Вопрос по апачу и ssh (чтобы сайты доступны локально только)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

Fkabir
Сообщения: 369

Вопрос по апачу и ssh

Сообщение Fkabir »

Насчет безопасности возникли 2 ламерских вопроса, но все же задам, т.к. в поиске четких ответов не вижу.

1. Если на машине НЕ стоит SSH, значит ли это, что на нее в принципе залезть извне невозможно (для работы в баше/шеле)? Залезть = получить права root или от юзера шариться по винту. При условии, что ftp, apache, torrent не подняты...

2. Если я хочу поставить апач на десктопе, но так, чтобы сайты были доступны только на десктопе (ну или еще в локальной сети), но НЕ были доступны извне, чтобы апач вообще извне не был виден, как это сделать? Понимаю, что наверное iptables шаманить, но что именно?
Какой-то порт разрешить для localhost и IP локалки, запретив остальным?
Спасибо сказали:

Аватара пользователя
*Sasha*
Сообщения: 2519
Статус: Мимо шёл
ОС: Debian

Re: Вопрос по апачу и ssh

Сообщение *Sasha* »

Fkabir писал(а):
16.04.2009 17:53
Какой-то порт разрешить для localhost и IP локалки, запретив остальным?

Лучше всё закрыть и разрешить только то что необходимо.
Спасибо сказали:

Fkabir
Сообщения: 369

Re: Вопрос по апачу и ssh

Сообщение Fkabir »

*Sasha* писал(а):
16.04.2009 17:56
Fkabir писал(а):
16.04.2009 17:53
Какой-то порт разрешить для localhost и IP локалки, запретив остальным?

Лучше всё закрыть и разрешить только то что необходимо.

Т.е. последовательность иная, наоборот.
1. Все запрещаем в iptables (по данному порту? для апача? какому тогда?)
2. Разрешаем по данному порту для определенных IP?
Спасибо сказали:

Аватара пользователя
*Sasha*
Сообщения: 2519
Статус: Мимо шёл
ОС: Debian

Re: Вопрос по апачу и ssh

Сообщение *Sasha* »

Читайте www.opennet.ru/docs/RUS/iptables
Спасибо сказали:

Fkabir
Сообщения: 369

Re: Вопрос по апачу и ssh

Сообщение Fkabir »

Я видел, но у меня конкретный вопрос. Вернее - 2:) Про ssh и порты для апача.

Можно 1 раз ответить, что делал Пьер Безухов с Наташей Ростовой на балконе (время - около минуты), а можно посоветовать почитать "Война и мир", да... :bangin:
Спасибо сказали:

Аватара пользователя
Ленивая Бестолочь
Бывший модератор
Сообщения: 2760
ОС: Debian; gentoo

Re: Вопрос по апачу и ssh

Сообщение Ленивая Бестолочь »

1. Если на машине НЕ стоит SSH, значит ли это, что на нее в принципе залезть извне невозможно (для работы в баше/шеле)? Залезть = получить права root или от юзера шариться по винту. При условии, что ftp, apache, torrent не подняты...

если у вас ничего не поднято, но при этом не настроен файрвол то попасть к вам можно только использовав какой-нибудь експлойт (при условии, конечно, что он есть).
2. Если я хочу поставить апач на десктопе, но так, чтобы сайты были доступны только на десктопе (ну или еще в локальной сети), но НЕ были доступны извне, чтобы апач вообще извне не был виден, как это сделать? Понимаю, что наверное iptables шаманить, но что именно?

в апаче можно написать что-нибудь типа: Listen 127.0.0.1:80

ожно 1 раз ответить, что делал Пьер Безухов с Наташей Ростовой на балконе (время - около минуты), а можно посоветовать почитать "Война и мир", да...

на ваш вопрос люди будут отвечать только если они этого захотят.
отвечать человеку, который не хочет потратить минуту на гугление или пару минут на чтение мануалов - не хочется.
iptables вещь может и сложная, но готовых скриптов в интернете полным полно.
в том числе и на нашем форуме.
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Спасибо сказали:

Fkabir
Сообщения: 369

Re: Вопрос по апачу и ssh

Сообщение Fkabir »

если у вас ничего не поднято, но при этом не настроен файрвол то попасть к вам можно только использовав какой-нибудь експлойт (при условии, конечно, что он есть).

Ясно, спасибо, это я и хотел узнать. Т.е. все равно можно.

в апаче можно написать что-нибудь типа: Listen 127.0.0.1:80

не совсем понял, что имеется ввиду, где прописать? В httpd.conf?:) Туда такое не пишется. В iptables правила тое несколько по-другому пишутся. Так куда?

на ваш вопрос люди будут отвечать только если они этого захотят.

Ну я же конкретно никого не заставляю, просто задал вопрос (конкретный, не абстрактный). Если нет желания у кого-то конкретно ответить, то лучше бы не писать "читай маны", т.к. это не ответ на конкретный вопрос. А просто пройти мимо. А кто захочет и сможет, тот ответит. А я напишу "спасибо". По-моему, это азы общения на форумах. Или нет?
отвечать человеку, который не хочет потратить минуту на гугление или пару минут на чтение мануалов - не хочется.

Я ДО того, как задать вопрос, видел ссылку на opennet, и даже сохранил "на потом" почитать. А написал конкретные вопросы. Насчет "пары минут", то наверное имелось ввиду пару суток?:)

P.S. Не хочу разводить флейм, но вот только за сегодня мне вместо ответов на конкретные вопросы посоветовали:
- изучить man cut (для азов программирования, дальше - больше)
- изучить iptables (для азов безопасности)
Это я пока 2 вопроса задал. Мне закрыться на сколько лет в офисе, чтобы систему под себя настроить? :tongue:
Спасибо сказали:

Аватара пользователя
strah
Сообщения: 283
ОС: Freebsd, linux, Solaris.

Re: Вопрос по апачу и ssh

Сообщение strah »

не совсем понял, что имеется ввиду, где прописать? В httpd.conf?

В него родимого.
/earth: file system full
Спасибо сказали:

pelmen
Сообщения: 1268
ОС: debian

Re: Вопрос по апачу и ssh

Сообщение pelmen »

Fkabir писал(а):
16.04.2009 19:00
Это я пока 2 вопроса задал. Мне закрыться на сколько лет в офисе, чтобы систему под себя настроить? :tongue:

Код: Выделить всё

iptables -F OUTPUT
iptables -F INPUT
iptables -X OUTPUT
iptables -X INPUT
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --sport 80 -j ACCEPT
Это поможет тебе сразу по обоим вопросам
Спасибо сказали: