Početak›Forumi›Linuks distribucije›Ubuntu,Mint,…›Zastita na Linuxu
- This topic has 28 odgovora, 10 glasova, and was last updated 15 years ranije by nivan.
-
AutorČlanci
-
22. mart 2009. u 12:58 am #77062nomercyUčesnik
SSH sam uklucio…nesto ja tu pokusavam da se povezem.Da li da ga zatvaram i po potrebi aktiviram
Neradim to stalno,to su cisto neki pokusaji bili22. mart 2009. u 1:03 am #77063nomercyUčesnikNemoj te se ljutiti ukoliko izgovorim neku glupost sto se ovog dela tice nisam nesto pametan ::)
22. mart 2009. u 1:07 am #77064RiSKUčesnikTo bih ja uradio da sam na tvom mestu 😉
Inace, OpenSSH je pravljen sa sigurnoscu na umu, ali je iskljucen daemon sigurniji od ukljucenog 😉Da ti sad ne tupim filozofiju o tome kako trebas uvek da izbacis sve sto je visak iz tvog sistema jer to moze da unese bugove i sigurnosne propuste a ne radi nista korisno… O tome mozes da vodis racuna jednom kad budes pravio svoj server, na desktopu se opusti. 🙂
btw: Ne ljutimo se. I ne izvinjavaj se. Pa ja se razumem u ovo ko moja baba u balet, al opet nabodem ponesto 🙂
@duke: Sto brej sa druge masine? Pa moze i sa iste 😉22. mart 2009. u 1:19 am #77065nomercyUčesnikJa sam pokusavao preko SSH na drugi PC gde je bio Windows pa na drugi gde je bio Ubuntu a bas ovih dana hocu da pokusam kada je na istoj masini samo drugi nalog,nemora se logovati nego se napravi precica ka tome
Kontam da neci biti muke oko toga,to bi ustvari trebalo da olaksa zar ne?22. mart 2009. u 8:17 pm #77066burgaUčesnikПрегледом својих портова сам установио да ми је отворен порт 80 (због Апаша), а и рачунар ми одговара на пинг захтеве (што се сматра опасним понашањем). Дакле:
1. како да сакријем порт 80 (тј. да Апашу може да се приступи само локално)
2. како да спречим рачунар да одговара на пингове?22. mart 2009. u 9:04 pm #77067RiSKUčesnik1. Apache ograniči samo na 127.0.0.1:80 ako zelis da pristup imaš samo sa lokalne mašine.
Trebalo bi da to uradi linija
[code]Listen 127.0.0.1:80[/code]
u fajlu httpd.confTakođe, možeš ograničiti pristupe samo pojedinim direktorijumima na serveru. Ovako nekako:
[code]
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
[/code]Osim toga, ukucaj par redaka za filtriranje portova iptablesom. Ovako nešto bi trebalo da bude dovoljno
[code]iptables -A INPUT -p tcp –sport 80 -j DROP[/code]
a možeš da dodaš i
[code]iptables -A OUTPUT -p tcp –dport 80 -j DROP[/code]Naravno, obezbedi da se ove linije izvršavaju prilikom boota.
2. [code]echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all[/code]
bi trebalo da odradi to. (pretpostavljam da ne koristiš IPv6)22. mart 2009. u 9:25 pm #7706822. mart 2009. u 10:58 pm #77069MarelUčesnikTreba da bude
iptables -A INPUT -p tcp –dport 80 -i eth0 -j DROP
da ne zabrani i lo (loopback interfejs) i 80 je destinacioni port.
22. mart 2009. u 11:07 pm #77070nomercyUčesnikMeni je isto otvoren port 80
Ali da bi bio jasniji i iskreniji nisam bas najbolje uspeo da ga zatvorim
Mislim nisam nikako
Ja sa otvorio i SSH
Da li je bas neophodno da se i on zatvori?
Kao zastitni zid koristim firestarter,malo mi je postao jasniji time i pouzdaniji,ovde ste mi zaista pomogli22. mart 2009. u 11:34 pm #77071Oko_sa_BagdaleUčesnikMeni je isto otvoren port 80
Ali da bi bio jasniji i iskreniji nisam bas najbolje uspeo da ga zatvorim
Mislim nisam nikako
Ja sa otvorio i SSH
Da li je bas neophodno da se i on zatvori?
Kao zastitni zid koristim firestarter,malo mi je postao jasniji time i pouzdaniji,ovde ste mi zaista pomogliA kako ces da surfas internet ako ti je 80 zatvoren. Treba da blokiras in na porti 80 osim ako nemas web server a da pustis saobracaj out na 80 porti i zadrzis state (znaci onima koje si ti kontaktirao na 80 je dopusteno da tebe kontaktiraju)
SSH ti je beskoristan ako nemas fiksnu IP adresu ili koristis DynDNS. Dali uopste imas nameru da ssh na svoj racunar iz vana?
Minimalno moras da imas otvorenu 80 portu i
53/tcp nameserver # name-domain server domain
53/udps nameserverJer neces imati internet..
Treba ti sinhronizacija casovnika i verovatno hoces da citas email?Odi i vidi /etc/services koja porta cemu sluzi
[code]
more /etc/services (ovo je bar na BSD-ijima)
[/code] -
AutorČlanci
Moraš biti prijavljen da bi postavio komentar u ovoj temi.