Люди, у меня есть проблема с всякого рода "хакерами", меня постоянно сканят и атакуют. Я хочу или новую ось или хорошо настроить старую. Сервак 1.6 athlon xp, 256 mb, 160 gb и ADSL он мне нежен для шлюзования юзеров в интернет. На нём стоит апач, т.к. проверка своего баланса осуществляется с внутреннего сайта. freeBSD 5.3 впринципе ничего, но я незнаю это моя первая 'nix система, из защиты там стояли portsentry и ipfw, в BSD я не силён, но поставил по рекомендациям. Суть проблемы надеюся вам ясна?
Недавно предложили поставить Mandrake Multi Network Firewall как на это смотрите?
проблемы с безопастносью
Модератор: SLEDopit
Re: проблемы с безопастносью
А конкретно в чем выражаются атаки "хакеров"? Сканирование портов еще не есть атака.
Если сильно нужно повысить защищенность системы то позволю себе дать ряд рекомендаций, не претендующих на абсолютную достаточность:
1. минимум (в идеале - никаких) действий на рабочей машине от имени рута.
2. запускаться должны только те сервисы, которые ДЕЙСТВИТЕЛЬНО нужны и только от пользователей, которые сильно ограничены в правах. По возможности пихать их в chroot или jail.
3. В файерволе настрой правила для убивания атак типа DoS - ограничь скорость передачи в стек IP входящих пакетов SYN. Если ты вообще юзеров через NAT выпускаешь, то можно с внешних интерфейсов их вообще не принимать.
4. Если "хакеры" сильно достают, а трафик дешевый, то можно и ответную атаку предпринять - завали товарищей пакетами для DoS. Может статься и так, что их машинка "упадет".
5. Не нужно так нервничать по поводу попыток атак - провайдер все равно его не будет вычитать из твоих счетов. Главное - чтобы внутрь всякое дерьмо не влезало. Снаружи - хоть трава не расти. Нужно привыкнуть, что Интернет - враждебная среда.
Если сильно нужно повысить защищенность системы то позволю себе дать ряд рекомендаций, не претендующих на абсолютную достаточность:
1. минимум (в идеале - никаких) действий на рабочей машине от имени рута.
2. запускаться должны только те сервисы, которые ДЕЙСТВИТЕЛЬНО нужны и только от пользователей, которые сильно ограничены в правах. По возможности пихать их в chroot или jail.
3. В файерволе настрой правила для убивания атак типа DoS - ограничь скорость передачи в стек IP входящих пакетов SYN. Если ты вообще юзеров через NAT выпускаешь, то можно с внешних интерфейсов их вообще не принимать.
4. Если "хакеры" сильно достают, а трафик дешевый, то можно и ответную атаку предпринять - завали товарищей пакетами для DoS. Может статься и так, что их машинка "упадет".
5. Не нужно так нервничать по поводу попыток атак - провайдер все равно его не будет вычитать из твоих счетов. Главное - чтобы внутрь всякое дерьмо не влезало. Снаружи - хоть трава не расти. Нужно привыкнуть, что Интернет - враждебная среда.
Я знаю только то, что ничего не знаю ... потому и обречен вечно учиться.
Re: проблемы с безопастносью
У меня несколько раз роняли сервак и юзера ругаются на отсутствие `нета` и ещё на внутренний сайт был доступ из вне для скачивания, у меня весь download был на веб интерфейсе, понимаю дыр хватало но это для знакомых уехавших жить в японию