2006. június 30. 12.24 dátummal Zsolt Papp ezt írta:

...

Esetleg bemásolhatom ide?

Hogyha nem túl hosszú és könnyen olvasható, akkor nyugodtan. Röviden tudjuk elemezni. hogy mit lehetne/kellene változtatni rajta.

Üdvözlettel, Papp Zsolt

Köszönöm, hát a rövidségre hivatkozva az iptables-save eredményét tenném be ide, gondolom nektek comment úgyse kell :), a filter policy-k = DROP Nem is tudom írtam e, ez most az otthoni gépemen megy, tehát nem szerver gép, szolgáltatásokat nem nyújtok sehová. Az 1863-as port = msn(gaim) és a 264 pedig a novell-zen. -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 0 -m state --state RELATED,ESTABLISHED -j accept_icmp -A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW -j accept_icmp -A INPUT -d 255.255.255.255 -j DROP -A INPUT -d 224.0.0.0/255.0.0.0 -j DROP -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j in_attack -A INPUT -s 172.16.0.0/255.255.0.0 -i eth0 -j in_attack -A INPUT -s 10.0.0.0/255.0.0.0 -i eth0 -j in_attack -A INPUT -p tcp -m tcp --dport 22 -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ssh_be_tiltva: " -A INPUT -p tcp -m tcp --dport 22 -j DROP -A INPUT -j DROP -A OUTPUT -o lo -j ACCEPT -A OUTPUT -d 255.255.255.255 -j DROP -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m state --state NEW -m multiport --dports 21,22,25,80,110,443,1863,2544,6667 -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "DROP_OUT_PACK: " -A OUTPUT -j DROP -A accept_icmp -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "beengedett_ping: " -A accept_icmp -j ACCEPT -A in_attack -j LOG --log-prefix "in_attack: " -A in_attack -j DROP Szerintetek?? -- Budácsik Attila E-mail: budacsikattila@citromail.hu Telefon: +36 30/655-9803 --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org

http://wigwam.sztaki.hu Üdv. Gábor Tóth Imre írta:

Ha ugy erzed kesz vagy a konfiguralassal, akkor hasznald a wigvam-ot, vagy valamelyik port scanner-t (pl. nmap). Azok megmondjak mi van nyitva, hol torheto a geped... :-)

--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org

A 22-es az ssh alapértelmezett portja. Amennyiben nem akarsz távolról belépni akkor ne hagyd nyitva. Direkt csinálod "kézzel"? Pl. a SUSE-ban ott van SuSEfirewall2, szerintem mindent meg lehet vele oldani, legalábbis nekem eddig még sikerült. Üdv. Gábor budacsik attila írta:

2006. június 30. 13.08 dátummal Gabor Boros ezt írta:

...

http://wigwam.sztaki.hu

Üdv. Gábor

Ez okosabb mint az nmap :) A teszt eredménye csak a 22-es port válaszol és nyitva van, a többi zárva. Akkor ez így jó is? Ettől már meg lehet nyugodni?

--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org

Igen a YaST-ban is lehet állítani, de én személy szerint az /etc/sysconfig/SuSEfirewall2 fájlt szoktam matatni. Egyáltalán nem szorulsz védelemre, csak gondoltam megemlítem, hogy ilyen is van. Én azért szeretem, mert egyszerű a használata, a dolgok nagy részét (kevés kivíteltől eltekintve) elintézi helyetted. Mondjuk én is jobban szeretem magam kitalálni a dolgokat, mert ha már egyszer sikerült akkor onnantól kezdve máskor is menni fog. Meg van sikerélménye az embernek. Amit nagyon szeretek a Linuxban, hogy szövegfájlok szerkesztésével lehet állítgatni mindent. Amikor pedig egy már működő rendszeren kellene valami újat beállítani akkor csak egyszerűen elmentem az adott konfig fájlt, vagy az egész /etc könyvtárat és kész. Probléma esetén simán vissza lehet állni a korábbi állapotra. Üdv. Gábor budacsik attila írta:

2006. június 30. 13.59 dátummal Gabor Boros ezt írta:

...

A 22-es az ssh alapértelmezett portja. Amennyiben nem akarsz távolról belépni akkor ne hagyd nyitva.

Direkt csinálod "kézzel"? Pl. a SUSE-ban ott van SuSEfirewall2, szerintem mindent meg lehet vele oldani, legalábbis nekem eddig még sikerült.

Üdv. Gábor Igen, direkt csináltam kézzel, hogy megtanuljam, tujajdonképpen, így hamaram megértem mintha csak olvasgatnék róla. Hogy kell használni a SuSEfirewall2-t? Vagy ez az lenne amikor a YaST-ban be lehet állítani a tűzfalat? Erre gondolsz? Az tényleg jó, de nekem valamiért jobb érzés. Nem is tudom miért. Valaki védjen meg.

Ott a logolást is be lehet állítani?

--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org

Nem árt lementeni az egész etc-t nehogy kimaradjon valami. Én sem írnám felül az egész könyvtárat. Elég azt a pár fájlt visszamásolni amit éppen szükséges. Pl. ha Samba futott a gépen, és mondjuk nincsenek különböző felhasználók, hanem mindenki hozzáfér mindenhez, akkor csak visszamásolod az adatokat a régi helyükre, visszaállítod az smb.conf-ot a mentésből, és minden megy is tovább. Perzse előtte a gép nevét, a hálózatot, stb-t be kell állítani. Ezek szerint eddig futott a SuSEfirewall2-is? Szerintem az /etc/init.d-be tedd a szkriptedet és csinálj neki symlinket(szimlinket?) attól függően, hogy melyik futási szinten szeretnéd ha elindulna. Azért javítsatok ki, ha hülyeségeket beszélek ;-) Jó hétvégét Mindenkinek! Üdv. Gábor budacsik attila írta:

Ezaz, a sikerélmény ami a legjobban vonzott a Linuxhoz. Windows-ban nem sok volt :) Viszont ez a /etc mentése és visszaállítása már egy másik fontos dolgot vet fel bennem, mégpedig a bacup-ot. Egy fórumon már kérdeztem, hogy ha egy szerver /etc mappályát hetente backup-olom és egy reinstall után visszaírom a régi /etc full, akkor az úgy működik is? Erre az igen választ kaptam, de valamiért nehzen hiszem el. Jó persze ugyan azokat a programokat fel kell telepíteni. De biztos működik? Véleményem szerint elég lenne csak a változtatandó konf. fájlokat menteni majd azokat visszaírni.

A /etc/sysconfig/SuSEfirewall2 fájlt megnézem én is azért. Még egy kérdés. Hogy oldjam meg, hogy rendszerindításkor már CSAK az én szkriptem induljon el? Láttam, hogy a Yast-ban ki lehet kapcsolni a suse tűzfalát, de hogy érjem el, hogy az enyém lépjen életbe? A /etc/boot.local-ba kell egy elérési út neki?

budacsik

--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org

--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org

A szimlinket a /etc/init.d/rc5.d és /etc/init.d/rc3.d mappába kell tenni akkor ha jól értelmezem, csak még ide nem nyúltam bele soha. A szmilinket így kell létrehozni?

Erre valo a "runlevel editor" vagy magyarul a "futasiszint szerkeszto". Az megcsinal mindent szepen magatol... {asm} --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org

2006. 07. 1, szombat keltezéssel 09.04-kor budacsik attila ezt írta:

2006. július 1. 06.52 dátummal Gabor Boros ezt írta:

...

Ezek szerint eddig futott a SuSEfirewall2-is? Szerintem az /etc/init.d-be tedd a szkriptedet és csinálj neki symlinket(szimlinket?) attól függően, hogy melyik futási szinten szeretnéd ha elindulna. A szimlinket a /etc/init.d/rc5.d és /etc/init.d/rc3.d mappába kell tenni akkor ha jól értelmezem, csak még ide nem nyúltam bele soha. A szmilinket így kell létrehozni? ln -s /etc/init.d/firewall.sh /etc/init.d/rc5.d/firewall.sh és ln -s /etc/init.d/firewall.sh /etc/init.d/rc3.d/firewall.sh ? Egyszer a pure-ftpd-nél kellet ezt csinálnom, ott így kellett. A linkelt szkript neve elé kell egy szám is, így a szkript utoljára fog elindulni, pedig pl a network és az apacs közé kellene tenni :)

A chkconfig paranccsal állíthatod be, hogy egy "service" induljon-e, vagy sem. Ez pont ugyanazt csinálja, mint a YaST futásiszint szerkesztője. Azért írom ezt, mert úgy érzem, hogy kicsit távol tartod magad a YaSTtól. Hogyha írsz egy saját indítószkriptet, akkor éredemes megcsinálni rendesen: /etc/init.d/skeleton. Hogyha megcsinálod a headert (BEGIN INIT INFO) is, akkor azt a szkriptet is tudod kapcsolgatni a chkconfig paranccsal. A kézzel való linkelést azért nem ajánlom, mert a YaST vagy a chkconfig pl átrendezi az indulási sorrendet, hogyha nincs rendes init info a szkriptedben. Papp Zsolt --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org

2006. 07. 2, vasárnap keltezéssel 09.46-kor budacsik attila ezt írta:

1. Létrehoztam a firewall.sh szkriptet a /root/bin mappába 2. készítettem egy firewall nevő szkriptet a /etc/init.d mappába a SuSefirewall2 alapján. Íme: #!/bin/bash

FIREWALL="/root/bin/firewall.sh"

case "$1" in start) echo "Budacsik firewall start ..." $FIREWALL -q start ;; stop) echo "Budacsik firewall stop ..." $FIREWALL -q stop ;; restart) $FIREWALL -q stop $FIREWALL -q start ;; status) echo "Budacsik firewall check ..." iptables -L ;; * ) echo "Use: $1 {start|stop|restart|status}" ;; esac Ezzel nincs semmi baj, ez így jó. Ami hiányzik egy picit az az init info ld. lejjeb.

Jobbat nem tudok, ennyit értek hozzá. 3. a szilinket megcsináltam, és elvileg jó lett, de automatikusan nem indult. 4. Ekkor a yast-ban beállítottam a 2 3 5-ös-re, hogy induljon el és mostmár megy. De mt csinált a yast amit én nem?

Valószínűleg az történt, hogy nem tettél a link nevének elejére egy S-betűt és egy számot, az initrendszer csak ezeket a fájokat futtatja le. Trükkös. ;) Nézd meg a link nevét most.

...

Hogyha írsz egy saját indítószkriptet, akkor éredemes megcsinálni rendesen: /etc/init.d/skeleton. Hogyha megcsinálod a headert (BEGIN INIT INFO) is, akkor azt a szkriptet is tudod kapcsolgatni a chkconfig paranccsal. Igen, a skeletont közben megtaláltam és nézegetem is, de nem értek belőle dolgokat, például: # Check for missing binaries (stale symlinks should not happen) # Note: Special treatment of stop for LSB conformance FOO_BIN=/usr/sbin/FOO test -x $FOO_BIN || { echo "$FOO_BIN not installed"; if [ "$1" = "stop" ]; then exit 0; else exit 5; fi; }

Ez a rész teszteli, hogy a futtatandó bináris (a te esetedben a szkript) elérhető-e. Hogyha nem lehet futtatni a /usr/bin/FOO programot, akkor nem megy tovább a szkript.

# Check for existence of needed config file and read it FOO_CONFIG=/etc/sysconfig/FOO test -r $FOO_CONFIG || { echo "$FOO_CONFIG not existing"; if [ "$1" = "stop" ]; then exit 0; else exit 6; fi; }

# Read config . $FOO_CONFIG Itt pedig az történik, hogy egy külön fájba lehet felvenni a default változók értékét. pl a /etc/sysconfig/firewall fájlba beírhatod a $FIREWALL változódat. Nézegesd meg a sysconfig fájlokat a /etc/sysconfig könyvtárban, csak olyan fájlok vannak ott, amiben változók vannak definiálva és mindet az initszkriptek használják. Tehát az initszkriptek configjai vannak ott.

...

A kézzel való linkelést azért nem ajánlom, mert a YaST vagy a chkconfig pl átrendezi az indulási sorrendet, hogyha nincs rendes init info a szkriptedben. init info? azt hogy?

Az init info a szkripteknek az a része, ami a ### BEGIN INIT INFO és az ### END INIT INFO közötti rész. Itt van definiálva, hogy a szkript milyen szolgáltatást nyújt, és hogy milyen szolgáltatásoktól függ. Valamint az, hogy alapértelmezésként milyen futásiszinteken fusson. init info pl ### BEGIN INIT INFO # Provides: own_firewall # Required-Start: $network $local_fs # Should-Start: $ALL # Required-Stop: $local_fs # X-UnitedLinux-Should-Stop: # Default-Start: 3 4 5 # Default-Stop: 0 1 2 6 # Short-Description: This is my own firewall # Description: This firewall closes all ports from the # outside except ssh ### END INIT INFO A YaST futásiszint szerkesztője és a chkconfig parancs is ez alapján működik. Üdv, Papp Zsolt --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org

Szia,

Az a probléma, hogy ezt a scriptet renszerindítás után léptetem életbe és szerintem ennek tudható be ez: sentinel:/etc # nmap localhost Nezd meg az iptables kimenetet, amit a listara is elkuldtel, ott lathato hogy a loopback-rol minden forgalom engedelyezve van. Tehat ha nmap localhost-ot vizsgalsz, szerintem meg normalis is hogy ezt kapod eredmenyul... Vizsgald azt, ahonnan a tamadast varod...

Udv, Emeric --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org

...

...

On Fri, Jun 30, 2006 at 1:13 PM, in message <200606301313.16000.budacsikattila@citromail.hu>, budacsik attila wrote: Szia! Az a probléma, hogy ezt a scriptet renszerindítás után léptetem életbe és szerintem ennek tudható be ez: sentinel:/etc # nmap localhost

Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2006- 06- 30 13:10 CEST Interesting ports on localhost (127.0.0.1): Not shown: 1675 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 111/tcp open rpcbind 10000/tcp open snet- sensor- mgmt

Mrmost én befelé az ssh- n kívül semmit nem negedek új kapcsolatot. Fogalmam sincs, hogy mit keres ott az alsó 3 sor. A 25-öt kifelé engedem, de a 11 és 10000?? Nemtudom. Utóbbit tudom a webminé de én a tűzfalamban már nem engedtem ki. Le is törlöm, úgyse értek hozzá :)

A szkriptedben a localhostról érkező csomagokat elfogadod, így akármelyik helyi interfészedet szkennelheted, minden nyitva lesz. Hogya az iptables kiszűr egy portot, akkor az nmap azt mondja, hogy filtered, hogyha élér egy portot, akkor attól függően, hogy fut-e ott szolgátatás open, vagy closed, de ezek a portok elérhetőek. --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org

Ezektől nem kell félni. Tiltsd le a root login-t, és válassz nagyon nehezen kitalálható jelszavakat. És mindig használd a legfrissebb sshd-t. :) Ezek csak ilyen szkriptecskék, amik véletlenül találták meg a cimed. Hogyha óriási betűkkel benne van a logban, hogy "POSSIBLE BREAKIN ATTEMPT!" akkor nincs mitől tartanod. Hogyha ezeket el szeretnéd kerülni, akkor futtasd az sshd-t pl a 2222-es porton, ott nem fogják megtalálni ;) Egyébként a szkripted működik, és ez a lényeg. Nincs olyan tűzfalszkript, amin nem lehet egy picit finomitani, de ebből kiindulva a fél életedet iptables configolással tölthetnéd. Időnként érdemes felülvizsgálni a szkriptet, hátha ellestél időközben egy-két új fogást, egyébként ne törődj vele túl sokat. Üdv, Zsolt

...

...

On Fri, Jun 30, 2006 at 2:55 PM, in message <200606301455.58686.budacsikattila@citromail.hu>, budacsik attila wrote: Most történt meg az igazi teszt. Valaki 5 percen keresztül molesztálta a 22-es portomat. Jun 30 14:22:19 sentinel sshd[9088]: Invalid user mailnull from 69.59.184.196 Jun 30 14:22:19 sentinel sshd[9088]: reverse mapping checking getaddrinfo for customer-reverse-entry.69.59.184.196 failed - POSSIBLE BREAKIN ATTEMPT! Jun 30 14:22:21 sentinel sshd[9090]: Invalid user nfsnobody from 69.59.184.196 Jun 30 14:22:21 sentinel sshd[9090]: reverse mapping checking getaddrinfo for customer-reverse-entry.69.59.184.196 failed - POSSIBLE BREAKIN ATTEMPT!

rengeteg ilyen sor került a messages logba, de nem sikerült bejutnia. Mi a teendő? Betojtam :S

--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org