abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 01:11 | Nová verze

Byla vydána nová major verze 3.0 svobodného multiplatformního geografického informačního systému QGIS (Wikipedie). Její kódové jméno je Girona, dle názvu města, ve kterém proběhlo 15. setkání vývojářů QGISu. Přehled novinek i s náhledy a animacemi v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 20:33 | Zajímavý článek

Nadace Raspberry Pi vydala sedmašedesáté číslo (pdf) anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a čtvrté číslo (pdf) časopisu pro kutily HackSpace věnovanému navíc 3D tisku, pájení, řezání nebo i elektronice a IoT.

Ladislav Hagara | Komentářů: 0
včera 18:33 | Komunita

Morevna Project, který stojí za řadou svobodného softwaru pro animátory (např. Synfig Studio, RenderChan nebo Papagayo-NG) a svobodnými (CC-BY-SA) animovanými filmy/komiksy Morevna (3. díl) a Pepper&Carrot: The Potion Contest (6. díl), sbírá do 1. března příspěvky na 4. díl svého animovaného filmu Morevna. Mezi odměnami přispěvatelům lze najít např. i videokurzy animace v Synfigu či Blenderu.

xHire | Komentářů: 0
včera 12:22 | Bezpečnostní upozornění

Ve středu vydaná "npm@next" verze 5.7.0 správce balíčků pro JavaScript npm (Wikipedie, Node Package Manager) přinesla řadě uživatelů Linuxu nečekanou nepříjemnost. V závislosti na způsobu instalace a ve spojení s příkazem sudo mohlo dojít ke změně vlastníka u systémových souborů, také například /. Chyba je opravena v před několika hodinami vydané verzi npm 5.7.1 [reddit].

Ladislav Hagara | Komentářů: 8
včera 10:00 | Nová verze

Byla vydána verze 10.5 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností v příspěvku na blogu. Zdůraznit lze integrovanou podporu Let's Encrypt.

Ladislav Hagara | Komentářů: 0
22.2. 12:33 | Komunita

Příspěvek na blogu Signalu (Wikipedie) informuje o založení neziskové nadace Signal Foundation, jež bude zastřešovat další vývoj tohoto svobodného bezpečného komunikátoru běžícího také na Linuxu (Signal Desktop). Brian Acton, spoluzakladatel WhatsAppu, věnoval nadaci 50 milionů dolarů [Hacker News].

Ladislav Hagara | Komentářů: 1
22.2. 05:55 | Zajímavý článek

Článek na Fedora Magazine krátce představuje programovací jazyk Rust a několik zajímavých v Rustu naprogramovaných terminálových aplikací. Jedná se o alternativu k příkazu grep ripgrep, moderní barevnou alternativu k příkazu ls exa, příkazem cloc inspirovaný tokei a zvířátko v terminálu ternimal.

Ladislav Hagara | Komentářů: 0
21.2. 23:55 | Zajímavý projekt

Byl spuštěn Humble Classics Return Bundle. Za vlastní cenu lze koupit hry Broken Sword 5 - The Serpent's Curse, Shadowrun Returns a Shadowrun: Dragonfall - Director's Cut. Při nadprůměrné platbě (aktuálně 8,48 $) také Shadowrun: Hong Kong - Extended Edition, Wasteland 2: Director's Cut - Standard Edition, Age of Wonders III a Xenonauts. Při platbě 15 $ a více lze získat navíc Torment: Tides of Numenera a Dreamfall Chapters: The Final Cut Edition.

Ladislav Hagara | Komentářů: 0
21.2. 00:11 | Bezpečnostní upozornění

Vývojáři linuxové distribuce Mageia na svém blogu upozorňují na narušení bezpečnosti Mageia Identity. Narušitel získal přístup k LDAP databázi a zveřejnil jména uživatelů, jejich emailové adresy a haše hesel. Hesla uživatelů byla resetována.

Ladislav Hagara | Komentářů: 3
20.2. 21:55 | Nová verze

Byla vydána verze 2.0.0 nástroje pro záznam a sdílení terminálových sezení asciinema (GitHub). Z novinek je nutno upozornit na nový zpětně nekompatibilní formát záznamu asciicast v2. S novým formátem si poradí nové verze asciinema-playeru a asciinema-serveru [Hacker News].

Ladislav Hagara | Komentářů: 0
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (28%)
 (62%)
 (2%)
 (3%)
 (0%)
 (1%)
 (1%)
Celkem 441 hlasů
 Komentářů: 35, poslední 21.2. 19:51
    Rozcestník

    Dotaz: iptables blokovani skenovani portu

    4.6.2007 08:31 radek
    iptables blokovani skenovani portu
    Přečteno: 1091×
    Custe, nevite nahodou jak v iptables zamezit skenovani portu a zabraneni pingu?

    diky moc

    Odpovědi

    4.6.2007 08:56 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    Skenování portů těžko, to dělá někdo "na druhé straně". Co vy s tím můžete dělat je deaktivovat služby, které na počítači nemusí běžet, případně na firewallu omezit přístup k běžícím službám jen pro vybrané IP adresy. Pingu můžete zabránit tak, že zakážete průchod paketů icmp echo request a icmp echo reply. Až to uděláte, dostavte se k nejbližšímu správci sítě, budete uškrcen. Protože bezdůvodným nesmyslným blokováním pingu nedosáhnete ničeho jiného, než že ztížíte řešení problémů v síti.

    Obojí ("zamezení skenování" a zabránění pingu) je vám naprosto k ničemu, bezpečnost tím nezvýšíte. Firewall v rukou někoho, kdo toho o sítích moc neví, je k ničemu. Takže pokud máte nějaký konkrétní problém, popište jej a určitě vám někdo poradí. Pokud chcete jenom "něco" udělat pro svoji bezpečnost, můžete si na krk pověsit česnek, nebo zkusit zaříkávání – vyjde to zhruba na stejno.

    Jízlivost mého komentáře si neberte osobně – buď musím podobné dotazy brát s humorem, nebo bych se musel zbláznit ze lží Microsoftu, že někoho "chrání nainstalovaný Firewall".
    4.6.2007 09:09 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    zakaz pingu (echoreq) narusuje standardy (RFC)!
    4.6.2007 09:20 radek
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    Cus chlapi diky moc toto vysvetleni jsem presne potreboval ;) dik
    4.6.2007 09:30 vackar
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    Jak ctu tento dotay tak me napadlo neco podbneho, chtel jsem udelat aby pokud prijde nekolik pozadavku na porty na kterych nebezi zadna sluzba tak by na nejakou dobu nepovolil projit paketum ani na portech kde nejaka sluzba bezi. Myslim ze tohle by bezpecnost trosku zvysit mohlo.
    4.6.2007 09:32 outsider
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    Ondroid avatar 4.6.2007 09:38 Ondroid | skóre: 32 | blog: Hombre
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    Kdyby to takhle reagovalo, tak by útočník vyvolal snadno a rychle DOS :-)
    4.6.2007 09:42 vackar
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    Myslis jako kdyby nasel port na kterem stroj odpovida nebo naopak pokud by nereagoval na zadnem portu? PS: nesnasim zajmena :)
    Ondroid avatar 4.6.2007 10:16 Ondroid | skóre: 32 | blog: Hombre
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    Zlej hoch by tam začal prostě posílat třeba SYN pakety s falešným zdrojem (odpověď by ho nezajímala) na náhodné porty a ten "firewall" by reagoval tak že by zabránil přistupovat k regulérní službě i někomu jinému než byl útočník...
    4.6.2007 09:52 kaaja | skóre: 23 | blog: Sem tam něco | Podbořany, Praha
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    To bych možná radší použil snort. Ten přeci jenom pozná scanování portů lépe. Výstup, můžeš posílat programu a ten to bude zakazovat. Chce si to ale dobře se snortem pohrát, aby to nehlásilo kraviny.
    Josef Kufner avatar 4.6.2007 15:18 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    Dá se to ztížit tím, že omezíš počet příchozích paketů s příznakem SYN na nějakou rozumě malou hodnotu. Ono "scanování" pak bude vracet všelijaké výsledky a dělat chyby, ale k vyšší bezpečnosti ti to nepomůže.
    Hello world ! Segmentation fault (core dumped)
    4.6.2007 16:10 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    V prvé řadě je nutno se zamyslet, proti čemu se chceme bránit. Pokud to má být flood, pak asi výše zmiňovaná řešení nebo burst limit (man iptables).
    V případě, že chceme znemožnit "útočníkovi", aby rozpoznal, jaké služby na našem stroji běží či ne, pak asi Snortem ...
    V prípadě, že se nějaký stroj pokusí připojit na port, kde nenaslouchá žádný program (port closed), pošle náš OS tomu vzdálenému PC TCP RST packet, který ale i tak může obsahovat nejednu nápovědu ke zjištění našeho OS (což ovšem částečně odhalují i pingy (ICMP request)), nejen proto je možná dobré tyto packety blokovat v OUTPUT chainu, či jejich posílání zakázat přímo jádru (pokud to jde)..

    Pokud se jedná o desktopový PC, pak by možná stálo za úvahu projít si něco o explicitním state match (povolit jen ESTABLISHED a RELATED + výjimky jako třeba Apache, pokud používáte, ping :-D , atd.).
    Víra je firma si myslela, že něco je pravdivé. LMAO -- “zlehčovat mého osla”
    4.6.2007 21:34 pavel
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    A co toto:
      #Catch portscanners
      einfo "Creating portscan detection chain"
      $IPTABLES -N check-flags
      $IPTABLES -F check-flags
      $IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit \
          --limit 5/minute -j LOG --log-level alert --log-prefix "NMAP-XMAS:"
      $IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
      $IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit \
          5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
      $IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -j DROP
      $IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG \
          -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS-PSH:"
      $IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
      $IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -m limit \
          --limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
      $IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -j DROP
      $IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit \
          --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
      $IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
      $IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit \
          --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
      $IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    A nebo toto?:

    #Skanowanie SYN (nmap -sS)

    # iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP

    #Skanowanie FIN (nmap -sF)

    # iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP

    Metoda Xmas Tree (nmap -sX)

    # iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP

    Dále je něco třeba tady a tady
    4.6.2007 21:41 jb
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    pokud jste na desktopu:

    1.prvni faze - default policy na DROP - posledni pravidlo kazdeho defaultniho chainu LOG s prefixem daneho chainu - v INPUT povolit pouze spojeni ESTABLISHED a RELATED - v OUTPUT (a pro odpovedi take analogicky v INPUT) povolit pouze: pokud musite pouivat proxy: - tak pouze ip a port proxy pokud mate primy pristup (at uz je jakykoliv): - tak pouze porty, ktere preferujete (zpravidla http, https, pop3 apod.) - analogicky lze upravit chainy PREROUTE a POSTROUTE pro S(D)NAT

    2.pozorovanim /var/log/messages (proste vaseho logu) zjistite, ze jsem na neco zapomel, tak to dopisete do vyjimek.

    3. -pokud chcete omezit pouze nejake uzivatele OUTPUT paketu (hodi se to, i kdyz se to mnohal lidem nebude libit) tak muzete vystupni pakety filtrovat jeste na "-m owner --uid-owner 500" (500 je vase uid)

    -pokud chcete omezit komunikaci poze s jednim HOSTem (treba kdyz mate jen jednu proxy a ta nemeni svou interface) muzete pouzit filtr "-m mac --mac-source 12:34:56:78::90". pozn.: tento filt muzete aplikovat vicekrat, a tim povolit i jine hosty. neni to sice moc silna ochrana, ale kdekterou lamu to odfiltruje.

    4. - pokud vam bude nekdo rikat kecy, ze ping musi fungovat kvuli nejakemu rfc, pak vezte, ze rfc a jine normy jsou sice supr, ale vase bezpecnnost je jeste vetsi supr.

    - pokud neprovozujete server, nebo nejste aktivni soucasti nejake site, tak nechapu, proc byste do site meli cokoliv posilat. prosim o komentar od lidi majici jiny nazor.

    5. zkuste si odnekud z venku oskenovat porty treba pres nmap apod. melo by tam byt neco jako, ze vsechny porty jsou closed. nejlepe vsak ze "host seems to be down" :-)

    6 asi jsem naprudil vsechny spravce (aka smiraky) site, ale to jsem urcite nechtel. pokud bych psal navod jak udelat fw pro maly seveer, jiste bych respektoval vsechny rfc a jine normy.
    4.6.2007 22:13 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    Nastavení firewallu „něco blokuju a nevím proč“ (třeba ping) a „něco propouštím, a nevím proč“ nemá s bezpečností nic společného. Je to podobné, jako byste vybavil vstupní dveře do baráku 50 různými bezpečnostními zámky, ale už se nestaral o to, zda jsou zamčené; ponechal polovinu oken zotvíraných a zbytek zavřený na nějakou petlici; a celé byste to završil odmontováním tlačítka zvonku a prohlásil jste „a teď jsem v bezpečí“.

    Základní funkcí firewallu je, že chrání síťovou infrastrukturu (ne jednotlivé počítače). Tzn. nepropustit do sítě pakety, které nemají v síti cíl ani přes ni nemají tranzitovat, nepropustit chybné pakety (které nepatří žádnému spojení atd.). Tak, aby tímto smetím nebyla zatěžována infrastruktura sítě. Dál už by teoreticky mělo všechno být na OS a aplikacích – aplikace naslouchají jen na těch IP adresách a portech, na kterých naslouchat mají, a odpovídají jen těm IP adresám, se kterými komunikovat mají. Firewall tady vystupuje jenom jako jakási náhražka – pokud např. aplikace neumožňuje dobře nastavit, s kým má komunikovat a s kým ne, můžu to nastavit na firewallu. Případně pokud by byl datový tok aplikace tak velký, že by jej nezvládala, mohou jej „uříznout“ rovnou na firewallu. To všechno ale nejsou řešení, ale obcházení problému. V některých případech (Windows) je těžké nebo nemožné nastavit samotný počítač tak, aby mohl být provozován bez firewallu. Firewall zde ale ani v tomto případě není primární bezpečnostní řešení, je to vypořádání se s tím, že nedokážu pořádně zabezpečit ten primární systém. (Tohle se samozřejmě netýká serverů s citlivými údaji apod., kde je těch stupňů zabezpečení několik, a firewall je jedním z nich. A i když aplikace naslouchá jen na IP adresách vnitřní sítě a vyžaduje ověření heslem, stejně je příslušný port ještě blokován na firewallu – aby případný útočník musel překonat více zábran. Jenomže tohle (snad) spravují lidé, kteří vědí, co a proč dělají, takže nakonec vyrobí skutečně vícevrstevnatou obranu, ne sflikované síto děravé jak řešeto.)

    Pokud se jedná o desktop, na kterém neprovozujete žádné servery, ujistěte se, že žádné aplikace na portech nenaslouchají. Aplikujte pravidelně bezpečnostní záplaty na jádro a aplikace, které používáte. Žádný firewall nepotřebujete. Před zahlcením linky vás firewall na jejím užším konci stejně neochrání, a nic jiného vám v počítači neběží, takže není na co útočit. Až budete o sítích něco vědět, možná si můžete firewallem sem tam vypomoci. Ale pokud o sítích nevíte alespoň tolik, abyste dokázal posoudit, k čemu je nebo není dobrý ping, firewall vám nepomůže – pouze budete mít falešný pocit bezpečí.

    Nebo pokud věříte na čáry a zaříkávání, můžete zakázat ping a omotat síťový kabel kořenem mandragory. Nikdo neví proč, ale bába kořenářka říkala, že to pomáhá – a rozhodně se tím nedá nic zkazit. ;-)
    5.6.2007 14:55 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: iptables blokovani skenovani portu
    Já to obmotávám lepící páskou s hořčicí a cibulí a zdá se, že to funguje :-)
    Víra je firma si myslela, že něco je pravdivé. LMAO -- “zlehčovat mého osla”

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.