Freesco, NND, CDN, EOS • Wyświetl temat - Portsentry nie blokuje... chyba

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Portsentry nie blokuje... chyba

Moderatorzy: tasiorek, JakubC, Mis'

Strona 1 z 1

[ Posty: 13 ]

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

Dividos

Tytuł: Portsentry nie blokuje... chyba

: poniedziałek, 5 grudnia 2005, 08:21

Użytkownik

Rejestracja: wtorek, 16 września 2003, 15:02
Posty: 115
Lokalizacja: Konin

Więc zainstalowalem port sentry, ale mam wrażenie że nie blokuje prób logowania poprzez ssh (nieautoryzowanych)

Zrobiłem taki skrypcik

: [/] [] ()

fail=`cat /var/log/auth*|grep -i Failed |wc -l`
acpt=`cat /var/log/auth*|grep -i Accepted |wc -l`
echo "OGOLEM FAiL $fail, ACCEPT: $acpt"

GeSHi © Codebox Plus

No i teraz wyniki jego działania
02 12 2005:

: [/] [] ()

OGOLEM FAiL 38900, ACCEPT: 146

GeSHi © Codebox Plus

05 12 2005:

: [/] [] ()

OGOLEM FAiL 39375, ACCEPT: 155

GeSHi © Codebox Plus

Jak widać tych prób jest o wiele więcej. Nie tego się spodziewałem po portsentry.
Natomiast w portsentry.history są tylko stare wpisy

: [/] [] ()

1133478230 - 12/02/2005 00:03:50 Host: 82.160.85.253/82.160.85.253 Port: 80 TCP Blocked
1133509323 - 12/02/2005 08:42:03 Host: router_nnd/192.168.0.1 Port: 138 UDP Blocked
1133509323 - 12/02/2005 08:42:03 Host: router_nnd/192.168.1.1 Port: 138 UDP Blocked

GeSHi © Codebox Plus

No i w procesach jest uruchomiony portsentry
ps aux:

: [/] [] ()

root       622  0.0  0.8  1300  396 ?        Ss   Dec02   0:21 /usr/sbin/portsentry -atcp
root       627  0.0  0.8  1300  396 ?        Ss   Dec02   0:00 /usr/sbin/portsentry -audp

GeSHi © Codebox Plus

W czym więc problem? CZy to działa dobrze - może ja się więcej spodziewałem niż się należało spodziewać?

_________________
Coś jest trudne zanim jest łatwe

Na górę

Maciek

Tytuł:

: poniedziałek, 5 grudnia 2005, 16:30

Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk

Portsentry nie blokuje nieudanych prób logowania, blokuje jedynie niektóre działania (np. skanowanie portów).

_________________
Obrazek

Belfer.one.PL

Audio Cafe

Na górę

Dividos

Tytuł:

: wtorek, 6 grudnia 2005, 08:57

Użytkownik

Rejestracja: wtorek, 16 września 2003, 15:02
Posty: 115
Lokalizacja: Konin

A dlaczego zablokował udp 138 jeśli w konfigu ma on być pomijany?

_________________
Coś jest trudne zanim jest łatwe

Na górę

Maciek

Tytuł:

: wtorek, 6 grudnia 2005, 11:13

Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk

Nie sądzę, żeby zablokował. Chcesz ten port na zewnątrz otworzyć?

_________________
Obrazek

Belfer.one.PL

Audio Cafe

Na górę

Dividos

Tytuł:

: wtorek, 6 grudnia 2005, 12:40

Użytkownik

Rejestracja: wtorek, 16 września 2003, 15:02
Posty: 115
Lokalizacja: Konin

Nie chcę żeby był widoczny, ale zobacz 1-szy moj post i tak w pliku history jest że byl zablokowany i to do sieci wewnętrznych

_________________
Coś jest trudne zanim jest łatwe

Na górę

Maciek

Tytuł:

: wtorek, 6 grudnia 2005, 18:34

Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk

A skonfigurowałeś w pliku ignore adresy sieci lokalnej?

_________________
Obrazek

Belfer.one.PL

Audio Cafe

Na górę

Dividos

Tytuł:

: środa, 7 grudnia 2005, 10:12

Użytkownik

Rejestracja: wtorek, 16 września 2003, 15:02
Posty: 115
Lokalizacja: Konin

Celowo nie bo nie mam zaufania do sieci lan (ludzi)
Chodzi mi o to że w pliku konfiguracyjnym było wpisane by tych portów nie monitorował, a on i tak zablokował.

Z resztą od kilku dni nic nie było poblokowane (portsentry.history)

A w pliku ignore mam tylko 127.0.0.1

_________________
Coś jest trudne zanim jest łatwe

Na górę

przemek_nnd

Tytuł:

: środa, 21 grudnia 2005, 12:10

Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek

oto odpowiedź ukazała mi się dzisiaj!

: [/] [] ()

Dec 21 10:54:59 Serwer portsentry[302]: attackalert: TCP SYN/Normal scan from host: crawl-66-249-65-107.googlebot.com/66.249.
Dec 21 10:54:59 Serwer portsentry[302]: attackalert: Host 66.249.65.107 has been blocked via wrappers with string: "ALL: 66.2
Dec 21 10:55:03 Serwer portsentry[302]: attackalert: TCP SYN/Normal scan from host: crawl-66-249-65-107.googlebot.com/66.249.
Dec 21 10:55:03 Serwer portsentry[302]: attackalert: Host: crawl-66-249-65-107.googlebot.com/66.249.65.107 is already blocked

GeSHi © Codebox Plus

Na górę

przemek_nnd

Tytuł:

: sobota, 31 grudnia 2005, 15:32

Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek

W odpowiedzi na wiele pytań - wyjaśniam konfigurację portsentry:
po zainstalowaniu pacman -S portsentry
wyedytuj plik /etc/portsentry/portsentry.conf
dodaj wpis
KILL_ROUTE="iptables -I INPUT -s $TARGET$ -j DROP | echo 'iptables -I INPUT -s $TARGET$ -j DROP' >> /etc/rc.d/rc.denied"
teraz w pliku portsentry.ignore dodaj wpisy
127.0.0.1/32
192.168.1.0/24
czyli adresy komputerów które mają być pomijane przez program.
Utwórz w katalogu /etc/rc.d/ plik rc.denied
touch /etc/rc.d/rc.denied
nadaj prawa wykonywalność chmod +x rc.denied
Dodaj wpis w pliku /etc/rc.d/rc.local
/etc/rc.d/rc.denied - aby zapisane regułki iptables ładowały się przy każdym restarcie routera-serwera
Idąc dalej - twórcy NND mogliby zadbać o to aby paczka z portsentry już taki config miała

Na górę

tasiorek

Tytuł:

: sobota, 31 grudnia 2005, 16:06

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

Jedna rzecz bym zmienil: nie dopisywac rc.denied do rc.local, tylko do /etc/iptables/firewall. W koncu firewalla restartuje sie czesciej niz caly system.

Na górę

przemek_nnd

Tytuł:

: sobota, 31 grudnia 2005, 16:29

Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek

może i masz rację

Na górę

Maciek

Tytuł:

: sobota, 31 grudnia 2005, 19:25

Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk

Nie ma potrzeby dopisywania nigdzie blokowanych hostów. Są one dopisywane przez portsentry do /etc/hosts.deny i po reboocie te hosty dalej nie mają dostępu do naszego serwera.

_________________
Obrazek

Belfer.one.PL

Audio Cafe

Na górę

ziolek

Tytuł:

: poniedziałek, 6 marca 2006, 09:42

Rejestracja: sobota, 3 grudnia 2005, 10:31
Posty: 7
Lokalizacja: TBG

Na nowym NND portsentry narazie nie dziala.

Mecze się i walcze z configuracją ale nic z tego nie wychodzi. Pamiętam ze na starym po instalacji nic nie trzeba bylo zmieniac i ladnie blokowalo.

Zabieg dopisywania regulek do firewalla po przez plik rc.denied tez nie pomaga.

Serwerka testuje za pomoca tych testów:
http://stealthtests.lockdowncorp.com/

Na górę

Strona 1 z 1

[ Posty: 13 ]

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 14 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników