Wykład 6

Transkrypt

Wykład 6

Zdalna praca w sieci
Usługi
Bezpieczeństwo
Podstawy administracji systemu Linux
Sieci komputerowe/Bezpieczeństwo
Janusz Szwabiński
Instytut Fizyki Teoretycznej UWr
22 stycznia 2006
Janusz Szwabiński
Technologie Informatyczne od Podstaw
Usługi
Bezpieczeństwo
Plan kursu
1
Instalacja Linuksa
2
Tryb tekstowy
3
Linux od podszewki
4
Pierwsze kroki w administracji
5
Sieci lokalne
6
Bezpieczeństwo
Janusz Szwabiński
Usługi
Bezpieczeństwo
Sieci komputerowe/Bezpieczeństwo
1
Logowanie
Kopiowanie plików
2
Usługi
DHCP
3
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
Janusz Szwabiński
Usługi
Bezpieczeństwo
Logowanie
Kopiowanie plików
http://www.flexibility.co.uk/
Logowanie na komputer w sieci (SSH)
Kopiowanie plików między komputerami (SFTP/SCP)
VNC
Janusz Szwabiński
Usługi
Bezpieczeństwo
Logowanie
Kopiowanie plików
Logowanie na odległy komputer
praca tylko w trybie tekstowym
ssh użytkownik@adres_komputera
s s h −l u ż y t k o w n i k a d r e s _ k o m p u t e r a
jeśli planujemy uruchamiać programy w trybie graficznym
s s h −X u ż y t k o w n i k @ a d r e s _ k o m p u t e r a
szybkie uruchamianie poleceń
ssh użytkownik@adres_komputera " p o l e c e n i e "
Janusz Szwabiński
Usługi
Bezpieczeństwo
Logowanie
Kopiowanie plików
pierwsze logowanie
[ szwabin@voyag er ~ ] $ s s h szwabin@panoramix . i f t . u n i . wroc . p l
The a u t h e n t i c i t y o f h o s t ’ p a n o r a m i x . i f t . u n i . w r o c . p l
( 1 5 6 . 1 7 . 8 8 . 9 1 ) ’ can ’ t be e s t a b l i s h e d . RSA k e y f i n g e r p r i n t
i s f c : 5 6 : b1 : 9 7 : 0 a : 4 4 : f 2 : 2 3 : e e : 6 a : 9 8 : c c : 1 4 : e 3 : b5 : 2 4 .
A r e you s u r e you want t o c o n t i n u e c o n n e c t i n g ( y e s / no ) ?
szwabin@panoramix . i f t . u n i . wroc . pl ’ s password :
L a s t l o g i n : Sep 20 2 0 : 4 4 : 5 3 2005 f r o m v o y a g e r . i f t . u n i . w r o c . p l
s z w a b i n @ p a n o r a m i x :~ >
koniec pracy
s z w a b i n @ p a n o r a m i x :~ > e x i t
logout
Connection to panoramix c l o s e d .
[ szwabin@voyager ~] $
szybkie uruchamianie poleceń raz jeszcze
[ s z w a b i n @ v o y a g e r ~ ] $ s s h p a n o r a m i x " uname −a "
szwabin@panoramix ’ s password :
L i n u x p a n o r a m i x 2 . 4 . 3 0 #1 F r i Apr 15 1 3 : 1 2 : 1 6 CEST 2005 i 6 8 6 unknown
unknown GNU/ L i n u x
Janusz Szwabiński
Usługi
Bezpieczeństwo
Logowanie
Kopiowanie plików
Konfiguracja serwera SSH (/etc/sshd_conf)
pozwalamy na wysyłanie okien aplikacji pracujących w GUI
X11Forwarding
yes
uruchamiamy ponownie serwer
[ r o o t @ v o y a g e r ~]# s e r v i c e s s h d
restart
[ r o o t @ v o y a g e r ~]# / e t c / r c . d / i n i t . d / s s h d
Janusz Szwabiński
restart
Usługi
Bezpieczeństwo
Logowanie
Kopiowanie plików
Kopiowanie plików (SFTP)
łączenie z odległym komputerem
[ szwabin@voyager ~] $ s f t p szwabin@panoramix
Connecting to panoramix . . .
sftp >
pomoc
sftp > help
A v a i l a b l e commands :
cd p a t h
l c d path
chgrp grp path
chmod mode p a t h
chown own p a t h
help
g e t r e m o t e−p a t h [ l o c a l −p a t h ]
l l s [ l s −o p t i o n s [ p a t h ] ]
l n o l d p a t h newpath
lmkdir path
lpwd
l s [ path ]
.
.
.
Change r e m o t e d i r e c t o r y t o ’ p a t h ’
Change l o c a l d i r e c t o r y t o ’ p a t h ’
Change g r o u p o f f i l e ’ p a t h ’ t o ’ g r p ’
Change p e r m i s s i o n s o f f i l e ’ p a t h ’ t o
Change o w n e r o f f i l e ’ p a t h ’ t o ’ own ’
Display t h is help text
Download f i l e
Display local directory l i s t i n g
Symlink remote f i l e
Create lo ca l dir ect or y
P r i n t l o c a l working d i r e c t o r y
D i s p l a y remote d i r e c t o r y l i s t i n g
Janusz Szwabiński
’ mode ’
Usługi
Bezpieczeństwo
Logowanie
Kopiowanie plików
nawigacja w zdalnym systemie plików
pwd, cd, ls
nawigacja w lokalnym systemie plików
lpwd, lcd, lls
kopiowanie plików na komputer lokalny. . .
sftp > get ta lk . tar
F e t c h i n g / home/ s / s z w a b i n / t a l k . t a r t o t a l k . t a r
/home/ s / s z w a b i n / t a l k . t a r
100% 150KB 1 5 0 . 0 KB/ s
00:00
. . . i w odwrotnym kierunku
s f t p > p u t beamer . p d f
U p l o a d i n g beamer . p d f t o /home/ s / s z w a b i n / beamer . p d f
beamer . p d f
100% 1621KB 1 . 6MB/ s
sftp >
Janusz Szwabiński
00:00
Usługi
Bezpieczeństwo
Logowanie
Kopiowanie plików
Kopiowanie plików (SCP)
z odległego komputera
scp użytkownik@komputer : / ś c i e ż k a _ d o _ p l i k u / p l i k / l o k a l n a _ ś c i e ż k a _ d o _ p l i k u /
[ s z w a b i n @ v o y a g e r ~ ] $ s c p s z w a b i n @ p a n o r a m i x : beamer . p d f .
beamer . p d f
100%
1621KB
1 . 6MB/ s
00:00
jeśli konta użytkowników są te same
[ szwabin@voyager
~ ] $ s c p p a n o r a m i x : beamer . p d f .
katalogi
[ szwabin@voyager
~ ] $ s c p −r K u r s y / d e f i a n t : UniWroclaw /
Janusz Szwabiński
Usługi
Bezpieczeństwo
DHCP
Usługi
http://cocktails.about.com/
DHCP
WWW
FTP
Samba
. . . i wiele innych
Janusz Szwabiński
Usługi
Bezpieczeństwo
DHCP
DHCP
Kategoria Serwery sieciowe
http://www.iodata.jp/
automatyczna konfiguracja komputerów
podłączanych do sieci
oszczędza dużo czasu administratorowi
wygodne dla nowych użytkowników
Janusz Szwabiński
Usługi
Bezpieczeństwo
DHCP
Konfiguracja serwera
edytujemy (lub tworzymy) plik /etc/dhcpd.conf
d e f a u l t −l e a s e −t i m e 3 6 0 0 ;
max−l e a s e −t i m e 1 4 4 0 0 ;
ddns−u p d a t e−s t y l e none ;
s u b n e t 1 9 2 . 1 6 8 . 0 . 0 netmask 2 5 5 . 2 5 5 . 2 5 5 . 0 {
range 1 9 2 . 1 6 8 . 0 . 2 1 9 2 . 1 6 8 . 0 . 1 0 ;
o p t i o n domain−name−s e r v e r s 1 9 4 . 2 0 4 . 1 5 2 . 3 4 , 2 1 7 . 9 8 . 6 3 . 1 6 4 ;
o p t i o n b r o a d c a s t−a d d r e s s 1 9 2 . 1 6 8 . 0 . 2 5 5 ;
option routers 192.168.0.1;
}
ponowne uruchomienie serwera
[ r o o t @ v o y a g e r ~]# s e r v i c e dhcpd r e s t a r t
[ r o o t @ v o y a g e r ~]# / e t c / r c . d / i n i t . d / dhcpd r e s t a r t
Janusz Szwabiński
Usługi
Bezpieczeństwo
DHCP
Konfiguracja klienta
podczas instalacji systemu
Janusz Szwabiński
Usługi
Bezpieczeństwo
DHCP
podczas konfiguracji karty sieciowej
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
Bezpieczeństwo
fizyczne
lokalne
sieciowe
http://www.bbc.co.uk/schools/
Do poczytania
Kevin Fenzi, Dave Wreski, Linux Security HOWTO
www.happyhacker.org
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
Bezpieczeństwo fizyczne
kontrola dostępu do komputera
hasła w BIOSie
hasła w programie rozruchowym
Uwaga!
Osoba mająca fizyczny dostęp do
komputera może „obejść” oba
hasła, jednak zajmie to trochę
czasu.
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
Bezpieczeństwo lokalne
usuwanie nieaktywnych kont
ograniczony dostęp do zasobów dla zwykłych użytkowników
(SUID/GUID, restrykcyjne prawa dostępu, ograniczenia na
liczbę uruchamianych procesów itp.)
sprawdzanie integralności systemu (Tripwire)
szyfrowanie haseł (shadow)
testowanie jakości haseł użytkowników (Crack, „John The
Ripper”)
kopie zapasowe
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
Bezpieczeństwo sieciowe
uruchamianie tylko niezbędnych usług
SSH zamiast Telnetu
SCP/SFTP zamiast FTP
Zapora ogniowa
systemy detekcji włamań (Snort)
łaty bezpieczeństwa
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
Zbędne usługi
przydatne polecenia
netstat
nmap
ważne pliki
/etc/services
/etc/inetd.conf lub /etc/xinetd.conf
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
netstat
[ s z w a b i n @ v o y a g e r ~ ] $ n e t s t a t −a
A c t i v e I n t e r n e t c o n n e c t i o n s ( s e r v e r s and e s t a b l i s h e d )
P r o t o Recv−Q Send−Q L o c a l A d d r e s s
Foreign Address
tcp
0
0 lo calh os t :966
∗:∗
tcp
0
0 ∗:1550
∗:∗
tcp
0
0 ∗:19150
∗:∗
tcp
0
0 ∗: sunrpc
∗:∗
tcp
0
0 ∗ :www
∗:∗
tcp
0
0 ∗: ssh
∗:∗
tcp
0
0 ∗: ipp
∗:∗
tcp
0
0 l o c a l h o s t : smtp
∗:∗
tcp
0
0 v o y a g e r . i f t . u n i . w: 3 2 7 8 4 j a b b e r p l . o r g : 5 2 2 3
tcp
1
0 v o y a g e r . i f t . u n i . w: 3 2 8 6 6 b i o f i z y k a . a g r o . a r . s : www
tcp
0
0 v o y a g e r . i f t . u n i . w: 3 2 8 6 5 d n s 1 . i b h . p l : www
udp
0
0 ∗:32768
∗:∗
udp
0
0 ∗ : xdmcp
∗:∗
udp
0
0 ∗: sunrpc
∗:∗
udp
0
0 ∗: ipp
∗:∗
A c t i v e UNIX domain s o c k e t s ( s e r v e r s and e s t a b l i s h e d )
.
.
.
Janusz Szwabiński
State
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
ESTABLISHED
CLOSE_WAIT
CLOSE_WAIT
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
nmap
e n t e r p r i s e : / home/ s z w a b i n# nmap v o y a g e r
S t a r t i n g nmap 3 . 8 1 ( h t t p : / /www . i n s e c u r e . o r g /nmap / ) a t 2005−09−21 1 6 : 5 8 CEST
I n t e r e s t i n g p o r t s on v o y a g e r . i f t . u n i . w r o c . p l ( 1 5 6 . 1 7 . 8 8 . 1 9 0 ) :
( The 1662 p o r t s s c a n n e d b u t n o t shown b e l o w a r e i n s t a t e : f i l t e r e d )
PORT
STATE SERVICE
22/ t c p open
ssh
Nmap f i n i s h e d : 1 I P a d d r e s s ( 1 h o s t up ) s c a n n e d i n 2 2 . 3 3 0 s e c o n d s
Uwaga!
Skanujemy tylko te komputery, które
rzeczywiście musimy. Użycie nmap może
być odebrane jako wstęp do ataku.
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
/etc/services/
tcpmux
echo
echo
discard
discard
systat
daytime
daytime
netstat
qotd
msp
msp
chargen
chargen
f t p−d a t a
ftp
fsp
ssh
ssh
telnet
smtp
time
time
rlp
nameserver
whois
.
.
.
1/ t c p
7/ t c p
7/ udp
9/ t c p
9/ udp
11/ t c p
13/ t c p
13/ udp
15/ t c p
17/ t c p
18/ t c p
18/ udp
19/ t c p
19/ udp
20/ t c p
21/ t c p
21/ udp
22/ t c p
22/ udp
23/ t c p
25/ t c p
37/ t c p
37/ udp
39/ udp
42/ t c p
43/ t c p
# TCP p o r t
service
multiplexer
sink null
sink null
users
quote
# message send p r o t o c o l
t t y t s t source
t t y t s t source
fspd
# SSH Remote L o g i n P r o t o c o l
mail
timserver
timserver
resource
name
nicname
Janusz Szwabiński
# resource
# IEN 116
location
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
Zapora ogniowa
sprzęt komputerowy ze
specjalnym oprogramowaniem
lub samo oprogramowanie
blokujące niepowołany dostęp
do komputera, sieci
komputerowej itp.
http://scramlings.de/johannes/lip/vortrag/
Do poczytania
http://mr0vka.eu.org/docs/tlumaczenia.html
Paweł Krawczyk, Filtrowanie stateful-inspection w Linuksie i
BSD
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
Budujemy własną zaporę (wersja dla początkujących)
ściągamy z Internetu program Firestarter (w przypadku
Auroksa 10.2 pobieramy wersję dla Fedory Core 2)
http://www.fs-security.com/
instalujemy pakiet (jako administrator)
[ r o o t @ v o y a g e r d o w n l o a d s ]# rpm −Uvh f i r e s t a r t e r −1.0.3 −1. i 3 8 6 . rpm
Przygotowywanie . . .
######################### [ 1 0 0 % ]
1: f i r e s t a r t e r
######################### [ 1 0 0 % ]
uruchamiamy program z menu KDE lub w powłoce
administratora
[ r o o t @ v o y a g e r d o w n l o a d s ]# f i r e s t a r t e r &
Janusz Szwabiński
Usługi
Bezpieczeństwo
Janusz Szwabiński
Zbędne usługi
Zapora ogniowa
Usługi
Bezpieczeństwo
Janusz Szwabiński
Zbędne usługi
Zapora ogniowa
Usługi
Bezpieczeństwo
Janusz Szwabiński
Zbędne usługi
Zapora ogniowa
Usługi
Bezpieczeństwo
Janusz Szwabiński
Zbędne usługi
Zapora ogniowa
Usługi
Bezpieczeństwo
Janusz Szwabiński
Zbędne usługi
Zapora ogniowa
Usługi
Bezpieczeństwo
Janusz Szwabiński
Zbędne usługi
Zapora ogniowa
Usługi
Bezpieczeństwo
Janusz Szwabiński
Zbędne usługi
Zapora ogniowa
Usługi
Bezpieczeństwo
Janusz Szwabiński
Zbędne usługi
Zapora ogniowa
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
Budujemy własną zaporę (wersja dla zaawansowanych)
Netfilter/iptables
wbudowane w jądro Linuksa
(2.4.x i 2.6.x) funkcje do
filtrowania pakietów i NAT-u
oraz program do zarządzania
nimi
Łańcuchy
INPUT, OUTPUT,
FORWARD
PREROUTING,
POSTROUTING
użytkownika
reguła - zasada postępowania
z pakietami
łańcuch - zbiór reguł
ułożonych w określonej
kolejności
tablica - zbiór łańcuchów
Janusz Szwabiński
Tablice
filter
nat
mangle
Usługi
Bezpieczeństwo
PREROUTING
Decyzja
rutingu
Zbędne usługi
Zapora ogniowa
POSTROUTING
FORWARD
filter
mangle
nat
nat
OUTPUT
INPUT
filter
Procesy
mangle
nat
filter
lokalne
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
otwieramy w edytorze nowy plik tekstowy, np. myfirewall
#!/ b i n / s h
#
#
#
#
#
#
#
p r z y k ł a d o w a k o n f i g u r a c j a i p t a b l e s d l a b r a m k i ( i n t e r f e j s y ppp0 i e t h 0 )
na p o d s t a w i e " F i l t r o w a n i e s t a t e f u l −i n s p e c t i o n w L i n u k s i e i BSD"
Pawła K r a w c z y k a
Opcje wywołania :
stop − " zatrzymuje " f i rew a l l , ustawia otwartą p olity kę
t e s t − tymczasowe r e g u ł y
bez o p c j i − k o n f i g u r u j e i p t a b l e s
wyłączamy zaporę
if
[ " $1 " = " s t o p " ] ;
/ sbin / iptables
/ sbin / iptables
/ sbin / iptables
/ sbin / iptables
exit 0
then
−P INPUT ACCEPT
−P OUTPUT ACCEPT
−P FORWARD ACCEPT
−F
fi
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
testujemy zaporę (włączenie na 60s)
if
[ " $1 " = " t e s t " ] ; t h e n
( s l e e p 6 0 ; / s b i n / i p t a b l e s −P INPUT ACCEPT ; \
/ s b i n / i p t a b l e s −P OUTPUT ACCEPT ; \
/ s b i n / i p t a b l e s −P FORWARD ACCEPT ; \
/ s b i n / i p t a b l e s −F ) &
fi
ukłon w stronę użytkownika
e c h o −n " I n s t a l o w a n i e z a p o r y o g n i o w e j . . . "
ładujemy niezbędne moduły jądra
/ s b i n / modprobe i p _ t a b l e s
/ s b i n / modprobe i p _ c o n n t r a c k
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
czyścimy stare ustawienia
/ s b i n / i p t a b l e s −F
/ s b i n / i p t a b l e s −F −t n a t
domyślna polityka (wszystko odrzucane)
/ s b i n / i p t a b l e s −P INPUT DROP
/ s b i n / i p t a b l e s −P FORWARD DROP
/ s b i n / i p t a b l e s −P OUTPUT DROP
interfejs lokalny jest uprzywilejowany
/ s b i n / i p t a b l e s −A INPUT − i l o −j ACCEPT
/ s b i n / i p t a b l e s −A OUTPUT −o l o −j ACCEPT
/ s b i n / i p t a b l e s −A FORWARD −o l o −j ACCEPT
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
sieć lokalna również ma specjalne prawa
/ s b i n / i p t a b l e s −A INPUT − i e t h 0 −j ACCEPT
/ s b i n / i p t a b l e s −A OUTPUT −o e t h 0 −j ACCEPT
akceptujemy pakiety ICMP Echo (ping)
/ s b i n / i p t a b l e s −A INPUT −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT
/ s b i n / i p t a b l e s −A FORWARD −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT
/ s b i n / i p t a b l e s −A OUTPUT −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
wpuszczamy połączenia SSH z całej sieci
/ s b i n / i p t a b l e s −A INPUT −p t c p −d 0/0 −−d p o r t 22 −j ACCEPT
zezwalamy na wszystko w ramach istniejących połączeń
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
/ sbin/ iptables
−A
−A
−A
−A
−A
−A
−A
−A
−A
−A
−A
−A
−A
−A
INPUT −p t c p −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED
INPUT −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED
INPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED
INPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED
FORWARD −p t c p −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED
FORWARD −p t c p −j ACCEPT −m s t a t e −−s t a t e RELATED
FORWARD −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED
FORWARD −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED
FORWARD −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED
OUTPUT −p t c p −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED
OUTPUT −p t c p −j ACCEPT −m s t a t e −−s t a t e RELATED
OUTPUT −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED
OUTPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED
OUTPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
usługi TCP i UDP , które wypuszczamy z sieci: WWW
(80,8080), SSH (22), SMTP (25), POP3/POP3s (110, 995),
News (119), DNS (53), Gadu-Gadu (443), Jabber
(5223,8010), Skype (28025)
TCP_OUT_ALLOW= 8 0 , 8 0 8 0 , 2 2 , 2 5 , 1 1 0 , 9 9 5 , 1 1 9 , 5 3 , 4 4 3 , 5 2 2 3 , 8 0 1 0 , 9 1 0 0 , 2 8 0 2 5
UDP_OUT_ALLOW=53
/ s b i n / i p t a b l e s −A OUTPUT −o ppp0 −p t c p −j ACCEPT −m s t a t e −−s t a t e NEW \
−m m u l t i p o r t −−d e s t i n a t i o n −p o r t $TCP_OUT_ALLOW
/ s b i n / i p t a b l e s −A OUTPUT −o ppp0 −p udp −j ACCEPT −m s t a t e −−s t a t e NEW \
−m m u l t i p o r t −−d e s t i n a t i o n −p o r t $UDP_OUT_ALLOW
/ s b i n / i p t a b l e s −A FORWARD −o ppp0 −p t c p −j ACCEPT −m s t a t e −−s t a t e NEW \
−m m u l t i p o r t −−d e s t i n a t i o n −p o r t $TCP_OUT_ALLOW
/ s b i n / i p t a b l e s −A FORWARD −o ppp0 −p udp −j ACCEPT −m s t a t e −−s t a t e NEW \
−m m u l t i p o r t −−d e s t i n a t i o n −p o r t $UDP_OUT_ALLOW
Janusz Szwabiński
Usługi
Bezpieczeństwo
Zbędne usługi
Zapora ogniowa
maskarada
/ s b i n / i p t a b l e s −t n a t −A POSTROUTING −p a l l −s 1 9 2 . 1 6 8 . 0 . 0 / 2 4 −j MASQUERADE
echo "1" > / proc / s y s / net / i p v 4 / i p _ f o r w a r d
logowanie odrzuconych pakietów
/ s b i n / i p t a b l e s −A INPUT −j LOG −m l i m i t −−l i m i t 10/ h o u r
/ s b i n / i p t a b l e s −A OUTPUT −j LOG −m l i m i t −−l i m i t 10/ h o u r
/ s b i n / i p t a b l e s −A FORWARD −j LOG −m l i m i t −−l i m i t 10/ h o u r
kolejny ukłon w stronę użytkownika
echo "
zrobione !"
Kopiujemy plik myfirewall do katalogu
/etc/rc.d/init.d/. Nadajemy mu atrybut
wykonywalności (tylko dla właściciela). Dodajemy go
do poziomów pracy poleceniem chkconfig.
Janusz Szwabiński
Usługi
Bezpieczeństwo
Janusz Szwabiński
Zbędne usługi
Zapora ogniowa

Wykład 6

Transkrypt

Podobne dokumenty

Strona 1 Książki

OGŁOSZENIE O SPRZEDAŻY ZBĘDNYCH / ZUŻYTYCH