Freesco, NND, CDN, EOS

Witam, czy moglby mi ktos powiedziec jak powinno wygladac host.deny z zablokowanym jednym IP, bo moje wyglada tak:

#
# /etc/hosts.deny
#

ALL: ALL: DENY

# End of file


czytam na forum i nie moge znalesc jak dokladnie to powinno wygladac

Jakis koles proboje sie logowac, 1 proba logowania / 1s :/ i load average wzroslo z 0.35 do 1.45 a jak przestal to odrazu ladnie kjournald strasznie duzo bral ale sie uspokoil juz myslalem ze kolejne problemy z servkiem, a sporo ich jest ;( pechowy jakis, a i admin dupny ;P przyznaje ;P

Z góry dziekuje

Tak mój plik dziś o 19:48 wygląda.

_________________
Belfer.one.PL
Audio Cafe

dopisywanie czegokolwiek do tego pliku nie ma sensu, o ile jest w nim linijka:

ALL: ALL: DENY

powyższe oznacza, że wszystkie adresy, mają zablokowane dostęp do wszystkich usług. Oczywiście nic nie boli jeśli poniżej dopiszemy coś... poza tym że każda linia będzie sprawdzana (zajmując czas procesora), pomimo, że już pierwsza zawiera w sobie wszystko.
Ponieważ plik hosts.allow jest sprawdzany w pierwszej kolejności ważniejsze jest aby tam właśnie odblokowywać dostęp tym, którym chcemy do takich usług jakie im udostepnimy, a wszystko co nie jest dozwolone w hosts.allow blokować jedną linią w hosts.deny.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Hm...
To mi zabiłeś ćwieka. Wynikałoby zatem, że mając wpis ALL:ALL:DENY mam serwer zamknięty całkowicie z Internetu. Wpisy inne zostały dodane przez portsentry i o ile wiem mają blokować tym hostom dostęp do serwera. Właśnie sprawdzam i widzę, że przynajmniej w części masz rację, te wpisy nie blokują niczego. Ale ten defaultowy też nie. Zatem po jakiego grzyba w ogóle jest ten plik?

_________________
Belfer.one.PL
Audio Cafe

trochę głupio mi cię odsyłać do manuali, ale to chyba jedyne sensowne rozwiązanie... przecież hosts.allow i hosts.deny nie ograniczają dostepu do wszystkich usług działających na serwerze, a tylko do tych które mają wkompilowaną obsługę tcp-wrappers, lub są uruchamiane przez xinetd (o ile ten ma wkompilowaną obsługę tcp-wrappers).
Więcej i dokładniej w manualach...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

no własnie - i tu pies pogrzebany, w nnd tcp-wrappers jest standardowo wyłączone - nie działa, więc już kiedys pisałem aby dodać w portsentry.conf linijkę

albo cos podobnego - może nawet wpisywać do utworzonego pliku /etc/rc.d/rc.denied

a on wywoływany przez /etc/rc.d/rc.local
no ale to blokuje już całkowity dostęp - nie na usługi
WIĘC ALBO KUR... BĘDZIE W STANDARDZIE tcp_wrappers działać ALBO TRZA KOMBINOWAĆ - JA UWAŻAM TO ZA POWAŻNY BŁĄD TWÓRCÓW!!!

w mantisie nie widziałem takiego zgłoszenia. Przegapiłem?
Poza tym co to znaczy tcp_wrappers włączone? Standardowo xinetd jest kompilowany z obsługą tcp_wrappers, openssh jest również kompilowane z tcp_wrappers, poza tym wszystkie programy gdzie jest to przewidziane jako ustawienie defaultowe przez autorów. Pozostałe usługi mają własne mechanizmy obronne. Nie wiem jak to sobie wyobrażasz, ale kompilacja wolnostojącego serwera www czy poczty z obsługą tcp_wrappers ma mało sensu bo i tak w hosts.allow wpiszesz np. exim: ALL, albo nie będziesz miał dostępu do poczty/www/whatever jak wyjedziesz na urlop...
nie wiem jak u ciebie, ale u mnie tcp_wrappers działa i stąd w NND standardowo jest w pliku hosts.allow wpis sshd: ALL.



nie krzycz.
tcp_wrappers działa.
jak masz jakieś uwagi to bądź łaskaw zgłaszać je tam gdzie ich miejsce - w Mantisie. Pisanie o tym na forum jest tylko stratą czasu - po trzech dniach nikt tego nie będzie pamiętał a inne posty przesuną cenne wskazówki na kolejne strony.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Hmm.... To ja sie spytam po co wogole jest host.deny, bo wyczytalem ze host.allow sluzy do odblokowania do ssh adresow IP ktore TYLKO moga wejsc, a jesli chcemy by wszystkie mogly wchodzic oprocz np 2 czy 3 to w host.deny dopisujemy te zablokowane. Teraz widze ze to nie ma sensu. Z tymi plikami nie da sie pokombinowac zeby sobie recznie dopisac ze 2 -3 IP do zablokowania ?

No i znowu ktos sie wbija tylko w logach cos dziwnego, mozecie mi powiedziec co to i czy mam sie obawiac ?

Aug 1 02:40:35 serwer_nnd sshd[12869]: Did not receive identification string from 148.243.191.5
Aug 1 02:58:51 serwer_nnd sshd[17262]: Failed password for root from 148.243.191.5 port 37142 ssh2
Aug 1 02:58:51 serwer_nnd sshd[17262]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:58:51 serwer_nnd sshd[17262]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:58:57 serwer_nnd sshd[17276]: Failed password for root from 148.243.191.5 port 37286 ssh2
Aug 1 02:58:57 serwer_nnd sshd[17276]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:58:57 serwer_nnd sshd[17276]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:58:59 serwer_nnd sshd[17300]: Failed password for root from 148.243.191.5 port 37655 ssh2
Aug 1 02:58:59 serwer_nnd sshd[17300]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:58:59 serwer_nnd sshd[17300]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:02 serwer_nnd sshd[17304]: Failed password for root from 148.243.191.5 port 37774 ssh2
Aug 1 02:59:02 serwer_nnd sshd[17304]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:59:02 serwer_nnd sshd[17304]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:07 serwer_nnd sshd[17330]: Failed password for root from 148.243.191.5 port 37955 ssh2
Aug 1 02:59:08 serwer_nnd sshd[17330]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:59:08 serwer_nnd sshd[17330]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:10 serwer_nnd sshd[17344]: Failed password for root from 148.243.191.5 port 38296 ssh2
Aug 1 02:59:10 serwer_nnd sshd[17344]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:59:10 serwer_nnd sshd[17344]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:13 serwer_nnd sshd[17358]: Failed password for root from 148.243.191.5 port 38483 ssh2
Aug 1 02:59:13 serwer_nnd sshd[17358]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:59:13 serwer_nnd sshd[17358]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:16 serwer_nnd sshd[17372]: Failed password for root from 148.243.191.5 port 38620 ssh2
Aug 1 02:59:16 serwer_nnd sshd[17372]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN
ATTEMPT!
Aug 1 02:59:16 serwer_nnd sshd[17372]: Excess permission or bad ownership on file /var/log/btmp
Aug 1 02:59:18 serwer_nnd sshd[17386]: Failed password for root from 148.243.191.5 port 38799 ssh2
Aug 1 02:59:18 serwer_nnd sshd[17386]: reverse mapping checking getaddrinfo for na-148-243-191-5.na.avantel.net.mx failed - POSSIBLE BREAKIN

tcp_wrappers sprawdza najpierw plik hosts.allow i wpuszcza to co tam jest dozwolone. Plik hosts.deny służy do blokowania dostępu i jest sprawdzany jako drugi (po hosts.allow). Jednocześnie plik hosts.deny ustawia swego rodzaju sytuację domyślną. Stąd najczęściej jest w nim tylko jedna linia: ALL: ALL: DENY. Jeśli chcemy wpuścić wszystkich oprócz konkretnego adresu, to usuwamy tę i dopisujemy tylko ten adres, który chcemy zablokować(*). Odpowiednio rozbudowane i przemyślane pliki hosts.allow i hosts.deny pozwolą na dość dobre zabezpieczenie usług współpracujących z tcp_wrappers. Oczywiście nie jest to panaceum na wszystko i należy korzystać również z innych metod zabezpieczenia serwera przed atakiem.

(*)Usuwając tę linię należy zadbać aby inne usługi, dotychczas "chronione" przez ten wpis zostały zabezpieczone na przykład przez szczegółowe wpisy dla każdego daemona...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

OK Misiek jak twierdziś, że wsio jest OK to dlaczego po komendzie
tcpdchk
mam komunikat:



nie mozna znaleźć pliku inetd.conf - bo go niema....
http://doc.netbsd.pl/the_netbsd_guide/h ... hats-inetd[/code]

Z prostego powodu - NND nie używa inetd. Zamiast tego mamy nowszy i bezpieczniejszy xinetd. Jak większość (jeśli nie wszystkie) dystrybucji.

P.S. Mój nick to Mis'

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Przemku zamiast szukac dziury w calym i uparcie twierdzic, ze cos nie dziala, mimo ze nie masz o tym zielonego pojecia, proponuje, zebys sobie na poczatek przegladnal co masz zainstalowane na serwerze i do czego poszczegolne rzeczy sluza. Drugim krokiem moze byc np. udanie sie do zlobka i poczytanie o konfiguracji tychze uslug ( http://zlobek.tcz.wroclaw.pl/dzial.php3?dzial=19 ).

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

widzę, że mnie nie zrozumiano - jeżeli xinet.d jest nowszą wersją tcp_wrappers więc wszystko co sprawdza poprawność działania tego pakietu np. tcpdchk powinno odwoływać się do /etc/xined.d/pliki_od_usług uruchamianych bądź wyłączanych przez tcp_wrappers - a tu odwołanie do starego pliku inetd.conf = gdzie tu logika? - przecież nie ma go w tej wersji....

widzę, że nadal nic nie rozumiesz...



Nikt tu nie napisał, że xinetd jest nowszą wersją tcp_wrappers. Napisano że nie używamy inetd tylko nowszego xinetd. Zaś tcp_wrappers jest zestawem bibliotek wykorzystywanych przez różne programy - między innymi xinetd, ssh...

xinetd.d jest zaś katalogiem gdzie są przechowywane pliki konfiguracyjne usług serwowanych przez xinetd. Czegoś takiego jak xinet.d w ogóle nie ma...
Przemku_nnd, może, jak radził ci tasiorek, najpierw się zapoznaj z tematem zanim zaczniesz zabierać głos? Ty unikniesz ośmieszania się... a osoby kiedyś przeszukujące forum nie trafią na błędne informacje.
Co do pytania o logikę to proponuję zadać je osobom kompetentnym - czyli autorom programu.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Swietnie Cie zrozumiano, tylko nie zauwazyles, ze konfig xinetd ma inna skladnie niz inetd i z tego co mi wiadomo tcpdchk w tej wersji nie potrafi sobie z nim poradzic, wiec nie ma sensu na niego wskazywac.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.