PDA

Visualizza la versione completa : Sicurezza di un server???


virusbye
06-04-2005, 04:26
Sto finendo di configurare un server che fa da router + altri servizi, alcuni consigli:

- come chiudo le porte che vengono viste dall'esterno? es. la 139, la 10000 che all'interno mi va bene siano accessibili, ma dall'esterno, dall'ip pubblico, no.
- che software di intrusion detection system mi consigliate? ho guardato sul sito di snort, qualcuno mi può spiegare + o - come funziona?
- vorrei disabilitare l'utente root, è una brutta idea? pensavo, o di mettere il comando shutdown -h now al login di root, o proprio di rimuoverlo o limitarlo in qualche modo. Consigli?

l.golinelli
06-04-2005, 11:30
- Usa un firewall...
- Snort va benone, guarda il manuale di snort stesso, io lo uso con successo su slack 10.0 con ACID per l'analisi dei logs su mysql...
- Disabilitare l'utente root?????????????????????? :oVVoVe: :oVVoVe: :oVVoVe: :oVVoVe:

Linux2004
06-04-2005, 13:57
La suite di netfilter ti permette di avere un ottimo firewall (iptables) che filtra tutte le connessioni.

http://www.netfilter.org/

:ciauz:

virusbye
06-04-2005, 14:57
Non ci siamo capiti! :dottò:

Io uso già iptables, solo vorrei sapere cosa devo scrivere per fargli "chiudere" una porta per l'ip pubblico.

Per il resto, io snort ho provato a leggere il manuale, ma non l'ho mai usato, nisba, nada, che fa? come funziona? a livello operativo quali sono le operazioni che compie? così, tanto per sapere cosa sto usando! :)

M4rko
06-04-2005, 15:26
Originariamente inviato da virusbye
Non ci siamo capiti! :dottò:

Io uso già iptables, solo vorrei sapere cosa devo scrivere per fargli "chiudere" una porta per l'ip pubblico.

iptables non chiude. iptables filtra.

Se hai un servizio abilitato, la porta sarà aperta per forza (altrimenti che servizio è? :fagiano: )
Quello che puoi fare è filtrare quello che arriva dall'esterno, esempio:

iptables -A INPUT -p tcp -i eth0 --dport 139 -j DROP
dove eth0 sarà l'interfaccia di rete connessa con la rete esterna. Naturalmente puoi adattare al meglio il tutto dopo un man iptables :fagiano:

l.golinelli
06-04-2005, 19:45
SNORT è un IDS e come dice la parola logga tutti i tentativi illeciti di forzare un host, poi può anche intervenire attivamente per bloccare o resettare una connessione sospetta...

osvi
06-04-2005, 20:08
figo voglio provarlo :fagiano:

Loading