Безопасность Gentoo
Наверно рано или поздно людям находящимся в интернете приходит на ум мысль "а не пробрался ли на мой компьютер злобный хакер и поломал там все" ну или типа того... =) Так вот в связи с этим есть вопросы:
1) Как проверить своего пингвина на наличие вредных привы... э-э-э... вредных программ работающих без ведома владельца(вирусы, руткиты и т.п. дрянь)?
2) Где смотреть логи по соединению с компьютером и (если возможно) что хотели эти граждане? Вернее не так, я так понимаю что смотреть /var/log, а вот что именно смотреть?
3) Как простейшим образом настроить правила iptables дабы как-то себя обезопасить от вторжения извне?
4) А вообще нужны эти файерволы и т.д.? (типа, в линуксе как в танке =) )
5) Как проверить свою систему на пуленепробиваемость?
5) Может поделитесь своей методикой защиты от врагов? =)
Компьютер -- обычный-одомашненный без Апачей, ДНС-серверов и тому подобных программ...
- Для комментирования войдите или зарегистрируйтесь
Re:
1) Без необходимости не работать под рутом. А работать под обычной пользовательской учеткой, хотя конечно некоторым программам для установки требуется права root'a.
2) Файерволы обязательно нужны.
3) Ставить различные заплатки. Быть в курсе последних критических уязвимостей.
По поводу IPtables, очень много русской документации. Ищи в поисковиках.
обезопасить можно дополнительно включив птички, в ядре теперь есть птичка которая полностью блокирует использование эксплоитов типа переполнения стека CONFIG_DEBUG_STACKOVERFLOW=y и CONFIG_KPROBES=y - выходит тогда - линух становится непробиваемым через переполнение стека? может я чего не понял... а проверялка на руткиты есть, я ей во фре пользовался пока не надоело - у нее такое громкое название, но я забыл, тут наверняка кто-то вспомнит, а еще есть антивирус clamav
Файроволом является iptables. В /var/log статистика соединений с другими компьютерами по умолчанию не пишется. ЧЯтобы это изменить, надо, например, написать соответствующие правила для iptables.
Только следует учесть, что в лог попадет КАЖДЫЙ пакет, подошедший под описание. По идее можно создавать правила реагирующие один раз на N подошедших под них пакетов, сам еще не пробовал, но в HOWTO было.
какого рода соединения собрался мониторить?
если просто пакеты идущие в твою сторону (ну например скан портов увидеть захочешь) то тебе правильно сказали про iptables (только логи могут исчисляться и сотнями мегабайт-гигабайтами в сутки, да и врятли ты в них много поймешь... к ним анализатор неплохо бы прикрутить :) )
если у ты хочешь мониторить попытки коннекта к службе какойто запущеной (например sshd) то копай ее настройки... Но в общем случае - iptables
насчет антивирусов - забей... они все определяют виндовые вирусы... линуховых вирусов почти нет, а те что есть, почти наверняка, не работают под современными системами.
Насчет руткитов- есть куча мониторилок по этому поводу
esearch -S rootkit [ Results for search key : rootkit ] [ Applications found : 2 ] * app-forensics/chkrootkit Latest version available: 0.45 Latest version installed: [ Not Installed ] Size of downloaded files: 39 kB Homepage: http://www.chkrootkit.org/ Description: a tool to locally check for signs of a rootkit License: AMS * app-forensics/rkhunter Latest version available: 1.2.3-r1 Latest version installed: [ Not Installed ] Size of downloaded files: 165 kB Homepage: http://www.rootkit.org/ Description: Rootkit Hunter scans for known and unknown rootkits, backdoors, and sniffers. License: GPL-2_________________
GNU/Wonderland -- GNU/Страна чудес, страна, в которой вы часто бываете, но, в которую, что примечательно, не надо оформлять визу.
я iptables вообще не включаю -- нечего прикрывать просто
логи по соединениям можно смотреть с помощью утилиты IPPL
если нет никаких сервисов, то
_________________
GNU/Wonderland -- GNU/Страна чудес, страна, в которой вы часто бываете, но, в которую, что примечательно, не надо оформлять визу.
я б еще приписал
iptables -A INPUT -i lo -j ACCEPT
а то может всякая лажа происходить при DROP на lo!
это верно...но я просто ткнул в какую сторону смотреть, т.к. проблемы полюбому могут возникнуть :) фаер надо настраивать пож конкретную ситуацию
_________________
GNU/Wonderland -- GNU/Страна чудес, страна, в которой вы часто бываете, но, в которую, что примечательно, не надо оформлять визу.
Если есть локалка и ну очень страшные там люди, то можешь обратить внимание в сторону IDS (Система обнаружения вторжений), например Snort.
По-поводу галочек в ядре, это конечно здорово что они там появились, но это еще ни чего не значит, в ядре тысячи дырок... Раз уж заговорили о ядре, то можно попробывать патч от grsecurity.
+ http://www.gentoo.org/doc/ru/gentoo-security.xml
Почитай http://www.linuxshop.ru/lib/secur/homenet.htm
Спасибо всем за советы, лично я их обязательно учту... =)
А ведь в ссылке на статью выше один из основных советов -- проверить свой компьютер на уязвимости с помощью сайтов по безопасности... этим кто-нибудь пользовался? И еще один вопросик вдогонку:
А вот когда я делаю emerge sync то он ставит какие-то заплатки что ли? Переодически возникает похожее сообщение (к сожалению не могу листинг привести). И вообще, стоит ли постоянно заниматься emerge sync && world, в плане безопасности это что-нибудь дает или нет?
Emerge sync обновляет информацию о программах. Если появилась новая версия, то в следющий раз она будет скачана и поставленна. Соответственно будут закрыты дыры, убранные в последней версии из портежей.
уточнение...
Если я использую только Оперу и Gaim в сети, то обновляю только их я могу быть на 99% уверен что ко мне ка компьютер никто не заберется?
Ответ коротен и
Ответ коротен и ясен:
"Выдерни кабель и не мучайся"
А ядро ты в сети
А ядро ты в сети не используешь?
_____________________
Дорогу осилит идущий!
СТОП!
зачем юзать файервол, если нет ни одного открытого порта?
что прикрывать то? к машинке приконектиться всё равно просто нереально,,,
руткиты опять же в системе не появятся сами по себе -- не ставь всё что подруку попадётся, качай пакеты только с офф-сайтов...
Как зачем? Если
Как зачем? Если нет открытых портов, врубаешь DROP и MASQUIERADE, тогда можно спокойно работать. Но ведь и в ядре иногда находят уязвимости подходящие для удаленных атак. Кстати, и DOS атаки тоже никто не отменял.
_____________________
Дорогу осилит идущий!
таак
DoS атака на комп без открытых портов грозит максимум подвисанием -- подконнектиться к компу всё равно не получится, от DoS вроде бы достаточно просто грамотно заюзать /etc/sysctl.conf
конечно рано или поздно нйдётся умник, который всёравно подвесит комп своим DoS, но подконнектиться то всё равно не сможет -- зацепится не зачто, точнее прицепиться -- потому как без открытых портов и висящих на них сервисах определить версию уязвимого ПО, версию ядра или даже тип ОСи невозможно, нетак ли? или будут пробовать всё подряд? +)
правильно, но...
Все верно. Но мне не хотелось бы, чтобы меня сканили и проверяли на прочность всякими эксплойтами и DOS-атаками. Пусть даже это и грозит всего-лишь подвисанием (плюс нагоняет трафик, а за него я деньги плачу, между прочим, и на этом тоже можно нехило разориться, если не анлим) и невозможностью выйти в инет, не хочу оставлять всяким упрямым пионерам ни шанса (по мозможности, конечно). Потому и ставлю везде на влёт DROP а не REJECT, чтобы не светиться совсем. Ведь при отсутствии открытых портов ядро все равно шлет ответ на запрос о соединении (по умолчанию).
P.S.: Справка о нормальном состоянии психики имеется ;)
_____________________
Дорогу осилит идущий!
То есть...
Если настроить файервол, то никакие DoS-атаки и сканирование не страшно? Даже при наличии ошибок в ядре? Или я опять все не так понял? И вообще получается что:
1) Файерволом пользоваться необходимо
2) Надо обновлять программы которые выходят в сеть, на остальные можно "забить"...
3) Обновлять исходники ядра как только, так сразу.
Этого достаточно чтобы спокойно быть в сетке?
P.S. Вариант с выдергиванием шнурка не пойдет, извини icegreg... =)
По пунктам: 1)
По пунктам:
1) Верно;
2) Верно;
3) Обновлять ядро сразу, как только найдут проблемы в безопасности ядра, и выпустят патчи.
И еще, DOS и сканирование -- это к ядру и файрволу (в ядре есть настройки от DOS)
_____________________
Дорогу осилит идущий!
Установил и настроил как смог IPTABLES
Учтя все советы сделал так:
emerge iptables
iptables -P INPUT DROP
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P FORWARD DROP
/etc/init.d/iptables save
rc-update add iptables default
/etc/init.d/iptables start
затем зашел на сайт www.pcflank.com и решил проверить свой комп на открытые порты... А он выдал:
Warning!
The test found visible port(s) on your system: 21, 23, 80, 135, 137, 138, 139
А это как??? Вернее почему? Что надо дописать чтобы закрыть порты?
а у тебя точно
а у тебя реальный IP? может это шлюз провайдера?
_________________
GNU/Wonderland -- GNU/Страна чудес, страна, в которой вы часто бываете, но, в которую, что примечательно, не надо оформлять визу.
вроде...
Динамический IP выделяемый при подключении через ADSL-модем(Стрим, МТУ-Интел).
P.S. На pcflank.com высвечивался именно мой IP для тестирования. Может nmap поставить и самому себя... ?
_________________
конечно же Nmap
один из самых верныз способов: # nmap -sS localhost
+++
21, 23, 80, 135, 137, 138, 139 -- все эти сервисы тебе реально нужны?
Да в том то и дело...
что никаких Самб, Апачей, ssh, ftp и т.д. у меня отродясь не было =) но откуда pcflank.com их берет -- я не понимаю.
Nmap говорит что:
All 1663 scanned ports on localhost (127.0.0.1) are: closed
то же самое если пишу не loopback, а реальный ip в интернете.
pcflank упорно выдает мне информацию о открытых портах.
пробовал в nmapе указать диапазон портов с 20 по 140, пишет что все 121 порт закрыты. Может там как-то не так проверяют? :-/
да не твои это
да не твои это порты, а шлюза...
_________________
GNU/Wonderland -- GNU/Страна чудес, страна, в которой вы часто бываете, но, в которую, что примечательно, не надо оформлять визу.