Siguria - Linux

gurax

gurax

Pan ignoramus
Linux (Security)

Ne kete teme mund te diskutohen probleme te pergjithshme qe kane te bejne me sigurine e sistemit baze per servera te implementuar me GNU/Linux.




http://ubuntuforums.org/showthread.php?t=253373
Pscan2
-------
Kushdo qe perdor Linux, pavaresisht versionit specifik, preket. Nuk eshte vetem per Ubuntu.

Gjeja e pare qe behet (gjate kohes qe lexohet permbajta dhe diskutimi ne ate faqe) eshte:

# updatedb
# locate Pscan2

Nese gjehet dhe izolohet ku eshte, arkivohet/zhduket nga sistemi.

# ps auxw (si dhe "ps auxwf")

Nese shihni nje proces qe quhet "???" , ai eshte prej kesaj. Ka shume mundesi qe sshd eshte zevendesuar me nje sshd te infektuar qe punon ne kooperim me Pscan2. Restriktoni aksesin ssh te sistemit ne fjale vetem nga nje brez i ngushte i adresave te mundshme me:

# iptables -I INPUT -p tcp -s ! 192.168.1.0/24 --dport 22 -j DROP
( shembull ku 192.168.1.0/24 eshte rrjeti perkates)

Me pas mundesisht remove te cdo gjeje qe ka te beje me ssh/sshd dhe riinstalim i nje versioni sa me te fundit. Ne pamundesi te kesaj, replace i te vjetrit me te riun.

Gjate tere kesaj kohe mbani nen mbikqyrje /var/log/auth.log /var/log/syslog /var/log/messages si dhe here pas here kontrolloni cfare jep: # dmesg

Nese per nje arsye apo nje tjeter perdorni ssl libraries, duhen nderruar dhe ato me te reja.

Te tera keto me lart, jane vetem per te fituar kohe dhe mos ngeleni si peshku pa uje gjate planifikimit per nje INSTALIM TE RI te sistemit. Sistemi aktual tashme eshte krejtesisht i pa-besueshem dhe pastrimi nuk garanton qe te tera "glasat" e lena verdalle jane hequr.
 
Al-Punk

Al-Punk

Still here
Re: Linux (Security)

Po mire,
Nuk jep asnje informacion se si mund te infektohesh nga ky... Ka plot scripte qe pasi te jene ne sistem jane njesoj te rrezikshem
 
gurax

gurax

Pan ignoramus
Re: Linux (Security)

sniffed/insecure/bruteforced/stolen login/sql/imap/pop3/login password (mbas sql access behet nje dump ne nje file qe me pas ekzekutohet, qe ketu fare mire mund te mos kete me nevoje per hapat e tjere). -> local user access -> mundesi per in-site compile -> mundesi per socket interception & shadow-file revealing |ose| socket file replication -> sniff sshd activity -> gjate sshd service restart thirret me wrapper qe shkruan ne nje tjeter socket AS WELL ne /tmp apo diku ku mund te shkruhet nga cdokush. Dikur do kete root-login.
END

Ne fakt ka plot menyra dhe kjo eshte vetem njera prej tyre. Eshte e hidhur sespe luan pikerisht me faktorin e sigurise "cdo gje eshte e kriptuar." Dhe plus nuk eshte se nese e merr sot i sheh demet po sot. Mund te kaloje nje kohe e pacaktuar gjate cdo faze steal pass/bruteforce/try-create-socket. Ne keto momente praktikisht nuk ka asnje shenje qe po ndodh dicka jo normale.

Strumbullari eshte perhere "system user missuse/abuse". Passworde te sigurta eshte mbrojtja me e mire nga kjo dhe tere familja e malware te ketij lloji.
 
Al-Punk

Al-Punk

Still here
Re: Siguria - Linux

Personalisht gjeja e pare qe bej ne nje server Linux eshte bllokimi i aksesit ne porten 22 (shell) nga cdo IP ne skedarin: /etc/hosts.deny
<div class="ubbcode-block"><div class="ubbcode-header">Code:</div><div class="ubbcode-body ubbcode-pre" style="height: 34px;"><pre>sshd:all </pre></div></div>

Dhe lejimi tek /etc/hosts.allow i IPve qe do aksesojne serverin.
<div class="ubbcode-block"><div class="ubbcode-header">Code:</div><div class="ubbcode-body ubbcode-pre" style="height: 34px;"><pre>sshd:MYIP </pre></div></div>

Brute Force per SSH eshte nder tentativat me te zakonshme ne internet.

Rendi eshte i rendesisshem, fillimisht (allow dhe me pas deny), nese beni te kunderten, do gjendeni jashte serverit.
 
L

lor

Primus registratum
Re: Siguria - Linux

Mandi, mjafton të instalosh denyhosts (http://denyhosts.sourceforge.net/) për sa më sipër. Përveç mbrojtjes, do të regjistrohen të gjitha adresat IP prej nga vijnë sulmet dhe automatikisht do të njoftoheni kur jeni nën sulm.
 
Al-Punk

Al-Punk

Still here
Re: Siguria - Linux

Lor pershendetje,
e Pashe denyhosts si script (pa e instaluar). Duket interesant, por une preferoj ti mbyll te gjitha IPte e te le hapur vetem IPte qe e di qe do kem access. Eshte me mire se te mbyllesh IPte nga te cilat ke sulme.
Edhe 2 firewallet qe kam permendur ne nje shkrim tjeter, csf dhe apf bejne lexim loghesh dhe bllokojne bruteforce attacking (ne ssh dhe ftp).
 
L

lor

Primus registratum
Re: Siguria - Linux

Sigurisht, të mbyllësh të gjitha IP është zgjidhja më e thjeshtë, por jo më praktikja apo e këshillueshmja. Unë udhëtoj vazhdimisht dhe askush nuk mund të më garantojë gjatë udhëtimeve një IP fikse sipas dëshirës sime. Në kohën që arrin thirrja e një klienti (apo bashkpunëtori) duhet të jem gjithmonë në gjendje të ndërhyj në çfarëdo serveri, kudo që të ndodhet serveri e kudo që të gjendem unë.

Në rastin kur kemi të bëjmë me server në të cilët jemi pak persona që "futim duart", ndryshohet menyra e identifikimit në server: jo më me user/password por vetëm me kyçet personalë (keys). Në këtë menyrë kur dikush kërkon të futet në server via ssh, sistemi verifikon kyçet dhe nëse të panjohur, as i përgjigjet fare.
 
You must log in or register to reply here.
Top