Jeżeli plik /etc/nologin istnieje sshd nie pozwoli na logowanie zdalne na inne konto niż root. Więc jeżeli macie dostęp do konsoli lokalnej możecie na 100% zablokować logowanie na root-a, natomiast jeżeli macie tylko ssh (mały serwerek gdzieś podpięty), pomyśle o tym 2 razy…
Archiwum kategorii: Bezpieczeństwo
knockd: konfiguracja na VPS-ie opartym na OpenVZ
Na moim VPS-ie mam zainstalowanego Ubuntu. Podstawową sprawą w konfiguracji jest wskazanie karty sieciowej jako venet0:
root@ziutus:/var/log# egrep -v "^#|^$" /etc/default/knockd START_KNOCKD=1 KNOCKD_OPTS="-d -i venet0:0"
Dalej standardowo konfigurujemy /etc/knockd.conf
root@ziutus:/var/log# cat /etc/knockd.conf [options] # UseSyslog logfile = /var/log/knockd.log [openSSH] sequence = 9537,7496,3512 seq_timeout = 5 command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT tcpflags = syn [closeSSH] sequence = 3512,7496,9537 seq_timeout = 5 command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT tcpflags = syn
Linux: nc jako proste narzędzie do pukania
Instalowałem dzisiaj na serwerze knockd aby mój serwer nie miał domyślnie otwartego portu ssh dla wszystkich. Pytanie tylko jak łatwo zapukać do portu? najprościej tak (jeżeli nie ma klienta knock):
for PORT in 9537 7496 3512; do nc -w 1 -z SERVER $PORT; done
Albo zrobić sobie alias:
alias server_knock_in ='for PORT in 9537 7496 3512; do nc -w 1 -z SERVER $PORT; done' alias server_knock_out='for PORT in 3512 7496 9537; do nc -w 1 -z SERVER $PORT; done'
AIX: syslog reportujący do zdalnego rsyslog-a
Po uruchomieniu AIX-a, gdy macie zamiar logować do zdalnego rsyslog-a, może się pojawić problem iż wiadomość w syslog-u pojawia się z miłym komunikatem: „Message forwarded from”, np:
Apr 15 18:33:52 Message forwarded from node1: syslogd: Good Bye
AIX: przeglądanie udanych i nieuadnych logowań do systemu
Udane logowania:
last
Nieudane logowania są zapisane w pliku /etc/security/failedlogin:
who -a /etc/security/failedlogin
Linux: rsyslog i logowanie zdarzeń przychodzących na UDP 514 port
Rozbudowywuje swój lab, jednym z jego elementów będzie centralny serwer logów zbierający logi ze wszystkich urządzeń. Jako że urządzenia Cisco, routery domowe czy potencjalne AIX-y będą raportować na port 514 UDP, stworzyłem więc konfigurację rsyslog-a (osobny plik jako że chce stworzyć pakiet do instalacji na systemach – łatwe odtworzenie systemu):
Czytaj dalej Linux: rsyslog i logowanie zdarzeń przychodzących na UDP 514 port
Linux: firewall – przegląd oprogramowania wspomagającego (w trakcie tworzenia…)
Krótki przegląd ciekawych projektów związanych z firewall-ami w Linuksie:
- ferm – „metajezyk” do generowania firewall-i, krótka recenzja po polsku:
http://devrandom.pl/blog/2009/06/19/jak-opanowac-natlok-regul-w-iptables-ferm/#more-280
Firefox i RAMdisk + launcher
Cóż, jak napisałem wcześniej, mój Firefox korzysta z RAMDysk-u czyli po każdym restarcie systemu cache jest tworzony na nowo. Własnie, po każdym restarcie a ja tak często nie lubie restartować latoptopa bo jestem leniwy. Należało więc sprawić aby cache był czyszczony zawsze, gdy tylko Firefox jest uruchamiany, rozwiązaniem okazał się luncher w Gnomie oraz prosty skrypt:
#! /bin/bash ISRUN=`ps -ef | grep -i firefox | grep -v grep | wc -l` RAMDISK=/var/ramdisk/ramdisk0/Cache test -d $RAMDISK && rm -rf $RAMDISK/* firefox %u & exit 0
Firefox i cache w ramdisku
Niektórzy są paranoikami, niektórzy chcieliby nimi być (ze względu na standardy bezpieczeństwa przez nich stosowanych). Dla nich wszystkich porada jak uruchamiać Firefox-a, który trzyma cache w ramdysku, czyli za każdym uruchomieniem na pusty cache.
Iptables – komentowanie reguł firewall-a
Tworząc reguły firewall-a często przydałoby się skomentować skąd one wzieły się. Możemy to oczywiście zrobić w własnym skrypcie ale większość dystrybucji (wszystkie?) mają skrypty startowe, gotowe rozwiązania, narzędzia wspomagające itp. Poza tym przyjemnie byłby listując reguły firewall-a widzieć ich przeznaczenie. Na szczęście niektórzy pomyśleli o tym przede mną i mamy moduł „comment”. Efekt jego urzycia jest następujący:
[root@centos ~]# iptables -L -n | grep -i httpd ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp multiport dports 80,443 /* httpd - apache2 */
A regułę tworzymy następująco:
iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp -m multiport --dports 80,443 -m comment --comment "httpd - apache2" -j ACCEPT
Jak widać idealnie nadaje się do łączenia z innym modułem: multiport.