Насчет безопасности возникли 2 ламерских вопроса, но все же задам, т.к. в поиске четких ответов не вижу.
1. Если на машине НЕ стоит SSH, значит ли это, что на нее в принципе залезть извне невозможно (для работы в баше/шеле)? Залезть = получить права root или от юзера шариться по винту. При условии, что ftp, apache, torrent не подняты...
2. Если я хочу поставить апач на десктопе, но так, чтобы сайты были доступны только на десктопе (ну или еще в локальной сети), но НЕ были доступны извне, чтобы апач вообще извне не был виден, как это сделать? Понимаю, что наверное iptables шаманить, но что именно?
Какой-то порт разрешить для localhost и IP локалки, запретив остальным?
Вопрос по апачу и ssh (чтобы сайты доступны локально только)
Модератор: SLEDopit
Re: Вопрос по апачу и ssh
Т.е. последовательность иная, наоборот.
1. Все запрещаем в iptables (по данному порту? для апача? какому тогда?)
2. Разрешаем по данному порту для определенных IP?
Re: Вопрос по апачу и ssh
Читайте www.opennet.ru/docs/RUS/iptables
Re: Вопрос по апачу и ssh
Я видел, но у меня конкретный вопрос. Вернее - 2:) Про ssh и порты для апача.
Можно 1 раз ответить, что делал Пьер Безухов с Наташей Ростовой на балконе (время - около минуты), а можно посоветовать почитать "Война и мир", да...
Можно 1 раз ответить, что делал Пьер Безухов с Наташей Ростовой на балконе (время - около минуты), а можно посоветовать почитать "Война и мир", да...
- Ленивая Бестолочь
- Бывший модератор
- Сообщения: 2760
- ОС: Debian; gentoo
Re: Вопрос по апачу и ssh
1. Если на машине НЕ стоит SSH, значит ли это, что на нее в принципе залезть извне невозможно (для работы в баше/шеле)? Залезть = получить права root или от юзера шариться по винту. При условии, что ftp, apache, torrent не подняты...
если у вас ничего не поднято, но при этом не настроен файрвол то попасть к вам можно только использовав какой-нибудь експлойт (при условии, конечно, что он есть).
2. Если я хочу поставить апач на десктопе, но так, чтобы сайты были доступны только на десктопе (ну или еще в локальной сети), но НЕ были доступны извне, чтобы апач вообще извне не был виден, как это сделать? Понимаю, что наверное iptables шаманить, но что именно?
в апаче можно написать что-нибудь типа: Listen 127.0.0.1:80
ожно 1 раз ответить, что делал Пьер Безухов с Наташей Ростовой на балконе (время - около минуты), а можно посоветовать почитать "Война и мир", да...
на ваш вопрос люди будут отвечать только если они этого захотят.
отвечать человеку, который не хочет потратить минуту на гугление или пару минут на чтение мануалов - не хочется.
iptables вещь может и сложная, но готовых скриптов в интернете полным полно.
в том числе и на нашем форуме.
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Re: Вопрос по апачу и ssh
если у вас ничего не поднято, но при этом не настроен файрвол то попасть к вам можно только использовав какой-нибудь експлойт (при условии, конечно, что он есть).
Ясно, спасибо, это я и хотел узнать. Т.е. все равно можно.
в апаче можно написать что-нибудь типа: Listen 127.0.0.1:80
не совсем понял, что имеется ввиду, где прописать? В httpd.conf? Туда такое не пишется. В iptables правила тое несколько по-другому пишутся. Так куда?
на ваш вопрос люди будут отвечать только если они этого захотят.
Ну я же конкретно никого не заставляю, просто задал вопрос (конкретный, не абстрактный). Если нет желания у кого-то конкретно ответить, то лучше бы не писать "читай маны", т.к. это не ответ на конкретный вопрос. А просто пройти мимо. А кто захочет и сможет, тот ответит. А я напишу "спасибо". По-моему, это азы общения на форумах. Или нет?
отвечать человеку, который не хочет потратить минуту на гугление или пару минут на чтение мануалов - не хочется.
Я ДО того, как задать вопрос, видел ссылку на opennet, и даже сохранил "на потом" почитать. А написал конкретные вопросы. Насчет "пары минут", то наверное имелось ввиду пару суток?
P.S. Не хочу разводить флейм, но вот только за сегодня мне вместо ответов на конкретные вопросы посоветовали:
- изучить man cut (для азов программирования, дальше - больше)
- изучить iptables (для азов безопасности)
Это я пока 2 вопроса задал. Мне закрыться на сколько лет в офисе, чтобы систему под себя настроить?
Re: Вопрос по апачу и ssh
не совсем понял, что имеется ввиду, где прописать? В httpd.conf?
В него родимого.
/earth: file system full
Re: Вопрос по апачу и ssh
Код: Выделить всё
iptables -F OUTPUT
iptables -F INPUT
iptables -X OUTPUT
iptables -X INPUT
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --sport 80 -j ACCEPT