Freesco, NND, CDN, EOS
http://forum.freesco.pl/

host.deny
http://forum.freesco.pl/viewtopic.php?f=22&t=13108		 Strona 1 z 1
Autor:  pape [ poniedziałek, 31 lipca 2006, 19:21 ]
Tytuł:  host.deny
Witam, czy moglby mi ktos powiedziec jak powinno wygladac host.deny z zablokowanym jednym IP, bo moje wyglada tak:

#
# /etc/hosts.deny
#

ALL: ALL: DENY

# End of file


czytam na forum i nie moge znalesc jak dokladnie to powinno wygladac :(

Jakis koles proboje sie logowac, 1 proba logowania / 1s :/ i load average wzroslo z 0.35 do 1.45 a jak przestal to odrazu ladnie :D kjournald strasznie duzo bral ale sie uspokoil ;) juz myslalem ze kolejne problemy z servkiem, a sporo ich jest ;( pechowy jakis, a i admin dupny ;P przyznaje ;P

Z góry dziekuje :D
Autor:  Maciek [ poniedziałek, 31 lipca 2006, 19:48 ]
Tytuł: 
: [/] [] ()
#
# /etc/hosts.deny
#

ALL: ALL: DENY

# End of file
ALL: 83.28.60.226
ALL: 85.128.99.130
ALL: 83.23.8.5
GeSHi © Codebox Plus

Tak mój plik dziś o 19:48 wygląda.
Autor:  Mis' [ poniedziałek, 31 lipca 2006, 20:01 ]
Tytuł: 
Maciek pisze:
: [/] [] ()
#
# /etc/hosts.deny
#

ALL: ALL: DENY

# End of file
ALL: 83.28.60.226
ALL: 85.128.99.130
ALL: 83.23.8.5
GeSHi © Codebox Plus

Tak mój plik dziś o 19:48 wygląda.


dopisywanie czegokolwiek do tego pliku nie ma sensu, o ile jest w nim linijka:

ALL: ALL: DENY

powyższe oznacza, że wszystkie adresy, mają zablokowane dostęp do wszystkich usług. Oczywiście nic nie boli jeśli poniżej dopiszemy coś... poza tym że każda linia będzie sprawdzana (zajmując czas procesora), pomimo, że już pierwsza zawiera w sobie wszystko.
Ponieważ plik hosts.allow jest sprawdzany w pierwszej kolejności ważniejsze jest aby tam właśnie odblokowywać dostęp tym, którym chcemy do takich usług jakie im udostepnimy, a wszystko co nie jest dozwolone w hosts.allow blokować jedną linią w hosts.deny.
Autor:  Maciek [ poniedziałek, 31 lipca 2006, 21:20 ]
Tytuł: 
Hm...
To mi zabiłeś ćwieka. Wynikałoby zatem, że mając wpis ALL:ALL:DENY mam serwer zamknięty całkowicie z Internetu. Wpisy inne zostały dodane przez portsentry i o ile wiem mają blokować tym hostom dostęp do serwera. Właśnie sprawdzam i widzę, że przynajmniej w części masz rację, te wpisy nie blokują niczego. Ale ten defaultowy też nie. Zatem po jakiego grzyba w ogóle jest ten plik?
Autor:  Mis' [ poniedziałek, 31 lipca 2006, 21:31 ]
Tytuł: 
Maciek pisze:
Zatem po jakiego grzyba w ogóle jest ten plik?


trochę głupio mi cię odsyłać do manuali, ale to chyba jedyne sensowne rozwiązanie... przecież hosts.allow i hosts.deny nie ograniczają dostepu do wszystkich usług działających na serwerze, a tylko do tych które mają wkompilowaną obsługę tcp-wrappers, lub są uruchamiane przez xinetd (o ile ten ma wkompilowaną obsługę tcp-wrappers).
Więcej i dokładniej w manualach...
Autor:  przemek_nnd [ poniedziałek, 31 lipca 2006, 22:51 ]
Tytuł: 
no własnie - i tu pies pogrzebany, w nnd tcp-wrappers jest standardowo wyłączone - nie działa, więc już kiedys pisałem aby dodać w portsentry.conf linijkę
Cytuj:
KILL_ROUTE="/usr/local/bin/iptables -I INPUT -s $TARGET$ -j DROP"

albo cos podobnego - może nawet wpisywać do utworzonego pliku /etc/rc.d/rc.denied
: [/] [] ()
KILL_ROUTE="iptables -I INPUT -s $TARGET$ -j DROP >> /etc/rc.d/rc.denied"
GeSHi © Codebox Plus

a on wywoływany przez /etc/rc.d/rc.local
no ale to blokuje już całkowity dostęp - nie na usługi
WIĘC ALBO KUR... BĘDZIE W STANDARDZIE tcp_wrappers działać ALBO TRZA KOMBINOWAĆ - JA UWAŻAM TO ZA POWAŻNY BŁĄD TWÓRCÓW!!!
Autor:  Mis' [ poniedziałek, 31 lipca 2006, 23:50 ]
Tytuł: 
przemek_nnd pisze:
no własnie - i tu pies pogrzebany, w nnd tcp-wrappers jest standardowo wyłączone - nie działa, więc już kiedys pisałem aby dodać w portsentry.conf linijkę
Cytuj:
KILL_ROUTE="/usr/local/bin/iptables -I INPUT -s $TARGET$ -j DROP"


w mantisie nie widziałem takiego zgłoszenia. Przegapiłem?
Poza tym co to znaczy tcp_wrappers włączone? Standardowo xinetd jest kompilowany z obsługą tcp_wrappers, openssh jest również kompilowane z tcp_wrappers, poza tym wszystkie programy gdzie jest to przewidziane jako ustawienie defaultowe przez autorów. Pozostałe usługi mają własne mechanizmy obronne. Nie wiem jak to sobie wyobrażasz, ale kompilacja wolnostojącego serwera www czy poczty z obsługą tcp_wrappers ma mało sensu bo i tak w hosts.allow wpiszesz np. exim: ALL, albo nie będziesz miał dostępu do poczty/www/whatever jak wyjedziesz na urlop...
nie wiem jak u ciebie, ale u mnie tcp_wrappers działa i stąd w NND standardowo jest w pliku hosts.allow wpis sshd: ALL.

przemek_nnd pisze:
WIĘC ALBO KUR... BĘDZIE W STANDARDZIE tcp_wrappers działać ALBO TRZA KOMBINOWAĆ - JA UWAŻAM TO ZA POWAŻNY BŁĄD TWÓRCÓW!!!


nie krzycz.
tcp_wrappers działa.
jak masz jakieś uwagi to bądź łaskaw zgłaszać je tam gdzie ich miejsce - w Mantisie. Pisanie o tym na forum jest tylko stratą czasu - po trzech dniach nikt tego nie będzie pamiętał a inne posty przesuną cenne wskazówki na kolejne strony.
Autor:  pape [ wtorek, 1 sierpnia 2006, 10:49 ]
Tytuł: 
Hmm.... To ja sie spytam po co wogole jest host.deny, bo wyczytalem ze host.allow sluzy do odblokowania do ssh adresow IP ktore TYLKO moga wejsc, a jesli chcemy by wszystkie mogly wchodzic oprocz np 2 czy 3 to w host.deny dopisujemy te zablokowane. Teraz widze ze to nie ma sensu. Z tymi plikami nie da sie pokombinowac zeby sobie recznie dopisac ze 2 -3 IP do zablokowania ?
Autor:  pape [ wtorek, 1 sierpnia 2006, 11:07 ]
Tytuł: 
No i znowu ktos sie wbija tylko w logach cos dziwnego, mozecie mi powiedziec co to i czy mam sie obawiac ?

Aug 1 02:40:35 serwer_nnd sshd[12869]: Did not receive identification string from 148.243.191.5
Aug 1 02:58:51 serwer_nnd sshd[17262]: Failed password for root from 148.243.191.5 port 37142 ssh2
Aug 1 02:58:51 serwer_nnd sshd[17262]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:58:51 serwer_nnd sshd[17262]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:58:57 serwer_nnd sshd[17276]: Failed password for root from 148.243.191.5 port 37286 ssh2
Aug 1 02:58:57 serwer_nnd sshd[17276]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:58:57 serwer_nnd sshd[17276]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:58:59 serwer_nnd sshd[17300]: Failed password for root from 148.243.191.5 port 37655 ssh2
Aug 1 02:58:59 serwer_nnd sshd[17300]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:58:59 serwer_nnd sshd[17300]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:02 serwer_nnd sshd[17304]: Failed password for root from 148.243.191.5 port 37774 ssh2
Aug 1 02:59:02 serwer_nnd sshd[17304]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:59:02 serwer_nnd sshd[17304]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:07 serwer_nnd sshd[17330]: Failed password for root from 148.243.191.5 port 37955 ssh2
Aug 1 02:59:08 serwer_nnd sshd[17330]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:59:08 serwer_nnd sshd[17330]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:10 serwer_nnd sshd[17344]: Failed password for root from 148.243.191.5 port 38296 ssh2
Aug 1 02:59:10 serwer_nnd sshd[17344]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:59:10 serwer_nnd sshd[17344]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:13 serwer_nnd sshd[17358]: Failed password for root from 148.243.191.5 port 38483 ssh2
Aug 1 02:59:13 serwer_nnd sshd[17358]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:59:13 serwer_nnd sshd[17358]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:16 serwer_nnd sshd[17372]: Failed password for root from 148.243.191.5 port 38620 ssh2
Aug 1 02:59:16 serwer_nnd sshd[17372]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:59:16 serwer_nnd sshd[17372]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:18 serwer_nnd sshd[17386]: Failed password for root from 148.243.191.5 port 38799 ssh2
Aug 1 02:59:18 serwer_nnd sshd[17386]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
Autor:  Mis' [ wtorek, 1 sierpnia 2006, 12:38 ]
Tytuł: 
pape pisze:
Hmm.... To ja sie spytam po co wogole jest host.deny, bo wyczytalem ze host.allow sluzy do odblokowania do ssh adresow IP ktore TYLKO moga wejsc, a jesli chcemy by wszystkie mogly wchodzic oprocz np 2 czy 3 to w host.deny dopisujemy te zablokowane. Teraz widze ze to nie ma sensu. Z tymi plikami nie da sie pokombinowac zeby sobie recznie dopisac ze 2 -3 IP do zablokowania ?


tcp_wrappers sprawdza najpierw plik hosts.allow i wpuszcza to co tam jest dozwolone. Plik hosts.deny służy do blokowania dostępu i jest sprawdzany jako drugi (po hosts.allow). Jednocześnie plik hosts.deny ustawia swego rodzaju sytuację domyślną. Stąd najczęściej jest w nim tylko jedna linia: ALL: ALL: DENY. Jeśli chcemy wpuścić wszystkich oprócz konkretnego adresu, to usuwamy tę i dopisujemy tylko ten adres, który chcemy zablokować(*). Odpowiednio rozbudowane i przemyślane pliki hosts.allow i hosts.deny pozwolą na dość dobre zabezpieczenie usług współpracujących z tcp_wrappers. Oczywiście nie jest to panaceum na wszystko i należy korzystać również z innych metod zabezpieczenia serwera przed atakiem.

(*)Usuwając tę linię należy zadbać aby inne usługi, dotychczas "chronione" przez ten wpis zostały zabezpieczone na przykład przez szczegółowe wpisy dla każdego daemona...
Autor:  przemek_nnd [ wtorek, 1 sierpnia 2006, 22:06 ]
Tytuł: 
OK Misiek jak twierdziś, że wsio jest OK to dlaczego po komendzie
tcpdchk
mam komunikat:

: [/] [] ()
Cannot find your inetd.conf or tlid.conf file.
Please specify its location.
GeSHi © Codebox Plus


nie mozna znaleźć pliku inetd.conf - bo go niema....
http://doc.netbsd.pl/the_netbsd_guide/h ... hats-inetd[/code]
Autor:  Mis' [ wtorek, 1 sierpnia 2006, 22:14 ]
Tytuł: 
przemek_nnd pisze:
OK Misiek jak twierdziś, że wsio jest OK to dlaczego po komendzie
tcpdchk
mam komunikat:

: [/] [] ()
Cannot find your inetd.conf or tlid.conf file.
Please specify its location.
GeSHi © Codebox Plus


Z prostego powodu - NND nie używa inetd. Zamiast tego mamy nowszy i bezpieczniejszy xinetd. Jak większość (jeśli nie wszystkie) dystrybucji.

P.S. Mój nick to Mis'
Autor:  tasiorek [ wtorek, 1 sierpnia 2006, 22:17 ]
Tytuł: 
Przemku zamiast szukac dziury w calym i uparcie twierdzic, ze cos nie dziala, mimo ze nie masz o tym zielonego pojecia, proponuje, zebys sobie na poczatek przegladnal co masz zainstalowane na serwerze i do czego poszczegolne rzeczy sluza. Drugim krokiem moze byc np. udanie sie do zlobka i poczytanie o konfiguracji tychze uslug ( http://zlobek.tcz.wroclaw.pl/dzial.php3?dzial=19 ).
Autor:  przemek_nnd [ środa, 2 sierpnia 2006, 23:38 ]
Tytuł: 
widzę, że mnie nie zrozumiano - jeżeli xinet.d jest nowszą wersją tcp_wrappers więc wszystko co sprawdza poprawność działania tego pakietu np. tcpdchk powinno odwoływać się do /etc/xined.d/pliki_od_usług uruchamianych bądź wyłączanych przez tcp_wrappers - a tu odwołanie do starego pliku inetd.conf = gdzie tu logika? - przecież nie ma go w tej wersji....
Autor:  Mis' [ czwartek, 3 sierpnia 2006, 00:16 ]
Tytuł: 
przemek_nnd pisze:
widzę, że mnie nie zrozumiano - jeżeli xinet.d jest nowszą wersją tcp_wrappers więc wszystko co sprawdza poprawność działania tego pakietu np. tcpdchk powinno odwoływać się do /etc/xined.d/pliki_od_usług uruchamianych bądź wyłączanych przez tcp_wrappers - a tu odwołanie do starego pliku inetd.conf = gdzie tu logika? - przecież nie ma go w tej wersji....


widzę, że nadal nic nie rozumiesz...

: [/] [] ()
pacman -Ss tcp

base/tcp_wrappers 7.6-3nnd
    Monitors and Controls incoming TCP connections
reszta/tcp_wrappers-devel 7.6-3nnd
    Monitors and Controls incoming TCP connections - headers
reszta/tcp_wrappers-man 7.6-3nnd
    Monitors and Controls incoming TCP connections - manuale

 pacman -Ss xinetd
base/xinetd 2.3.13-1nnd
    xinetd is a secure replacement for inetd
reszta/xinetd-man 2.3.13-1nnd
    xinetd is a secure replacement for inetd - manuale

GeSHi © Codebox Plus


Nikt tu nie napisał, że xinetd jest nowszą wersją tcp_wrappers. Napisano że nie używamy inetd tylko nowszego xinetd. Zaś tcp_wrappers jest zestawem bibliotek wykorzystywanych przez różne programy - między innymi xinetd, ssh...

xinetd.d jest zaś katalogiem gdzie są przechowywane pliki konfiguracyjne usług serwowanych przez xinetd. Czegoś takiego jak xinet.d w ogóle nie ma...
Przemku_nnd, może, jak radził ci tasiorek, najpierw się zapoznaj z tematem zanim zaczniesz zabierać głos? Ty unikniesz ośmieszania się... a osoby kiedyś przeszukujące forum nie trafią na błędne informacje.
Co do pytania o logikę to proponuję zadać je osobom kompetentnym - czyli autorom programu.
Autor:  tasiorek [ czwartek, 3 sierpnia 2006, 10:12 ]
Tytuł: 
Swietnie Cie zrozumiano, tylko nie zauwazyles, ze konfig xinetd ma inna skladnie niz inetd i z tego co mi wiadomo tcpdchk w tej wersji nie potrafi sobie z nim poradzic, wiec nie ma sensu na niego wskazywac.
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/