О безопасности

Заходишь в раздел Security этого сайта, ищешь слово FAQ. Нажимаешь на ссылку и вуаля.

Еще сайт есть, там можно найти кучу документации про компьютерную безопасность

сейчас подумаю

ох моя память

совсем страрый стал

...

А вспомнил

http://google.com/

Супер сайт.

Было бы гениально, но там все на уровне "админа" и сервера. Мне бы, что-нибудь попроще... и вообще есть ли сервисы, для того, чтобы убедиться, что компьютер из инета не веден?

Ну допустим - если ты сидиш за фаерволлом - тогда вообще никаких проблем - и делать фактически ничего не надо, если конечно у тебя на машине не храниться сверх-секретная инфа))) Ну а для порядка можно еще iptables'ами прикрыть все входящие пакеты.

Ты бы хоть указал для приличия тип подключения к инету, что ли... не все же присуствующие на этом форуме телепаты;)

Ладно. Если подрубаешься к инету через локалку а.к.а. "домашняя сеть" - то тебе повезло - нижеследующий текст доступно (насколько это возможно) всё обьясняет. Он скорее всего будет включен в следующий релиз LOR-FAQ (есть маза, что в следующем релизе LOR-FAQ и Security-FAQ будут обьединены, но это уже зависит от fagot и oxonian, как мэйнтенеров обоих факов). Если у тебя дайлап, или другой вид подключения, этот текст всё-же не будет бесполезен, хотя и менее полезен:

"ВОПРОС: собираюсь подключится к локальной сети (уже подключён) с выходом в интернет. Как мне защитить свою домашнюю машину под управлением ОС Linux от атак из интернета и из локальной сети?

[ПРИМЕЧАНИЕ: чаще всего небольшие "домашние сети", которых, видимо, большинство, характеризуются тем, что всем машинам пользователей назначаются статические IP-адреса, и пользователи в таких сетях идентифицируются только по привязке IP/MAC, а траффик в таких сетях маршрутизируется "тупыми" свичами, а то и хабами, что в совокупности создаёт благодатную почву для самых разнообразных злоупотреблений некоторыми пользователями таких сетей. Ответ на этот вопрос подразумевает именно такую сеть]

ОТВЕТ:

I. Сконфигурировать iptables следующим образом:

1. Установить политики по умолчанию для всех цепочек таблицы filter DROP.

2. В цепочке INPUT разрешить входящие пакеты по всем протоколам с состоянием ESTABLISHED,RELATED, предназначенные IP-адресу на сетевом интерфейсe (например eth0) Вашей машины. Если Вам не нужны сетевые ресурсы Вашей локальной сети, а нужен только интернет, тогда следует разрешить входящие пакеты только с IP-адреса адреса шлюза (или прокси с порта 8080, если вы получаете доступ в интернет только через прокси-сервер).

3. В цепочке FORWARD ничего не менять.

4. В цепочке OUTPUT разрешить все исходящие пакеты с Вашего IP-адреса по всем протоколам на IP-адрес шлюза (или прокси на 8080 порт) с состоянием NEW,ESTABLISHED,RELATED.

5.Записать список команд, которыми задаются эти правила в файл (при помощи утилиты, идущей в составе пакета iptables, которая называется iptables-save, или вручную) сделать его исполняемым, (при помощи chmod, или файлового менеджера вроде mc) и поместить получившийся скрипт куда-нибудь вроде /etc/sysconfig/iptables. Этот путь может варьироваться от дистрибутива к дистрибутиву и для того, чтобы точно его выяснить, следует проанализировать скрипт /etc/rc.d/init.d/iptables - там в начале скрипта проверяется условие типа if [ -f /etc/sysconfig/iptables ]; then > загружать правила из указанного файла (/etc/sysconfig/iptables), если файла нет и соответственно, никакие правила не загружаются. Всё что нужно - это поместить скрипт по тому пути, по которому его будет искать /etc/rc.d/init.d/iptables (в приведённом примере - этот путь /etc/sysconfig/iptables), в этом случае Ваши правила будут автоматически загружены при каждом старте операционной системы.

6. Эти простые правила значительно усилят сетевую безопасности Вашей системы, но ни в коем случае не следует их переоценивать. Для построения действительно мощных правил, настоятельно рекомендуется тщательно ознакомиться с замечательным документом Iptables Tutorial, русский перевод которого можно найти здесь http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html или здесь http://www.opennet.ru/docs/RUS/iptables/index.html

II. При каждом старте системы передавать ядру Linux следующие параметры:

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #игнорировать широковещательный пинг

echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses #игнорировать сообщения о мнимых ошибках

echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects #игнорировать перенаправления

echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route #игнорировать обьявления о смене маршрутизатора

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter #включить проверку подлинности IP-адресов

echo "1" > /proc/sys/net/ipv4/conf/all/log_martians #регистрировать "марсиан", т.е. пакеты с поддельным IP-адресом источника

Для того, чтоб эти параметры передавались ядру при каждом старте системы, необходимо поместить их в стартовый скрипт network, находящийся, обычно в /etc/rc.d/init.d/network. Следует вписать эти инструкции в том месте скрипта, которое предшествует активации используемого Вами сетевого интерфейса, обычно перед комментарием "bring up all other interfaces configured to come up at boot time"

Включение проверки подлинности IP-адреса и логирования "марсиан" может привести к засорению консоли сообщениями, что источник с адресом 127.0.0.1 "подделывется" под IP-адрес присвоенный eth0 и является "марсианином" - для того чтоб избавиться от таких бессмысленных сообщений, достаточно немного подредактировать файл /etc/sysconfig/network-scripts/ifcfg-lo - в частности, следует изменить широковещательный адрес BROADCAST=127.255.255.255 на BROADCAST=255.255.255.255

III. Для защиты Вашей машины от атак arp-spoofing, которые обычно приводят к резкому сокращению Вашего счёта (что весьма ощутимо, если Вы платите за обьём принятого-переданного траффика) следует отказаться от динамической таблицы ARP-маршрутизации (установленной по-умолчанию) в пользу таблицы статической. Сделать это гораздо проще, чем может показаться: достаточно создать обычный текстовый файл. например, /etc/ethers, и записать в этот файл информацию об IP-адресе шлюза, и аппаратном MAC-адресе сетевой карты шлюза. Узнать этот адрес можно при помощи утилиты arping или у провайдера по телефону. Файл будет выглядеть как

0.0.0.0 00:00:00:00:00:00

где первое значение - IP-адрес шлюза, а второе - MAC-адрес сетевой карты на шлюзе.

Осталось сделать так, чтобы это положение сохранялось при каждой загрузке системы. Для этого в стартовый скрипт network (после активации eth0) следует вписать следующее:

exec /sbin/arp -f /etc/ethers

и тогда ядро никогда не будет запрашивать MAC-адрес сетевого интерфейса шлюза в сети (который злоумышленник может подменить), а будет брать эту информацию из файла, созданного Вами. Естественно, при смене провайдером сетевой карты необходимо будет всего лишь соответственно подредактировать /etc/ethers."

Если и этот текст окажется тяжёлым для восприятия и практического применения - мои соболезнования. В линуксе Вам будет сложно. С безопасностью в том числе.

> Ты бы хоть указал для приличия тип подключения к инету, что ли... не все же присуствующие на этом форуме телепаты;)

Понял, исправляюсь, у меня dial-up, но все равно спасибо за ссылки...

>у меня dial-up

Тогда арп-спуфинг тебе не грозит ;)

Всё остальное (особенно чтение Iptables Tutorial) может пригодится, хотя придётся творчески переработать эту инфу для применения в твоём случае. Если всё это поначалу кажется сложным, то после приложения некоторых усилий для понимания работы сетей ты обнаружишь, что всё не так сложно, как казалось, а логично, и довольно увлекательно.

Последний совет - не надейся на всякие shorewall'ы и lokkit'ы, то есть гуйовые морды к iptables. Они генерируют слабые правила. Лучше пойми как всё работает самостоятельно, и сам настрой iptables вручную.