HammerOn
Newbie
Karma: +0/-0
 Offline
Posts: 18
|
 |
« il: Maggio 29, 2008, 07:16:28 » |
|
buongiorno mastri debian specializzati in sicurezza  espongo il mio dubbio/problema: come da oggetto gestisco un virtual server(debian) e per sua natura è esposto, a finestre spalancate alla giungla della rete, quindi per fare sogni un po più tranquilli volevo installagli un firewall, ma subito dopo questa idea mi è balzato in mente un dubbio atroce: siccome io mi collego al virtual server tramite ssh se gli installo un firewall non rischio di essere tagliato subito fuori e non poter più accedere al suddetto?? come quei babbazzi (esperienza personale ^_^) che montano la porta di casa stra fika(quella che se vieni da fuori puoi aprirla solo con la chiave) e lasciano inavvertitamente le chiavi in casa e sono costretti a chiamare i pompieri ^_^ ihiiihhi attendo una vostra risposta!!! |
|
|
|
|
Loggato
|
|
|
|
|
MaXeR
|
|
« Risposta #1 il: Maggio 29, 2008, 11:17:36 » |
|
ciao! innanzitutto utilizzerei shorewall (che si appoggia a iptables)! ha la possibilità di specificare un IP a cui lasciare aperto tutto! inoltre ti consiglio di mettere come primissima regola l'apertura della porta 22 al mondo intero  |
|
|
|
|
Loggato
|
|
|
|
|
metaldaze
|
|
« Risposta #2 il: Maggio 29, 2008, 11:35:33 » |
|
Giustissimo come dice Maxer: l'importante è tenere aperto ciò che serve.
Aggiungo solo una cosa: io cambierei la porta sulla quale è in ascolto ssh con una porta che Iana non ha assegnato a nessun servizio (ad esempio la 4422), così ti eviti il fastidio di ricevere degli attacchi di brute force su ssh che non è una cosa tanto rara.
|
|
|
|
|
Loggato
|
|
|
|
|
GipPasso
|
|
« Risposta #3 il: Maggio 29, 2008, 05:45:07 » |
|
Confermo il consiglio di metaldaze.
Io per pigrizia non l'ho fatto, però ho visto molti tentativi di login con utenti assurdi.
Provenivano dal Brasile.
La cosa importante è che ho disabilitato il login di root. Prima utente, poi "su -".
GipPasso.
|
|
|
|
|
Loggato
|
|
|
|
seg
Newbie
Karma: +0/-0
Offline
Posts: 14
|
|
« Risposta #4 il: Maggio 29, 2008, 06:47:32 » |
|
Non ho molto esperienza su ssh ma anch'io ho subito su un mio server web un attaco bruteforce che devo dire sono abbastanza comuni.
Mi permetto di indicarti anche un'altra strada: l'autenticazione con il metodo a chiave pubblica.
Spostandoti su un'altra porta sicuramente è una soluzione ma uno esperto vendedo quella porta alta aperta.....
Se rimani col sistema password sceglila accuratamente....
Ottimo il consiglio di disabilitare root da remoto.
|
|
|
|
|
Loggato
|
|
|
|
|
MaXeR
|
|
« Risposta #5 il: Maggio 29, 2008, 06:50:54 » |
|
senza dubbio l'autenticazione con chiave è la soluzione migliore, ma porta ad un problema, soprattutto se non è possibile l'accesso fisico alla macchina: se si perde la chiave si è tagliati fuori :S io, di norma, installo fail2ban: dopo 3 tentativi andati a male banna l'ip per un intervallo di tempo personalizzabile... così gli attacchi di tipo "brute force" risultano essere meno pericolosi (sicuramente esponenzialmente dilatati nel tempo )! |
|
|
|
|
Loggato
|
|
|
|
|
GipPasso
|
|
« Risposta #6 il: Maggio 29, 2008, 10:36:50 » |
|
Il pacchetto consigliato da MaXeR è uno strumento straordinario contro quel tipo di attacchi.
Dopo la serie di attacchi subiti un mio amico lo installò sul mio sistema e da allora dormo sonni tranquilli anche per questo tipo di attacchi.
GipPasso.
|
|
|
|
|
Loggato
|
|
|
|
seg
Newbie
Karma: +0/-0
Offline
Posts: 14
|
|
« Risposta #7 il: Maggio 30, 2008, 05:54:31 » |
|
Ottima discussione E uscito fuori questo pacchetto che non conoscevo..... ma se sono abbastanza bravo posso combinarti un bruteforce con ip spoofing. Si può fare? |
|
|
|
|
Loggato
|
|
|
|
HammerOn
Newbie
Karma: +0/-0
Offline
Posts: 18
|
|
« Risposta #8 il: Maggio 30, 2008, 01:02:19 » |
|
....grazie sono tutte informazioni utilissime e sicuramente ne farò uso...ma il mio dubbio è un'altro......se installo un firewall prima di configurarlo non rischio di essere tagliato fuori per colpa della chiusura iniziale del firewall??
voi non sapete che angoscia mi avete messo addosso con queste risposte.....dove trovo il log degli accessi di ssh?
|
|
|
|
« Ultima modifica: Maggio 30, 2008, 01:05:12 da HammerOn »
|
Loggato
|
|
|
|
|
metaldaze
|
|
« Risposta #9 il: Maggio 30, 2008, 05:23:32 » |
|
Il firewall non è che devi installarlo, c'è già integrato nel kernel e va solo configurato. Di default è aperto a tutto. Quindi no, a meno che non sia tu a sbagliare mentre lo configuri, non ti taglia fuori Per quanto riguarda il log degli accessi, compreso ssh, guarda il file /var/log/auth.log |
|
|
|
|
Loggato
|
|
|
|
|
MaXeR
|
|
« Risposta #10 il: Giugno 02, 2008, 11:48:44 » |
|
Ho scritto una piccolissima guida riguardo fail2ban... se qualcuno ha altro da aggiungere e/o modificare... beh.. grazie |
|
|
|
|
Loggato
|
|
|
|
HammerOn
Newbie
Karma: +0/-0
Offline
Posts: 18
|
|
« Risposta #11 il: Giugno 03, 2008, 09:19:16 » |
|
magari dovrei aprire un altro topic ma siccome ho incominciato qui..... io purtroppo ho un po id carenze in materia quindi vi posto un porzione del mio log delle autenticazioni Jun 3 06:09:01 vsx-077 CRON[14175]: (pam_unix) session opened for user root by (uid=0)
Jun 3 06:09:01 vsx-077 CRON[14175]: (pam_unix) session closed for user root
Jun 3 06:17:01 vsx-077 CRON[14183]: (pam_unix) session opened for user root by (uid=0)
Jun 3 06:17:01 vsx-077 CRON[14183]: (pam_unix) session closed for user root
Jun 3 06:25:01 vsx-077 CRON[14186]: (pam_unix) session opened for user root by (uid=0)
Jun 3 06:25:05 vsx-077 su[14225]: Successful su for nobody by root
Jun 3 06:25:05 vsx-077 su[14225]: + ??? root:nobody
Jun 3 06:25:06 vsx-077 su[14225]: (pam_unix) session opened for user nobody by (uid=0)
Jun 3 06:25:06 vsx-077 su[14225]: (pam_unix) session closed for user nobody
Jun 3 06:25:06 vsx-077 su[14228]: Successful su for nobody by root
Jun 3 06:25:07 vsx-077 su[14228]: + ??? root:nobody
Jun 3 06:25:07 vsx-077 su[14228]: (pam_unix) session opened for user nobody by (uid=0)
Jun 3 06:25:08 vsx-077 su[14228]: (pam_unix) session closed for user nobody
Jun 3 06:25:08 vsx-077 su[14230]: Successful su for nobody by root
Jun 3 06:25:09 vsx-077 su[14230]: + ??? root:nobody
non mi hanno bucato VEROOOO?  :'( :'( potreste darmi una mano a decifrarlo?? CRON è un servizio? ho fatto qualche googlellata ma non ho trovato niente a riguardo... |
|
|
|
|
Loggato
|
|
|
|
|
MaXeR
|
|
« Risposta #12 il: Giugno 03, 2008, 03:19:57 » |
|
cron è un servizio che si occupa di far partire dei comandi ad orari prestabiliti... il fatto che da root diventi nobody (utente che in pratica non fa nulla) mi fa pensare ad un cron script, nulla di pericoloso.. una controllatina con rkhunter, però, la farei |
|
|
|
|
Loggato
|
|
|
|
Maxxx76
Newbie
Karma: +0/-0
Offline
Posts: 4
|
|
« Risposta #13 il: Giugno 04, 2008, 08:25:45 » |
|
se installo un firewall prima di configurarlo non rischio di essere tagliato fuori per colpa della chiusura iniziale del firewall??
con shorewall puoi usare in comando: shorewall safe-restart che ti permette di provare la configurazione, dopo 60 secondi se non ottiene una conferma riporta il firewall alla configurazione precedente |
|
|
|
|
Loggato
|
|
|
|
HammerOn
Newbie
Karma: +0/-0
Offline
Posts: 18
|
|
« Risposta #14 il: Giugno 06, 2008, 02:06:49 » |
|
con shorewall puoi usare in comando:
shorewall safe-restart
che ti permette di provare la configurazione, dopo 60 secondi se non ottiene una conferma riporta il firewall alla configurazione precedente
ciao!
innanzitutto utilizzerei shorewall (che si appoggia a iptables)!
ha la possibilità di specificare un IP a cui lasciare aperto tutto!
leggendo la guida: Do not attempt to install Shorewall on a remote system. You are virtually assured to lock yourself out of that system......PER UN PELO..... |
|
|
|
« Ultima modifica: Giugno 06, 2008, 02:09:56 da HammerOn »
|
Loggato
|
|
|
|
|
Novembre 10, 2005, 09:42:01 
