Forum Debian Users Gang

dawno, dawno temu, w odległej galaktyce istniały programy, które zwracały na to uwagę. i istnieli rycerze jedi, którzy swymi świetlnymi mieczami każdy podejrzany pakiey odcinali przy samej głowie.

potem powstał ipchains...

potem powstał iptables...

...i dziś rycerze jedi siedzą w barze na tatooine i piją piwo...

@pasqdnik,  /etc/services raczej nie, nie ma tam nawet sshd. Jest tylko ssh, a pulse* to już w ogóle. xD

@ethanak, ja bym ci radził uważnie przeczytać zdanie: "I na wypadek niezaładowania reguł iptables...". Ja jestem zwolennikiem wielopoziomowych zabezpieczeń. W przypadku gdy ci fw nawali z jakiegoś powodu, to muszą być inne mechanizmy ochrony, które będą bronić cnoty twojego PC i po to są min. te pliki /etc/hosts.* , które działają wbrew twojej "fantastycznej" opinii. xD

I na wypadek niezaładowania reguł iptables, tylko hosty z tej powyższej sieci będą mogły się logować na shella.

1. Chwilowo masz w zapasie NFtables, działa równolegle z Iptables, kiedyś go zastąpi, na razie działają szeregowo, jakbyś miał dodatkowy wirtualny router z FW po drodze.
2. Napisz może, jak udało Ci się nie załadować reguł Iptables, mnie się to przez 8 lat nie udało, także jestem ciekaw. :DDD


W razie czego możesz do startu sieci dodać, żeby przed podniesieniem sieci sprawdzał, czy są załadowane reguły FW, i w razie czego nie podniósł interfejsu - da się to oskrypcić.

Jakbyś chciał się bawić Grseciem, to tam masz RBAC, który zapewnia dodatkowego FW realizowanego przez Grsec, niezależnego od Iptables
i NFtables, działającego per/[user|grupa|subject].
Działa na razie tylko po IPv4, Ipv6 ma się pojawić w przyszłości (stan od 2011).

W SELinuxie też jest możliwość blokowania połączeń samym ACL, ale w tej chwili nie znam szczegółów.

Bindowanie na poziomie portów 1-1024 wymaga  roota albo uprawnienia CAP_NET_BIND_SERVICE, CAP_NET_BROADCAST, CAP_NET_RAW  - także da się to załatwić przez capabilities (setcap, getcap) albo np Apparmora, czy GRSEC-RBAC.

Także możliwości masz sporo.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-11-11 21:01:18)

uzytkownikubunt napisał(-a):

Tak jak ethanak napisał, blokowanie przez te pliki to nie jest to, czego szukasz, jeśli chcesz mieć coś pewnego na wypadek niezaładowania reguł do iptables.

Po co piszesz w wątku, kiedy nie wnosisz do niego niczego nowego?

Windows 8.1 Update 3 64-bit & OpenBSD -current amd64
Obecnie w HDD nie mam żadnego systemu opartego o jądro Linux.

Trudno nie zauważyć. :D

Mnie Ubuntu przekonało do Gentusia, Ciebie do OpenBSD, niezłe to Ubuntu. :DDD

Ehhz  inetd ma kilka plików, z których sobie czyta konfigurację usług.
/etc/rpc
/etc/services
/etc/protocols
+ popularne nazwy demonów np sshd, tftp, ftp, telnet, finger etc.

I, tak jak piszą przedmówcy, poza inetd to nie bangla.

2364

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:27:02)

Jasny gwint, dodaj sobie w różnych miejscach skrypty dodające domyślne polityki blokowania w FW, i zawsze któryś ruszy.
Moduły FW wbuduj na sztywno w jajo, wtedy się nie zgubią, i gotowe.

Do tego chattr +i na wszystkie binarki i liby iptables, i też nie zgubisz.

Ani teoretycznie, ani praktycznie.

Ostatnio edytowany przez Jacekalex (2015-11-11 22:18:54)