abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Microsoft zpřístupnil FBI uživatelské šifrovací klíče
    dnes 11:55 | Humor

    Microsoft poskytl FBI uživatelské šifrovací klíče svého nástroje BitLocker, nutné pro odemčení dat uložených na discích třech počítačů zabavených v rámci federálního vyšetřování. Tento krok je prvním známým případem, kdy Microsoft poskytl klíče BitLockeru orgánům činným v trestním řízení. BitLocker je nástroj pro šifrování celého disku, který je ve Windows defaultně zapnutý. Tato technologie by správně měla bránit komukoli kromě

    … více »
    NUKE GAZA! 🎆 | Komentářů: 7
    Spotify rozdělilo 70 000 eur mezi tři open source projekty
    dnes 01:44 | Komunita

    Spotify prostřednictvím svého FOSS fondu rozdělilo 70 000 eur mezi tři open source projekty: FFmpeg obdržel 30 000 eur, Mock Service Worker (MSW) obdržel 15 000 eur a Xiph.Org Foundation obdržela 25 000 eur.

    Ladislav Hagara | Komentářů: 3
    Open source hra Nazdar!
    včera 18:11 | Zajímavý software

    Nazdar! je open source počítačová hra běžící také na Linuxu. Zdrojové kódy jsou k dispozici na GitHubu. Autorem je Michal Škoula.

    Ladislav Hagara | Komentářů: 1
    GNU Guix 1.5.0
    včera 16:55 | Nová verze

    Po více než třech letech od vydání verze 1.4.0 byla vydána nová verze 1.5.0 správce balíčků GNU Guix a na něm postavené stejnojmenné distribuci GNU Guix. S init systémem a správcem služeb GNU Shepherd. S experimentální podporou jádra GNU Hurd. Na vývoji se podílelo 744 vývojářů. Přibylo 12 525 nových balíčků. Jejich aktuální počet je 30 011. Aktualizována byla také dokumentace.

    Ladislav Hagara | Komentářů: 6
    GravIT: jednoduchý CMS napsaný ve FastAPI
    včera 15:44 | Zajímavý software

    Na adrese gravit.huan.cz se objevila prezentace minimalistického redakčního systému GravIT. CMS je napsaný ve FastAPI a charakterizuje se především rychlým načítáním a jednoduchým ukládáním obsahu do textových souborů se syntaxí Markdown a YAML místo klasické databáze. GravIT cílí na uživatele, kteří preferují CMS s nízkými nároky, snadným verzováním (např. přes Git) a možností jednoduchého rozšiřování pomocí modulů. Redakční

    … více »
    2012 | Komentářů: 0
    Modely Qwen3‑TTS jsou nyní open-source
    včera 12:55 | Zajímavý software

    Tým Qwen (Alibaba Cloud) uvolnil jako open-source své modely Qwen3‑TTS pro převádění textu na řeč. Sada obsahuje modely VoiceDesign (tvorba hlasu dle popisu), CustomVoice (stylizace) a Base (klonování hlasu). Modely podporují syntézu deseti různých jazyků (čeština a slovenština chybí). Stránka projektu na GitHubu, natrénované modely jsou dostupné na Hugging Face. Distribuováno pod licencí Apache‑2.0.

    NUKE GAZA! 🎆 | Komentářů: 0
    Zotero 8
    včera 01:11 | Nová verze

    Svobodný citační manažer Zotero (Wikipedie, GitHub) byl vydán v nové major verzi 8. Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    Rust 1.93.0
    22.1. 16:55 | Nová verze

    Byla vydána verze 1.93.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    ReactOS slaví 30. narozeniny
    22.1. 14:00 | Komunita

    Svobodný operační systém ReactOS (Wikipedie), jehož cílem je kompletní binární kompatibilita s aplikacemi a ovladači pro Windows, slaví 30. narozeniny.

    Ladislav Hagara | Komentářů: 8
    Raspberry Pi Flash Drive
    22.1. 11:00 | IT novinky

    Společnost Raspberry Pi má nově v nabídce flash disky Raspberry Pi Flash Drive: 128 GB za 30 dolarů a 256 GB za 55 dolarů.

    Ladislav Hagara | Komentářů: 2
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (17%)
     (6%)
     (0%)
     (10%)
     (22%)
     (3%)
     (5%)
     (2%)
     (11%)
     (35%)
    Celkem 589 hlasů
     Komentářů: 17, poslední 22.1. 15:24
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Zdokonalenie firewallu proti svinstvu
    Štítky: DOS, firewally, IDE, input, iptables, limit, příklady, SSH, Su, TCP

    Dotaz: Zdokonalenie firewallu proti svinstvu

    22.11.2013 07:24 Peter
    Zdokonalenie firewallu proti svinstvu
    Přečteno: 680×
    Dobrý deň vám prajem.

    Firewall mám nakonfigurovaný tak, že policy je drop a povoľujem len to čo vážne potrebujem - to je samozrejme základ. Okrem toho zahadzujem komunikáciu ktorá nemá čo robiť na tom ktorom rozhraní: napríklad privátne adresy nemajú čo hľadať na rozhraní, ktoré ide do netu, ... Ďalej pomocou modulu recent blokujem jednoduche DOS na SSH a DNS: 
    iptables --table filter --new-chain SECURE_SSH
iptables --table filter --append SECURE_SSH --match recent --set --name SECURE_SSH_RECENT
iptables --table filter --append SECURE_SSH --match recent --update --name SECURE_SSH_RECENT --hitcount 10 --seconds 60 --jump DROP
iptables --table filter --append SECURE_SSH --jump ACCEPT
iptables --table filter --append INPUT --match state --state NEW --protocol TCP --match multiport --destination-port 22 --jump SECURE_SSH
    A to je asi tak všetko čo mám - čomu rozumiem. Chcem sa ale opýtať, že aké su ešte možné techniky škodenia a ako im zabrániť na firewalle? Napríklad na nete som našiel takéto niečo: 
    iptables --table filter --append INPUT --protocol TCP --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE --jump DROP
iptables --table filter --append INPUT --protocol TCP --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG --jump DROP
iptables --table filter --append INPUT --protocol TCP --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG --jump DROP
iptables --table filter --append INPUT --protocol TCP --tcp-flags FIN,SYN FIN,SYN --jump DROP
iptables --table filter --append INPUT --protocol TCP --tcp-flags SYN,RST SYN,RST --jump DROP
iptables --table filter --append INPUT --protocol TCP --tcp-flags FIN,RST FIN,RST --jump DROP
iptables --table filter --append INPUT --protocol TCP --tcp-flags FIN,ACK FIN --jump DROP
iptables --table filter --append INPUT --protocol TCP --tcp-flags PSH,ACK PSH --jump DROP
iptables --table filter --append INPUT --protocol TCP --tcp-flags ACK,URG URG --jump DROP
    O čo tu presne ide? Na rôznych stránkach som našiel rôzne varianty takéhoto kódu, niektoré to boli príklady na 4 riadky, niektoré na 6 a tento 9 riadkový príklad je najdlhší aký som našiel. Ďalej som našiel takého niečo: 
    iptables --table filter --new-chain SYN_FLOOD
iptables --table filter --append SYN_FLOOD --match limit --limit 1/s --limit-burst 3 --jump RETURN
iptables --table filter --append SYN_FLOOD --jump DROP
iptables --table filter --append INPUT --protocol TCP --syn --jump SYN_FLOOD
    Tomuto rozumiem čo robí, len ten limit je nastavený správne?

    Aké sú ďalšie techniky na obranu proti svinstvu z netu?

    Vopred vám veľmi pekne ďakujem za odpovede.
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    22.11.2013 08:34 j
    Rozbalit Rozbalit vše Re: Zdokonalenie firewallu proti svinstvu
    Jde o ruzny kombinace priznaku, kterema se utocnici obcas snazi vyvolat nejakou znamou/neznamou chybu, a ve standardni provozu se takovy kombinace nevyskytujou nebo jen extremne vzacne.
    22.11.2013 13:12 Peter
    Rozbalit Rozbalit vše Re: Zdokonalenie firewallu proti svinstvu
    To som zhruba pochopil, ale prečo na jednej stránke uvádzajú len niečo, na inej zasa niečo iné a na ďalšej zasa dokopy čo na predošlých dvoch. Proste aké su všetky možnosti? A po ďalšie ma hlavne zaujímaly skúsenosti odborníkov, že čo všetko treba (okrem toho klasického filtrovania) blokovať.
    23.11.2013 09:25 j
    Rozbalit Rozbalit vše Re: Zdokonalenie firewallu proti svinstvu
    Protoze co admin to jinej nazor na to, co by potencielne mohlo byt nebezpecny. Ber to tak, ze takovej provoz sam o sobe neni nic proti nicemu, proste to jsou nejaky bity v hlavickach paketu - tedy naprosto nezajimavy a resit to nemusis vubec. Ale protoze ve vsech vecech jsou chyby, a je znamo, ze nektere veci na to reaguji, tak to nekteri projistotu blokuji.
    22.11.2013 16:50 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Zdokonalenie firewallu proti svinstvu
    napríklad privátne adresy nemajú čo hľadať na rozhraní, ktoré ide do netu

    To neplatí obecně. IPSec je jedna z důležitých výjimek.

    (Ať tak nebo tak, IPv4 se svými „privátními“ adresami je něco jako mor, protože kvůli němu přestal fungovat Internet „tak, jak měl“ a zvítězily pak pochybné technologie typu Skype, které celý uměle vytvořený problém „řeší“.)

    Základní technika obrany proti svinstvu z netu (na které všechno ostatní stojí) je aktuální kernel. Pokud jde o ip{,6}tables, filtrovat se dá téměř všechno, ale v každém případě by mělo být povolené ICMP{v4,v6}. Dají se nastavit omezení na frekvenci a typ zpráv, ale bez ICMP může docházet ke spoustě ošklivých jevů jak pro klienty serveru ve vnějším Internetu, tak pro stroje ve vnitřní síti, pro které server třeba slouží jako router. Jde zejména o MTU. Když je někde po cestě menší MTU než lokální, uživatelům se pak třeba nestahují z některých serverů stránky, případně se jejich stahování pokaždé na pár minut zasekne.

    Pravidla s typy TCP paketů by pravděpodobně měla být vhodně seřazená a na vhodném místě v řetězci oddělená něčím jako

    -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

    To oddělí kombinace flagů, které jsou podezřelé vždy, od těch, které se v navázaném spojení můžou vyskytovat. To všechno by pak mělo být před přijímacími pravidly pro různé konkrétní protokoly nad TCP. Otázkou zůstává, jestli má smysl „závadné“ kombinace flagů takto fitrovat. Nesmyslné kombinace musí zahodit přímo TCP stack v kernelu. (Kdyby na něj nebylo spolehnutí, Internet by byl velmi nebezpečným místem.) Jediné vysvětlení by mohlo být, že správce u nějaké konkrétní služby neočekává jisté typy chování (protistrany), takže si může dovolit některé zvláštnosti odfiltrovat. Nicméně nepřipadá mi, že by se něco takového obecně hodilo jako globální nastavení pro všechny protokoly nad TCP.

    Ochrana proti SYN floodingu je v kernelu zabudovaná pro IPv6 i IPv4 a ve většině případů není nutné vymýšlet na to nějaká explicitní pravidla. Přímé filtrování na základě frekvence se sice na první pohled může jevit jako dobrý nápad, ale nějaký globální limit nadělá nakonec víc škody než užitku, protože jeden útočník útočící na jednom portu může klidně omezit použitelnost všech ostatních služeb, když se mu zlíbí. Přinejmenším by mělo existovat jiné nastavení pro SSH (velmi nízká frekvence i burst) a jiné třeba pro HTTP, DNS (ano, i tam dojde na TCP, třeba u DNSSEC) či obecně pro protokoly, kde se větší bursty dají očekávat. Rozhodně tady nebude fungovat one size fits all konfigurace; server pak může navenek vypadat jako nespolehlivý a každou chvíli offline.

    22.11.2013 17:47 Peter
    Rozbalit Rozbalit vše Re: Zdokonalenie firewallu proti svinstvu
    Ďakujem veľmi pekne za obsiahle vysvetlenie. ICMP samozrejme povolené mám a IPsec neriešim - používam OpenVPN. Teda podľa teba v podstate na firewally netreba okrem blokovania nepotrebých služieb nič iné riešiť a zvyšok nechať na aktuálny kernel?

    Mimochodom, dala by sa viac rozviesť tá myšlienka ohľadom tohto: 
    -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    Z "vonku" povoľujem len ICMP, 22, 25, 53U, 53T, 80, 443, 465, 993, 1194 a z "vnútra" je to samozrejme nejaká samba, proxy, ntp, cups, udpxy, ...

    Ešte raz ďakujem.
    25.11.2013 15:40 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Zdokonalenie firewallu proti svinstvu
    Mimochodom, dala by sa viac rozviesť tá myšlienka ohľadom tohto: 
    -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

    Před tím pravidlem jsou pravidla, která sežerou všechny možné vadné nebo nechtěné pakety — nechtěné nebo vadné za všech okolností, bez ohledu na to, jestli existují nějaká TCP spojení. (Ne že by taková pravidla byla nutná, ale někteří správci je rádi používají kvůli logování — aby měli přehled o případných pokusech o útok.)

    Po tom pravidle následují pravidla, která sežerou pakety předstírající existenci nějakého TCP spojení, přestože ve skutečnosti žádné neexistuje. Taková pravidla se používají snad jedině kvůli logování; každopádně ale nechceš, aby se k nim řetězec dostal v případě, kdy spojení opravdu existuje. Že spojení existuje, o tom ví právě modul conntrack.

    Pravidlo s conntrack se dá použít ještě v jednom případě: Když je nějaký řetězec extrémně dlouhý. Pak se toto pravidlo dá někam na začátek řetězce a ušetří tak průchod celým řetězcem při každém paketu. V některých jiných systémech (FreeBSD, Solaris) má firewall stromovitou strukturu, která se samovolně přeuspořádá a rotuje v závislosti na přijímaných paketech, aby se vždycky nejčastěji přijímaný typ paketu ocitl nejblíž kořeni stromu. (Tím pádem není potřeba řešit dělení pravidel do řetězců a počet pravidel.) Tohle ale v Linuxu (zatím) není, takže se někdy může hodit průchod dlouhým řetězcem zkrátit. Na gigabitovém ethernetu to rozhodně nehraje roli, zatímco u 10 Gb/s se už o takových věcech uvažovat musí.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.