопрос: устранение брешей в софте. Есть такая тема в RedHat'e- RedHat Network. А еще есть Bugzilla. Хороши ли эти штуки?

Спасибо за ответы.

[butcher]

>Что, если зловредный хакер будет просто открывать множество
>подключений к этим самым портам, вешая машину по сети? Даже не
>смотря на то, что компутер не откликается по этим портам. Ведь
>компутер должен переварить пакет, и ответить: destination port
>unreachable, а это требует ресурсов. Потому не проще ли резать эти

ну "destination port unreachable" редко отвечают.. обычно при установлении соединения на неоткрытй порт посылается RST пакет.

>левые порты сразу и навсегда ?? Может, мои слова звучат наивно, но
>хотелось бы узнать в чем я не прав

палка о двух концах, как ты думаешь, файрвол не забирает процессорного времени?

> устранение брешей в софте

это уж как тебе больше нравится, RH не пользовался и не собираюсь, посоветовать не могу
я делаю так:
1 . подписываюст на рассылку у разработчиков софта
2. подписываюсь на рассылки некоторых хак-груп и security-организаций.
3. подписываюсь на рассылки разработчиков ОС
4. регулярно читаю новости
ну и принимаю соответствующие меры при обноружении чего-то

PS. если кто-то захочет задосить твою систему, у него это получится, поверь мне. Сейчас, ИМХО, нету реальной защиты от ДОС-атак. Либо расходются ресурсы машины, либо канала.. так-что..
_________________
Нет ничего невозможного...

[Dmitry.Karpov]

Ну, если ты так не увкрен в своих силах, то лучше использовать не такой распространённый Linux, а OpenBSD - его авторы особо уделяют внимание безопасности.

У FreeBSD в дополнеие к атрибутам "rwx" есть флаги, позволяющие заблокировать изменение файлов даже рутом; если выставить высокий secure level, то этот флаг становится неснимаемым, а если этот флан выставить на стартовые скрипты и утилиты (начиная с упомянутой тобой ps), то система становится пробиваемой лишь с консоли (а при особо прочной защите - лишь при загрузке с др.носителя).

FreeBSD запрещает логин рутом с удалённых терминалов (Telnet, SSh) - надо входить юзером из группы wheel и делать su. А я так вообюще запретил вход рутом и рулю системой из-под др.имени, который тоже как root (UID==0), но его имя взломщих ещё должен выяснить.

Читай man login на предмет ограничения входа юзеров с разных IP.
_________________
Благословен Бог, сотворивший меня сисадмином!

[butcher]

>FreeBSD запрещает логин рутом с удалённых терминалов (Telnet,
>SSh) - надо входить юзером из группы wheel и делать su. А я так
>вообюще запретил вход рутом и рулю системой из-под др.имени,
>который тоже как root (UID==0), но его имя взломщих ещё должен
>выяснить.

ну на счёт имени, пользы наверно мало, если получен доступ к системе узнать имя - не проблема, да и не особо-то и нужно..
вот секурелевел, это вещь.. но надо быть маньяком и точно знать для чего эта машина предназначена.. иначе тяжело будет
_________________
Нет ничего невозможного...

[Dmitry.Karpov]

[butcher]

2Dmitry.Karpov:
если ты получил доступ в систему, узнать имя - не проблема, хотя бы
pw user show -a
ls -ln && ln -l
узнать имя - не проблема
вожно не имя, важен uid
_________________
Нет ничего невозможного...

[and3008]

Правило N1:
Перед установкой любой ОС топать на сайт производителя и качать апдейты к системе.

Правило N2:
Читать правильные доки. Рекомендую книгу "Брэндмауэры в Linux" Стоит 150-200 рублей, а пользы на миллион.


P.S. Патч от пойманого вируса был выпущен года 2 назад. Проблемма в том, что ты сдуру забыл отключить NFS и и окружающие его сервисы. В частности portmap. Один FireWall не поможет ибо 80% взломов приходится на взломы изнутри, а не снаружи.

[dddd]

подскажите пож. команду в Red Hat для просмотра всех открытых портов системы, забыл.
спасибо

[TechNoir]

nmap
_________________
Vive la Russie!

[and3008]

netstat -a

Но nmap даст больше информации. Им же можно протестировать свой FireWall.

[Dmitry.Karpov]