[решено] Безопасность по умолчанию
Модераторы: Warderer, Модераторы разделов
[решено] Безопасность по умолчанию
Обнаружил интересную особенность Debian:
При загрузке в свежеустановленную систему - в iptables везде policy ACCEPT.
При установке любого сервиса (bind, squid и т.п) система всегда прописывает его на автостарт при загрузке и запускает сразу после установки с дефолтными конфигами.
В sysctl выключен rp_filter и прочие "плюшки".
Это нормально?
Есть какой-то путь, кроме прописывания всего ручками?
При загрузке в свежеустановленную систему - в iptables везде policy ACCEPT.
При установке любого сервиса (bind, squid и т.п) система всегда прописывает его на автостарт при загрузке и запускает сразу после установки с дефолтными конфигами.
В sysctl выключен rp_filter и прочие "плюшки".
Это нормально?
Есть какой-то путь, кроме прописывания всего ручками?
Re: [решено] Безопасность по умолчанию
ага, а должно быть (в идеале) a la openbsd.
не так уж и страшно, это свойственно подавляющему большинству современных дистрибутивов.
возможно, что нет.
http://www.debian.org/Bugs/
$summary
форум — это не багзилла, а багзилла — не уютненький бложик или весёлый чатик.
:wq
Re: [решено] Безопасность по умолчанию
О ужас. Злобные хацкеры точно продолбят сквозную дырку в каком-нибудь порте.
А какой смысл его (rp_filter) включать на сервере или десктопе с 1 сетевым интерфейсом? Какие прочие плюшки вас интересуют?
Если это вас так беспокоит, закройте порт, установите, настройте и откройте заново. Вот лично мне пофиг.
Можно ногами или носом, но ручками удобнее.
Re: [решено] Безопасность по умолчанию
Не всегда. Некоторые серивсы (а-ля tftpd-hpa) в конфиге по умолчанию прописывают ENABLED=false и пока руками всё не поправишь, ни за что на свете не запустятся. Но большинство таки да, запускается с дефолтными конфигами.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
Re: [решено] Безопасность по умолчанию
Активно пользуюсь openSUSE - там такого никогда не было.
Debian - дистрибутив для "сервера или десктопа с 1 сетевым интерфейсом"?
В openSUSE есть, например, такое (по линку картинка):
http://www-uxsup.csx.cam.ac.uk/pub/doc/sus...t2_security.png
М.б. и в Debian что-то подобное существует - я же не знаю. Security Guide тоже не говорит.
- Nazyvaemykh
- Сообщения: 438
- Статус: Подопытный участник
Re: [решено] Безопасность по умолчанию
policy ACCEPT. разве имеет это какое-то отношение к безопасности или небезопасности?
Нормальное состояние компьютера просто работать. Так, машина может и получать, и отправлять пакеты. Если какие-то пакеты не приходят, значит, машина не работает. Должна ли система изначально быть в нерабочем состоянии, и должен ли пользователь гадать, почему это система в нерабочем состоянии? Что это там Debian такого накрутил, что пакеты не приходят?
Если человек установил какой-то демон, то, наверное, тоже не просто так, а чтобы он работал. А для этого его нужно запустить.
Если по каким-то причинам человек считает эти рабочие настройки не самыми подходящими для себя, то это ужь он должен об этом позаботиться.
Нормальное состояние компьютера просто работать. Так, машина может и получать, и отправлять пакеты. Если какие-то пакеты не приходят, значит, машина не работает. Должна ли система изначально быть в нерабочем состоянии, и должен ли пользователь гадать, почему это система в нерабочем состоянии? Что это там Debian такого накрутил, что пакеты не приходят?
Если человек установил какой-то демон, то, наверное, тоже не просто так, а чтобы он работал. А для этого его нужно запустить.
Если по каким-то причинам человек считает эти рабочие настройки не самыми подходящими для себя, то это ужь он должен об этом позаботиться.
¡ Страсть к разрушению есть творческая страсть!
Re: [решено] Безопасность по умолчанию
Если человек установил какой-то демон, то, наверное, тоже не просто так, а чтобы он работал. А для этого его нужно запустить.
Это недопустимо. От пакетного менеджера требуется только установить пакет и не делать того чего не просят.
- drBatty
- Сообщения: 8735
- Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
- ОС: Slackware-current
- Контактная информация:
Re: [решено] Безопасность по умолчанию
а мне нравится. если я хочу поставить демон, то пусть он ставится _полностью_. с настройкой, и всеми делами. Если мне не нужен демон, зачем я его ставил?
Re: [решено] Безопасность по умолчанию
а мне нравится. если я хочу поставить демон, то пусть он ставится _полностью_. с настройкой, и всеми делами. Если мне не нужен демон, зачем я его ставил?
Какой смысл запускать демон с дефолтной настройкой если в большинсве случаев конфигурация переделывается под свои задачи? Какой смысл возлагать на администратора заботу (слежение, останов, отмена автостарта) за лишними _не_настроенными_ службами в то время когда он лучше значет когда и что ему нужно?
Re: [решено] Безопасность по умолчанию
sudo dpkg-reconfigure debconf
И задайте тот уровень вопросов, который нужен, делов-то...
И задайте тот уровень вопросов, который нужен, делов-то...
Читаю вслух с выражением маны - $50/ч + стоимость звонка. Настраиваю сервисы за Вас - $100/ч + стоимость выезда и проживания.
И восемь строк матом...(бесплатно)
И восемь строк матом...(бесплатно)
Спасибо сказали:
- drBatty
- Сообщения: 8735
- Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
- ОС: Slackware-current
- Контактная информация:
Re: [решено] Безопасность по умолчанию
trancefer писал(а): ↑05.12.2011 01:56Какой смысл запускать демон с дефолтной настройкой если в большинсве случаев конфигурация переделывается под свои задачи? Какой смысл возлагать на администратора заботу (слежение, останов, отмена автостарта) за лишними _не_настроенными_ службами в то время когда он лучше значет когда и что ему нужно?
В дебиане демоны таки настраиваются. Там специальные настройщики есть. Например для MySQL. На выходе получаем вполне годный сервер. Который остаётся только чуть допилить.
И если админу не нужен тот-же MySQL, то зачем он его ставил?
Re: [решено] Безопасность по умолчанию
Nazyvaemykh писал(а): ↑02.12.2011 13:56policy ACCEPT. разве имеет это какое-то отношение к безопасности или небезопасности?
Если Вы не против того, чтобы Вам положили канал DoS'ом, рассылали через Ваш хост спам и т.п. - тогда, конечно, нет.
Nazyvaemykh писал(а): ↑02.12.2011 13:56Если человек установил какой-то демон, то, наверное, тоже не просто так, а чтобы он работал. А для этого его нужно запустить.
С непонятно каким конфигом?
Так уже даже MS не делает
root@host
# dpkg-reconfigure debconf
Readline
Low
# aptitude install apache2
# aptitude install squid
Спросил только действительно ли я хочу закачать сколько-то там килобайт пакетов.
- drBatty
- Сообщения: 8735
- Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
- ОС: Slackware-current
- Контактная информация:
Re: [решено] Безопасность по умолчанию
не положат и не разошлют. Если конечно вы не будете ставить ненужные вам демоны. И да, ЕМНИП, по дефолту форвардинг отключён, потому полиси iptables попросту не работают. (транзитные. INPUT & OUTPUT тоже не работают, ибо их никто не слушает).
почему "с непонятно каким"? значения по умолчанию есть в документации. Ну а то, что у всех разное (например IP) можно и спросить.
Как эта ваша мысы делает - я в курсе. Помню про службу удалённого администрирования, которая была по дефолту открыта наружу.
Re: [решено] Безопасность по умолчанию
DSS писал(а): ↑05.12.2011 10:36Nazyvaemykh писал(а): ↑02.12.2011 13:56policy ACCEPT. разве имеет это какое-то отношение к безопасности или небезопасности?
Если Вы не против того, чтобы Вам положили канал DoS'ом
ваш канал равен 1.0ye(условных единиц), у меня 100500.666уе. смутно представляю, чем вам в данном случае поможет policy drop.
при данном раскладе ваш канал уже положили, вне зависимости от.
:wq
Re: [решено] Безопасность по умолчанию
http://www.debian.org/Bugs/
$summary
форум — это не багзилла, а багзилла — не уютненький бложик или весёлый чатик.
:wq
Re: [решено] Безопасность по умолчанию
Так давно не прописывал ip_forward руками, что забыл про его сущестование, спасибо за напоминание.
Давайте более жизненный пример.
Есть провайдер. У которого внутренняя сеть построена не по принципу полной изоляции клиентов друг от друга. Комп без дропа пакетов, выставленный в сеть, минут через 15-30 сеть теряет под лавиной пакетов. В особо запущеных случаях - аж до блокировки порта на коммутаторе провайдера. То же самое, но с дропом пакетов, периодически плюёт в лог разные адреса из внутренней сети провайдера, но не более того.
З.Ы. Собственно, уже всё, что надо было - выяснили. Лирику можно обсудить в другом месте. Засим [решено]
Re: [решено] Безопасность по умолчанию
Какая разница порту на коммутаторе провайдера дропает ваша машина пакеты или нет?
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
Re: [решено] Безопасность по умолчанию
форум — это не багзилла, а багзилла — не уютненький бложик или весёлый чатик.
В данном случае это не баг а фича
В OpenBSD тоже есть такая фича, с точностью до наоборот; и по мне такой подход видится более правильным.
В дебиане демоны таки настраиваются. Там специальные настройщики есть. Например для MySQL. На выходе получаем вполне годный сервер. Который остаётся только чуть допилить.
Ога, сначала только нужно разобрать весь хлам в конфиге, удалить не нужное, добавить нужное так что ценность подобных настройщиков крайне сомнительна. MySQL не очень удачный пример, а вот в случае какого-нибудь Exim, Postfix, Apache, BIND все так.
И если админу не нужен тот-же MySQL, то зачем он его ставил?
Я обычно ставлю нужный софт не по одному пакету, а всем скопом; потом постепенно настраиваю то что нужно. Какой смысл иметь запущенными 100500 демонов с дефолтными настройками не отвечающими нуждам администратора?
Re: [решено] Безопасность по умолчанию
сейчас удалённо эксплуатируемая уязвимость есть большая редкость, но чем меньше поверхность атаки, тем лучше (так почти во всех букварях пишут).
:wq
- drBatty
- Сообщения: 8735
- Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
- ОС: Slackware-current
- Контактная информация:
Re: [решено] Безопасность по умолчанию
мне не кажется, что это хорошая идея.... ИМХО.
-
- Сообщения: 954
- Статус: дилетант широкого профиля
- ОС: Gentoo arm64 musl hardened
- Контактная информация:
Re: [решено] Безопасность по умолчанию
О, как себя чудно ведёт rp_filter, когда запускаешь его с VLAN over LACP trunk.
С уважением,
Павел Алиев
Павел Алиев