unixforum.org

Обнаружил интересную особенность Debian:

При загрузке в свежеустановленную систему - в iptables везде policy ACCEPT.
При установке любого сервиса (bind, squid и т.п) система всегда прописывает его на автостарт при загрузке и запускает сразу после установки с дефолтными конфигами.
В sysctl выключен rp_filter и прочие "плюшки".

Это нормально?
Есть какой-то путь, кроме прописывания всего ручками?

DSS писал(а): ↑

02.12.2011 09:59

Обнаружил интересную особенность Debian:
При загрузке в свежеустановленную систему - в iptables везде policy ACCEPT.

ага, а должно быть (в идеале) a la openbsd.

DSS писал(а): ↑

02.12.2011 09:59

При установке любого сервиса (bind, squid и т.п) система всегда прописывает его на автостарт при загрузке и запускает сразу после установки с дефолтными конфигами.

не так уж и страшно, это свойственно подавляющему большинству современных дистрибутивов.

DSS писал(а): ↑

02.12.2011 09:59

Это нормально?

возможно, что нет.

DSS писал(а): ↑

02.12.2011 09:59

Есть какой-то путь, кроме прописывания всего ручками?

http://www.debian.org/Bugs/

$summary
форум — это не багзилла, а багзилла — не уютненький бложик или весёлый чатик.

DSS писал(а): ↑

02.12.2011 09:59

При загрузке в свежеустановленную систему - в iptables везде policy ACCEPT.

О ужас. Злобные хацкеры точно продолбят сквозную дырку в каком-нибудь порте.

DSS писал(а): ↑

02.12.2011 09:59

В sysctl выключен rp_filter и прочие "плюшки".

А какой смысл его (rp_filter) включать на сервере или десктопе с 1 сетевым интерфейсом? Какие прочие плюшки вас интересуют?

DSS писал(а): ↑

02.12.2011 09:59

При установке любого сервиса (bind, squid и т.п) система всегда прописывает его на автостарт при загрузке и запускает сразу после установки с дефолтными конфигами.

Если это вас так беспокоит, закройте порт, установите, настройте и откройте заново. Вот лично мне пофиг.

DSS писал(а): ↑

02.12.2011 09:59

Есть какой-то путь, кроме прописывания всего ручками?

Можно ногами или носом, но ручками удобнее.

DSS писал(а): ↑

02.12.2011 09:59

При установке любого сервиса (bind, squid и т.п) система всегда прописывает его на автостарт при загрузке и запускает сразу после установки с дефолтными конфигами.

Не всегда. Некоторые серивсы (а-ля tftpd-hpa) в конфиге по умолчанию прописывают ENABLED=false и пока руками всё не поправишь, ни за что на свете не запустятся. Но большинство таки да, запускается с дефолтными конфигами.

taaroa писал(а): ↑

02.12.2011 11:22

не так уж и страшно, это свойственно подавляющему большинству современных дистрибутивов.

Активно пользуюсь openSUSE - там такого никогда не было.

neol писал(а): ↑

02.12.2011 11:29

А какой смысл его (rp_filter) включать на сервере или десктопе с 1 сетевым интерфейсом?

Debian - дистрибутив для "сервера или десктопа с 1 сетевым интерфейсом"?

neol писал(а): ↑

02.12.2011 11:29

Можно ногами или носом, но ручками удобнее.

В openSUSE есть, например, такое (по линку картинка):
http://www-uxsup.csx.cam.ac.uk/pub/doc/sus...t2_security.png
М.б. и в Debian что-то подобное существует - я же не знаю. Security Guide тоже не говорит.

policy ACCEPT. разве имеет это какое-то отношение к безопасности или небезопасности?

Нормальное состояние компьютера просто работать. Так, машина может и получать, и отправлять пакеты. Если какие-то пакеты не приходят, значит, машина не работает. Должна ли система изначально быть в нерабочем состоянии, и должен ли пользователь гадать, почему это система в нерабочем состоянии? Что это там Debian такого накрутил, что пакеты не приходят?

Если человек установил какой-то демон, то, наверное, тоже не просто так, а чтобы он работал. А для этого его нужно запустить.

Если по каким-то причинам человек считает эти рабочие настройки не самыми подходящими для себя, то это ужь он должен об этом позаботиться.

Если человек установил какой-то демон, то, наверное, тоже не просто так, а чтобы он работал. А для этого его нужно запустить.

Это недопустимо. От пакетного менеджера требуется только установить пакет и не делать того чего не просят.

trancefer писал(а): ↑

05.12.2011 00:48

Это недопустимо. От пакетного менеджера требуется только установить пакет и не делать того чего не просят.

а мне нравится. если я хочу поставить демон, то пусть он ставится _полностью_. с настройкой, и всеми делами. Если мне не нужен демон, зачем я его ставил?

а мне нравится. если я хочу поставить демон, то пусть он ставится _полностью_. с настройкой, и всеми делами. Если мне не нужен демон, зачем я его ставил?

Какой смысл запускать демон с дефолтной настройкой если в большинсве случаев конфигурация переделывается под свои задачи? Какой смысл возлагать на администратора заботу (слежение, останов, отмена автостарта) за лишними _не_настроенными_ службами в то время когда он лучше значет когда и что ему нужно?

sudo dpkg-reconfigure debconf
И задайте тот уровень вопросов, который нужен, делов-то...

trancefer писал(а): ↑

05.12.2011 01:56

Какой смысл запускать демон с дефолтной настройкой если в большинсве случаев конфигурация переделывается под свои задачи? Какой смысл возлагать на администратора заботу (слежение, останов, отмена автостарта) за лишними _не_настроенными_ службами в то время когда он лучше значет когда и что ему нужно?

В дебиане демоны таки настраиваются. Там специальные настройщики есть. Например для MySQL. На выходе получаем вполне годный сервер. Который остаётся только чуть допилить.

И если админу не нужен тот-же MySQL, то зачем он его ставил?

Nazyvaemykh писал(а): ↑

02.12.2011 13:56

policy ACCEPT. разве имеет это какое-то отношение к безопасности или небезопасности?

Если Вы не против того, чтобы Вам положили канал DoS'ом, рассылали через Ваш хост спам и т.п. - тогда, конечно, нет.

Nazyvaemykh писал(а): ↑

02.12.2011 13:56

Если человек установил какой-то демон, то, наверное, тоже не просто так, а чтобы он работал. А для этого его нужно запустить.

С непонятно каким конфигом?
Так уже даже MS не делает

Warderer писал(а): ↑

05.12.2011 08:05

sudo dpkg-reconfigure debconf
И задайте тот уровень вопросов, который нужен, делов-то...

Спросил только действительно ли я хочу закачать сколько-то там килобайт пакетов.

DSS писал(а): ↑

05.12.2011 10:36

Если Вы не против того, чтобы Вам положили канал DoS'ом, рассылали через Ваш хост спам и т.п. - тогда, конечно, нет.

не положат и не разошлют. Если конечно вы не будете ставить ненужные вам демоны. И да, ЕМНИП, по дефолту форвардинг отключён, потому полиси iptables попросту не работают. (транзитные. INPUT & OUTPUT тоже не работают, ибо их никто не слушает).

DSS писал(а): ↑

05.12.2011 10:36

С непонятно каким конфигом?
Так уже даже MS не делает

почему "с непонятно каким"? значения по умолчанию есть в документации. Ну а то, что у всех разное (например IP) можно и спросить.
Как эта ваша мысы делает - я в курсе. Помню про службу удалённого администрирования, которая была по дефолту открыта наружу.

DSS писал(а): ↑

05.12.2011 10:36

Nazyvaemykh писал(а): ↑

02.12.2011 13:56

policy ACCEPT. разве имеет это какое-то отношение к безопасности или небезопасности?

Если Вы не против того, чтобы Вам положили канал DoS'ом

ваш канал равен 1.0ye(условных единиц), у меня 100500.666уе. смутно представляю, чем вам в данном случае поможет policy drop.
при данном раскладе ваш канал уже положили, вне зависимости от.

trancefer писал(а): ↑

05.12.2011 00:48

Если человек установил какой-то демон, то, наверное, тоже не просто так, а чтобы он работал. А для этого его нужно запустить.

Это недопустимо. От пакетного менеджера требуется только установить пакет и не делать того чего не просят.

http://www.debian.org/Bugs/

$summary
форум — это не багзилла, а багзилла — не уютненький бложик или весёлый чатик.

drBatty писал(а): ↑

05.12.2011 11:16

не положат и не разошлют. Если конечно вы не будете ставить ненужные вам демоны. И да, ЕМНИП, по дефолту форвардинг отключён, потому полиси iptables попросту не работают. (транзитные. INPUT & OUTPUT тоже не работают, ибо их никто не слушает).

Так давно не прописывал ip_forward руками, что забыл про его сущестование, спасибо за напоминание.

taaroa писал(а): ↑

05.12.2011 11:39

ваш канал равен 1.0ye(условных единиц), у меня 100500.666уе. смутно представляю, чем вам в данном случае поможет policy drop.
при данном раскладе ваш канал уже положили, вне зависимости от.

Давайте более жизненный пример.
Есть провайдер. У которого внутренняя сеть построена не по принципу полной изоляции клиентов друг от друга. Комп без дропа пакетов, выставленный в сеть, минут через 15-30 сеть теряет под лавиной пакетов. В особо запущеных случаях - аж до блокировки порта на коммутаторе провайдера. То же самое, но с дропом пакетов, периодически плюёт в лог разные адреса из внутренней сети провайдера, но не более того.


З.Ы. Собственно, уже всё, что надо было - выяснили. Лирику можно обсудить в другом месте. Засим [решено]

DSS писал(а): ↑

05.12.2011 12:14

В особо запущеных случаях - аж до блокировки порта на коммутаторе провайдера.

Какая разница порту на коммутаторе провайдера дропает ваша машина пакеты или нет?

форум — это не багзилла, а багзилла — не уютненький бложик или весёлый чатик.

В данном случае это не баг а фича
В OpenBSD тоже есть такая фича, с точностью до наоборот; и по мне такой подход видится более правильным.

В дебиане демоны таки настраиваются. Там специальные настройщики есть. Например для MySQL. На выходе получаем вполне годный сервер. Который остаётся только чуть допилить.

Ога, сначала только нужно разобрать весь хлам в конфиге, удалить не нужное, добавить нужное так что ценность подобных настройщиков крайне сомнительна. MySQL не очень удачный пример, а вот в случае какого-нибудь Exim, Postfix, Apache, BIND все так.

И если админу не нужен тот-же MySQL, то зачем он его ставил?

Я обычно ставлю нужный софт не по одному пакету, а всем скопом; потом постепенно настраиваю то что нужно. Какой смысл иметь запущенными 100500 демонов с дефолтными настройками не отвечающими нуждам администратора?

trancefer писал(а): ↑

05.12.2011 19:32

В OpenBSD тоже есть такая фича, с точностью до наоборот; и по мне такой подход видится более правильным.

taaroa писал(а): ↑

02.12.2011 11:22

ага, а должно быть (в идеале) a la openbsd.

сейчас удалённо эксплуатируемая уязвимость есть большая редкость, но чем меньше поверхность атаки, тем лучше (так почти во всех букварях пишут).

trancefer писал(а): ↑

05.12.2011 19:32

Я обычно ставлю нужный софт не по одному пакету, а всем скопом; потом постепенно настраиваю то что нужно.

мне не кажется, что это хорошая идея.... ИМХО.

SLEDopit писал(а): ↑

05.12.2011 13:27

Какая разница порту на коммутаторе провайдера дропает ваша машина пакеты или нет?

Нет дропа пакетов на машине => с локалки валит трафик по нарастающей => порт блокируется по overflow.

О, как себя чудно ведёт rp_filter, когда запускаешь его с VLAN over LACP trunk.