spuhulinux.blog.hu

Az én UHU-Linux "tudástáram". Ennyi és nem több... Ha kevés, vagy valami nem jó, ígérem kijavítom! Mostanában az alaptéma kiegészül a Wordpress boncolgatásával is. Meg a CMS, ugyebár. Remélem nem baj? :-)

Non-Hungarian Speakers / Readers

Naptár

december 2024
Hét Ked Sze Csü Pén Szo Vas
<<  < Archív
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

Utolsó kommentek

  • Károvics János: Üdv mindenkinek UHU3-at használok, felraktam hozzá egy sype-t. 4.3. Magyar nyelvre nem lehet be ... (2016.02.16. 20:14) UHU felhasználók levelező listája (kezdő)
  • bilolyogus: apt-get install kernel-headers-$(uname -r) (2012.05.29. 16:28) VMware Tools installálás > UHU-Linux (Guest)
  • SPétör: Windows-on nem csináltam, de ez rendben volt? --> " Ajánlom, h olvasd el az infót amit ekkor lá... (2010.08.09. 15:42) Login
  • devil_sasa: szia. Köszi, hogy segítesz... a te írásaid között találtam egy pendrive-ról indítható uhu-linux 2.... (2010.08.09. 14:24) Login
  • SPétör: Szia! Nem figyelem, de kapok figyelmeztetést... Már nem uhuzok, de ha gondolod, mondjad hátha tud... (2010.08.08. 21:13) Login
  • devil_sasa: Szia SPétör! nem tudom ,még figyeled-e ezt a blogot, ha igen lenne egy két kérdésem, ha megtisztel... (2010.08.08. 13:35) Login
  • jocosd: iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT modp... (2010.07.28. 22:31) FTP és iptables karambol
  • MezoArt: Sziasztok! Segítség! Elegem van a Visztából!!! Komolyan elgondolkodtam, hogy mivel lehet leváltani... (2010.05.18. 18:00) Üzenőfal
  • Alfonz64: Nekem így kér root jogot. az asztalon lévő krusader ikonon jobb klikk/tulajdonságok töröld ki a p... (2010.04.03. 19:57) Krusader root jogokkal - megoldás(?)!
  • accipiter: Egy kis segítség: gameworld.blog.hu/2009/09/16/mobiltulajdonosok_itt_az_opera_mini_5_betaja#commen... (2009.09.25. 14:35) PDA vs. linux
  • Utolsó 20

Keresés

Google

Címkék

2.1 (4) ajánló (1) aktuális (1) alltray (1) alt tab (1) analízis (1) analog (1) apache (1) apt (1) aptana (1) apt get (2) asus (1) ati driver (1) basket note pads (2) beállítások (1) bérlés (1) biztonság (17) bleezer (1) blog (16) bluefish (1) böngésző (2) buli (1) bulvár (1) chmod (2) cms (5) cmsmadesimple (2) copy paste (2) creative commons (1) család (1) csomagok kezelése (1) css (2) custom (1) daemontools (2) desktop (4) driver (1) dual homed (1) dv1394 (1) e107 (2) élet (1) életérzés (1) életképek (1) én (1) english (1) etherape (1) exkluzív (1) exploit (1) extension (1) fbrun (1) feladatlista (1) firefox (5) fluxbox (12) folyamatok leállítása (2) fórum (2) freeweb (2) frekvencia (1) ftp (5) fwanalog (5) gkrellm (1) gnome (3) goldenblog (1) google (2) gtk (1) gui (1) gyorsítás (1) hálózat (1) hardware (1) hdd1 (1) htop (1) humor (1) ies4linux (1) ikon (1) információ (3) ingatlan (1) initd (1) inkscape (4) installálás (1) internet explorer (3) ip (1) iptables (27) ip cím (1) iroda (1) java (1) jogok (1) kecskemét (1) képernyő felbontás (2) kernel (3) kiadó (1) kill (2) kimili flash embed (1) kjots (1) klippek (1) konfiguráció (1) krusader (3) linkek (1) linux (1) localhost (2) log (7) login (1) lprm (1) magyarítás (1) média (1) menü (3) messages (1) mindennap (1) monitor (2) mount (4) music (1) mysql (9) napi music (1) napi zene (1) navigator (1) netikett (1) netscape (1) network manager (2) notebook (3) numlock (3) numlockx (2) off (1) olcsó (1) openbox (2) openoffice (2) opera (6) operációs rendszer (1) ötletek (1) partícionálás (2) pc (1) pda (3) php (1) phpmyadmin (2) picasa web album (1) pidgin (2) plugin (6) pocket informant (2) probléma (4) processzor (2) proxy (1) pytube (1) qtparted (1) ram (2) reboot (1) recursive (1) resolution (1) rím (1) rímek (1) root (1) router (1) rtfm (1) runleveld (2) sawmill (1) seamonkey (2) shared folders (4) shutdown (1) skype (3) spuhuflux (4) spuhulinux (6) statisztika (10) sudo (5) swap (1) swiftweasel (1) szkript (1) szolgáltatások (1) szövegelés (44) születésnap (1) tab (1) tango (1) tapasztalatok (1) telepítés (3) tinymce (2) top (2) truecrypt (3) tűzfal (16) uhu (1) uhu linux (31) usb (1) user (1) üzlet (1) vészhelyzet (1) vezérlőpult (1) videókártya (1) virtual disk manager (1) vmmon (2) vmnet8 (2) vmware (7) vmware server (1) vmware toolbox (1) vmware tools (5) vmware workstation (18) wallpaper (1) webfejlesztés (1) webszerkesztés (3) web developer (1) wep (1) wifi radar (3) wiki (1) wireless (3) wordpress (21) wordpress theme (6) wpa (1) wysiwyg (1) xampp (1) xhost (2) xrandr (1) xterm (2) zene (1) Címkefelhő

Egyéb linkek

Saját tűzfal lépésről lépésre 07

2007.05.02. szerda 17:40 SPétör


Lellenőriztem egy különálló laptoppal a kis tűzfal szkriptemet.

Az eredmény elég jónak tűnik:


(INVALID sor nélkül)


(INVALID sorral)

Szóval tényleg a host XP portjait látta az előző ellenőrzés.

SP

18 komment

Címkék: biztonság tűzfal iptables

A bejegyzés trackback címe:

https://spuhulinux.blog.hu/api/trackback/id/tr6766345

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mavo · http://polmavo.blog.hu 2007.05.04. 19:59:13

Nem tartom valószínűnek, hogy a host XP portjait láttad, én inkább a routerre gyanakszom, az ok elég egyszerű, én otthon nem host XP alól futtatom, hanem natívan, és látszólag mégis vannak nyitott portjaim a tűzfalon.

Ha van „kidobni” való (mondjuk) 15-20, de maximum 30 ezer kis HUF a kasszádban, érdemes lenne otthonra egy kis linuxos tűzfalat összeeszkábálni, nagyon megéri a pénzét, kiválóan lehet tesztelgetni, ugyanakkor a router beépített tűzfalát kacagva veri és sokkal jobban konfolható is. Szerintem fontold meg ... :-)

mavo · http://polmavo.blog.hu 2007.05.04. 20:13:57

Vissza a tárgyhoz, megjegyzések.

Az INVALID state-es sor a portscanner oldalak dolgában irreleváns, azok nem küldenek fake csomagokat, a gyakorlatban mégsem butaság. Ellenben látom, kimaradt a hamisított state-es csomagok szűrése, pedig az _alap_.

A loggolásal vigyázni, vigyázni, vigyázni.

Főleg, ha valaki nem csinál külön /var paríciót. Megjegyzem, én extra kocka vagyok, ezért külön /var és külön /var/log partíciót is csinálok, hadd hízzon a /etc/fstab, az a dolga, és egyébként is, nincs jobb, mint nézni, ahogy a /dev/md7 megjelenik a mount listájában. :-)

Mindenesetre a partícionálás fontos móka, asszem, fogok is egyet róla postolni, épp ma láttam három elég bután partícionált szerverről dokumentációt

Továbbá: ha minden szirszar pingelés, érdektelen porton mókoló vicek-vacak csomag miatt új sort rakatunk a /var/log/syslogba, az mihamar fel fog duzzadni (2 GB a határ, most szólok), vagy ha a logrotate be van üzemelve, akkor a /var/log/syslog.n szándékainkkal ellentétben nem az x hetes vagy hónapos, hanem a tegnapi logokat fogja tartalmazni, és a tegnapelőtti valóban fontos logbejegyzés már rég a /dev/null ösvényein jár.

Abszolút nem mellesleg a loggolás, ha „ügyesen” csináljuk, kőkeményen leterheli a vasat, és lehet csodálkozni, a rákért lassult le az Internet-kapcsolatunk, holott nem töltünk le semmit, és a szolgáltatónál sincs gond.

SPétör 2007.05.04. 20:43:12

Nincs routerem... :-) itthon csak egy kábelmodem pöfög.
Kis linuxos tűzfal? Hogyan gondolod? Egy kiszuperált géppel?
Hamisított state-es csomagok szűrése? Utánanézek.
Ez log kérdés foglalkoztat, de amíg a tűzfal össze nem áll (bár már működik), addig nem indítok új témát erről.
:-)
Köszönöm a segítséged, mavo!
SP

SPétör 2007.05.04. 21:02:19

Hamisított state-es csomagra vonatkozó sort nem találok, nem is emlékszem rá. Kezdek meghülyülni?
mavo segíthetnél. Hol volt ilyen? Ha volt, akkor nem tudatosan maradt ki, mert nem emlékszem rá.
SP

SPétör 2007.05.04. 21:19:58

Vagy nem volt de kéne? Na, jó mégis utánanézek. :-)
Addig ne segíts4 :-|
SP

SPétör 2007.05.04. 22:56:41

Mire jó a külön /var és /var/log partíció?

SPétör 2007.05.05. 17:28:52

Hát, eddig csak hamisított IP-s anyagot találtam, de az már megvó't.
Még talán a fragmented szűrés hiányzik, de még keresgélek hozzá leírást, lehet, hogy nem kell... Amit még keresek, az pedig az, hogy a hálózat felépülése és a tűzfal szabályunk érvényesülése előtt hogyan lehet védeni a gépet (egyáltalán mi marad a rendszerben, ha leállunk). Egy háttéranyag arról ír, hogy érdemes a boot idejére egy másik szkriptet betöltetni, ami mindent tilt és azután az induló szkriptünk majd törli (iptables -F). Én inkább azon gondolkodom, hogy a leálláskor hogyan lehetne törölni a mi szabályunkat, mert ugye az alap policy DROP és ha ez marad addig, amíg a miénk elindul, akkor kb. ugyanezt értük el. Ha jól gondolom... De most ezen is elrágódhatok egy kicsit.
SP

SPétör 2007.05.05. 17:51:05

iptables -A INPUT -f -i eth0 -j DROP
Talán ez...

mavo · http://polmavo.blog.hu 2007.05.07. 13:48:57

„Egy háttéranyag arról ír, hogy érdemes a boot idejére egy másik szkriptet betöltetni, ami mindent tilt és azután az induló szkriptünk majd törli (iptables -F).”

Minek? Egyszerűen előbb kell lefutnia a tűzfalscriptnek, mint az eth felélesztésének, vagy azonna utána, és kész. Kevés debianos emlékemre szorítkozom, de valahol a /etc/init.d/inet1.confban van valahol egy if-up szekció, oda köll beírni, hogy /eleresi/ut/tuzfalscript, annak elméletileg mennie köll.

Salak esetén ez sokkal egyszerűbb, ott a /etc/rc.d/rc.firewall-ba kell belerakni a tűzfal script elérési útját, aztán chmod +x és kész.

SPétör 2007.05.07. 15:02:15

Én pont azon gondolkodom, hogy mi van akkor, ha a .service file-ban futási sorrendnek 08-at adok meg? Vagyis ezt: Sequence=08
A DHCP kliens 09, a Hálózatkezelő 10.
Ez így nem működik?

mavo · http://polmavo.blog.hu 2007.05.07. 19:46:17

Pardon, egy kérdésre nem adtam választ.

„Mire jó a külön /var és /var/log partíció?”

Szerverek esetén (ne felejtse senki, a logrotate nem feltétlenül jó megoldás) a /var/log nagyon meg tud szaladni, és ha emiatt nem megy valami például a crontabban, az gáz tud lenni. De megérne egy misét, mi minden van a /var partíción, ami ha megdöglik, akkor a dolgok átmennek kevésbé happybe ...

SPétör 2007.05.07. 20:38:36

Aha, és ez a többi partícióval együtt csatolódik fel? aut?
Ennek az a lényege, hogy ez a partíció nem sérül, ha bármi lenne az oprendszerrel, igaz?
Most kezdek elmerülni a logok rejtelmeiben, mert az iptables témában tovább kéne lépni. Működik a tűzfal és úgy tűnik, hogy rendben, de azért még csiszolgatnám egy kicsit. Ezért áttérek a logok elemzésére, amiben teljesen sötét vagyok. De hát a többivel is valahonnan innen indultam. Na és perzse már előkészületben van a kernel fordítás is. :-) Ez lesz a log téma után 8vagy vele párhuzamosan, még nem tudom...)
Most nézek utána a log és kernel linkeknek.
Üdv:
SP

mavo · http://polmavo.blog.hu 2007.05.08. 10:49:35

„ez a többi partícióval együtt csatolódik fel? aut?”

—> /etc/fstab

„Ennek az a lényege, hogy ez a partíció nem sérül, ha bármi lenne az oprendszerrel, igaz?”

Nem egészen. Igazából tárhely problémák megelőzésére szolgál, jómagam küszködtem egyszer fél napig olyan szerverrel, amin „mindössze” szabad területet kellett csinálnom, csak hát, mert ugye a /var/log nem volt külön, folyton lefagyott közben a rendszer.

SPétör 2007.05.08. 13:16:34

—> /etc/fstab
Hát értettem én! Felesleges kérdés volt. :-)

/var/log/
Nem látom az összefüggést. Mitől fagy le a rendszer egy helycsinálástól? Új, üres partíciót csináltál?
SP

mavo · http://polmavo.blog.hu 2007.05.08. 17:39:03

„Mitől fagy le a rendszer egy helycsinálástól?”

Nem, nem attól. A konkrét esetben a pppoe döglött meg, és mivel folyamatosan szemetelt a /var/log/messagesbe és a /var/log/syslogba, megtömte a /var partciót és rendszer hanyattesett. De megoldottam, lekaptam a pppoe-t, és leirtottam, amit kellett. :-)

SPétör 2007.05.08. 18:54:34

Ez tényleg "kimerítő" válasz volt... :-)

Nem tudsz valami log analyzer progit, amit könnyű telepíteni és beállítani? Amit eddig találtam, az elég bonyolultnak tűnik nekem,,,
:-(
SP

mavo · http://polmavo.blog.hu 2007.05.08. 19:40:30

Hosszú távon nem log analyzer kell, hanem rendszermonitor. Kocka emberektől a negios nevű cuccot kaptam tippnek, legnagyobb előnye, hogy tetszőlegesen pluginelhető: ami lin és alkalmazásai alatt elfut, és megfelel a paraméterezésnek az lehet plug-in. :-)

SPétör 2007.05.08. 20:10:01

Nagios. Hááát. Egy standalone gépre? Ágyúval verébre?
:-)
süti beállítások módosítása