Sicurezza di un server???

**virusbye** · 06-04-2005, 03:26

Sto finendo di configurare un server che fa da router + altri servizi, alcuni consigli:

- come chiudo le porte che vengono viste dall'esterno? es. la 139, la 10000 che all'interno mi va bene siano accessibili, ma dall'esterno, dall'ip pubblico, no.
- che software di intrusion detection system mi consigliate? ho guardato sul sito di snort, qualcuno mi può spiegare + o - come funziona?
- vorrei disabilitare l'utente root, è una brutta idea? pensavo, o di mettere il comando shutdown -h now al login di root, o proprio di rimuoverlo o limitarlo in qualche modo. Consigli?

**l.golinelli** · 06-04-2005, 10:30

- Usa un firewall...
- Snort va benone, guarda il manuale di snort stesso, io lo uso con successo su slack 10.0 con ACID per l'analisi dei logs su mysql...
- Disabilitare l'utente root??????????????????????

VVoVe:

**Linux2004** · 06-04-2005, 12:57

La suite di netfilter ti permette di avere un ottimo firewall (iptables) che filtra tutte le connessioni.

http://www.netfilter.org/

**virusbye** · 06-04-2005, 13:57

Non ci siamo capiti!

Io uso già iptables, solo vorrei sapere cosa devo scrivere per fargli "chiudere" una porta per l'ip pubblico.

Per il resto, io snort ho provato a leggere il manuale, ma non l'ho mai usato, nisba, nada, che fa? come funziona? a livello operativo quali sono le operazioni che compie? così, tanto per sapere cosa sto usando!

**M4rko** · 06-04-2005, 14:26

Originariamente inviato da virusbye
Non ci siamo capiti!

Io uso già iptables, solo vorrei sapere cosa devo scrivere per fargli "chiudere" una porta per l'ip pubblico.

iptables non chiude. iptables filtra.

Se hai un servizio abilitato, la porta sarà aperta per forza (altrimenti che servizio è?

)
Quello che puoi fare è filtrare quello che arriva dall'esterno, esempio:

codice:

iptables -A INPUT -p tcp -i eth0 --dport 139 -j DROP

dove eth0 sarà l'interfaccia di rete connessa con la rete esterna. Naturalmente puoi adattare al meglio il tutto dopo un man iptables

**l.golinelli** · 06-04-2005, 18:45

SNORT è un IDS e come dice la parola logga tutti i tentativi illeciti di forzare un host, poi può anche intervenire attivamente per bloccare o resettare una connessione sospetta...

**osvi** · 06-04-2005, 19:08

figo voglio provarlo

Discussione: Sicurezza di un server???

Strumenti discussione

Ricerca discussione

Visualizza

Sicurezza di un server???

Permessi di invio