apli erotisi peri prosvasis
Dimitris Mandalidis
mandas at ath.forthnet.gr
Sat Mar 3 11:27:01 EET 2001
On Thu, 1 Mar 2001 Batis wrote:
> De perimenw pliri apantisi, kapoies kateythintiries odigies, kana url gia
> sygkekrimeno HOW-TO episis dekto :p
Γενικά σε θέματα ασφάλειας υπάρχει η εξής τακτική : να κλείνεις πρώτα τα
πάντα και μετά ν' ανοίγεις αυτά που θες (τα οποία θα ναι και λιγότερα, απ'
αυτά που δεν θες:-)
Πρέπει να προσθέσεις στο /etc/hosts.deny τις εξής γραμμές :
ALL: ALL
portmap: ALL
Και μετά θα πας στο /etc/hosts.allow και θα επιτρέψεις αυτά που θες πχ.
in.telnetd: localhost ή in.telnetd: 127.0.0.1
Πρόσεξε όμως στην προκειμένη περίπτωση ο daemon πρέπει να τρέχει
από το inetd.conf, για ένα standalone server (βλ. apache) θέλει να
πειράξεις δικό του αρχείο για παράδειγμα για τον apache πειράζεις το
httpd.conf.
Και μετά αρκεί να φτιάξεις και κάποια rules με το ipchains(8) για να
αποτρέπεται πρόσβαση (σε επίπεδο πακέτων) από νετ μέσω http για παράδειγμα
/sbin/ipchains -A input -i ppp+ -p udp -s 0.0.0.0/0 --destination-port 80
-j DENY -l
Βάζω udp γιατί υποτίθεται ότι τα tcp πακέτα που έρχονται με ACK=0 (αρχή
σύνδεσης) τα χεις απαγορεύσει.(όπως υποτίθεται ότι έχει δώσει ελευθερία
κινήσεως στο loopback)
Οσο για documentation κοίτα τα εξής manuals : ipchains(8), hosts_access(3)
και το firewall-HOWTO (αν και το θεωρώ πολύ κακογραμμένο) κοίτα και το
/etc/services για να δεις από που μου κατεβηκε εκείνο το 80:-). Αν πάλι
όμως θες να μπεις στα άδυτα της ασφάλειας και θες κάποιο βιβλίο θα σου
πρότεινα το Building internet firewall της O'reilly είναι κορυφαίο.
Αυτά ελπίζω να βοήθησα.
Φιλικά,
Δημήτρης
More information about the Linux-greek-users
mailing list