СтатьиПодписка на Статьи

Iptables: ICMP, Брутфорс, Спуфинг, Полезности

Запрет Icmp-сообщений.
Хорошей практикой также является запрет ICMP-сообщений, которые могут выдать дополнительную информацию о хосте или быть использованы для выполнения различных злонамеренных действий (например, модификации таблицы маршрутизации). Ниже приведена таблица со списком возможных типов ICMP-сообщений:

Типы ICMP-сообщений.

Iptables: Сканирование портов

Чтобы выявить наличие уязвимых сервисов на машине, атакующий производит разведку с помощью сканера портов и различных систем обнаружения уязвимостей. Обычно в качестве сканера портов используется nmap, который способен осуществлять сканирование десятком различных способов и в некоторых случаях умеет выявлять версии ОС и сервисов. Вот список особенно популярных флагов nmap, которые обычно используют взломщики:

Флаги nmap, используемые при сканировании.

Iptables: Скрытые возможности

Оригинал статьи http://www.linuxjournal.com/article/7180
Статья не новая мягко говоря, но материал заслуживает внимания и актуален до сих пор. Многое из того что в статье проходит как патчи сейчас включено в iptables по-умолчанию.

С помощью этого мощного набора расширений для iptables вы сможете строить свои правила, основываясь на анализе содержимого пакетов,диапазона портов и даже создавать ловушки для злоумышленников.

Shell: обработка ошибок

Разница между хорошо написанной программой и плохо - это возможность "справляться" с непредвиденными ситуациями. Как мы уже знаем любая хорошо написанная программа возвращает exit-статус операционной системе после окончания работы. Для написания правильных программ нужно всегда делать проверку exit-статуса, особенно в тех случаях, когда что-то может пойти кардинально и невозвратимо не в ту сторону. Вот пример очень плохой программы:

Использование mysqlcheck

Использование mysqlcheck для сопровождения и аварийного восстановления таблиц.

Начиная с версии MySQL 3.23.38 можно применять новый инструмент для проверки и восстановления MyISAM-таблиц. Отличие mysqlcheck от myisamchk состоит в том, что утилита mysqlcheck должна использоваться при работающем сервере mysqld, в то время как myisamchk - при остановленном. Преимущество же заключается в том, что теперь не нужно останавливать сервер для проверки или восстановления таблиц.

Как создать свой RBL (DNSBL) сервер

Что такое RBL (DNSBL).

Абрревиатура RBL расшифровывается как Realtime Blackhole List (Чёрный список реального времени), DNSBL состоит из известной многим аббревиатуры DNS - Domain Name System (Система доменных имён) + BL т.е. Black List (Чёрный список). Таким образом RBL и DNSBL - это фактически одно и то же, но в настоящий момент более популярным является всё-таки использование термина DNSBL, отражающего собой суть механизма создания чёрного списка.

Фильтрация нелегальных адресов в брандмауэре

Loopback-адреса.

Адреса обратной петли (127.0.0.0 - 127.255.255.255) никогда не могут ис­пользоваться за пределами интерфейса lo. Если пакеты с loopback-адресами появились на интерфейсе, отличном от lo, значит, они были подделаны (spoffed).

В следующем примере кода будет создана пользовательская цепочка bad_packets, которая будет отбрасывать адреса, перечисленные выше. Все отброшенные пакеты будут запротоколированы - хороший способ отладки неправильно сконфигурированных приложений и попыток спуффинга.

Цели правил iptables

Целью правил iptables называется действие, которое выполняется над пакетом, если его заголовок соответствует совпадению правила. Обычно используются 15 стандар­тных целей. Также можно указать в качестве цели пользовательскую це­почку, которой передается управление. Если ни одно из правил в пользовательской цепочке не совпало, выполнение передается назад в вызывающую цепочку.

Опция -j используется для задания цели. Стандартные цели пишутся прописными буквами.

Пользовательские цепочки создаются следующим образом:

John the Ripper - проверка надежности пароля в Linux

John the Ripper - средство аудита слабых паролей.
Тип программы: Взлом паролей.
Разработчик: Alexander Peslyak.
ОС: Кроссплатформенное.
Последняя версия: 1.7.8 (22 июня 2011 года).
Лицензия: GNU General Public License.
Сайт: http://www.openwall.com/john

Резервное копирование с ротацией (rsync rotation-backup)

Про необходимость создания резервных копий не буду объяснять, можно организовать резервирование с помощью службы cron (wiki) чтобы копии создавались раз в n-часов, но тогда либо будет перезаписываться одна копия бэкапа, либо если мы добавим к имени файла допустим дату - будет очень много копий которые постоянно надо будет подчищать.
Идея данного скрипта взята отсюда.
Основой резервного копирования в нашем случае является rsync, в достоинства коего тут не буду вдаваться. wiki rsync.

10 способов работы с find

Простой поиск.

Давайте начнём с простого. Если вам известно имя файла, но вы не знаете точно в каком каталоге он расположен, синтаксис find будет предельно прост. Просто сообщите find имя искомого файла:

LNMP веб-сервер - nginx & mysql & php

Решил обновить свой веб-сервер - давно уже вышел Nginx 1.0.0 - пора бы уже... но после обновления нарвался на полную неработоспособность его, поэтому пришлось изрядно помучаться дабы нормально его запустить, вся установка проделывалась на чистом установленном netinstall Debian Squeeze 6.01, плюс использую репозиторий для LAMP / LNMP серверов www.dotdeb.org, где есть самые свежие версии Apache, Nginx, Mysql и Php для стабильной ветки Debian.
Если у вас был установлен LAMP или LLMP, то Apache или Lighttpd необходимо удалить. Также предупреждаю не проделывайте данные операции на продакшн сервере, предварительно не создав резервной копии, дабы всегда можно было откатиться назад. Прежде чем запустить всё делал на Kvm.

Защита системы при помощи Port Knocking

Port knocking — это сетевой защитный механизм, действие которого основано на следующем принципе: сетевой порт являются по-умолчанию закрытыми, но до тех пор, пока на него не поступит заранее определённая последовательность пакетов данных, которая «заставит» порт открыться. Например, вы можете сделать «невидимым» для внешнего мира порт SSH, и открытым только для тех, кто знает нужную последовательность.

Настройка сервера.

Введение в Nginx

Оригинал: http://greenmice.info/ru/node/115

Введение.

nginx (engine x) — это HTTP-сервер и IMAP/POP3 прокси-сервер для UNIX-подобных платформ (FreeBSD и GNU/Linux). Nginx начал разрабатываться Игорем Сысоевым, сотрудником компании Рамблер весной 2002 года, а осенью 2004 года появился первый публично доступный релиз. Он, как и все последующие, распространяется под лицензией BSD.
На данный момент nginx работает на большом количестве высоконагруженных сайтов (среди них — Рамблер, Яндекс, В Контакте, wordpress.com, Wrike и другие). Текущая версия, 0.6.x, рассматривается как стабильная с точки зрения надежности, а релизы из ветки 0.7 считаются нестабильными. При этом важно заметить, что функциональность некоторых модулей будет меняться, вследствие чего могут меняться и директивы, поэтому обратной совместимости в nginx до версии 1.0.0 не гарантируется.

Страницы