iptables palvelimessa, alkeita tässä vielä kerran.

[HannuTapio]

Hei,

Olen nyt asentanut sh skripti fileen jossa on useita rivejä 'sudo iptables..' käskyjä, joukossa myös portin 22 säätäminen vain tietyille ip osoitteille, kaikki ylimääräiset yhteys yritykset sitten DROP taikka REJECT, en ihan vielä ole päätynä kumpaan.

---

Minulla on nyt sitten asennettuna '/etc/rc.local' tiedostoon seuraava rivi - 'sudo iptables -F INPUT', olen ymmärtänyt että tämä riittää siihen että koneeni on jokaisen käynnistyksen jälkeen täysin ilman mitään iptables firewall turvaa INPUT:in puolesta.

Olen tämän näin asettamassa, koska minulla on kotona vaihtuva ip, enkä enää koti ip:n vaihtumisen jälkeen, saa yhteyttä ssh avulla palvelimeeni.

Onko tämä ratkaisu kovinkin huonoa tietotaitoa osoittava, vai kuinka ratkoa tilanne jossa kotikoneen ip voi vaihtua, ja palvelin ei sitten tunnista tuttua aiemmin säädettyä ip osoitetta enää, eikä näin päästä käyttämään itseään.

Mikä on tehokkain ja oikein tapa nollata kaikki asettamansa iptables säädöt takaisin oletuksiinsa, eli allow, niin, koneen käynnistyksen yhteydessä ?

---

[ajaaskel]

Onko tämä ratkaisu kovinkin huonoa tietotaitoa osoittava, vai kuinka ratkoa tilanne jossa kotikoneen ip voi vaihtua, ja palvelin ei sitten tunnista tuttua aiemmin säädettyä ip osoitetta enää, eikä näin päästä käyttämään itseään.

En ole aivan varma ymmärsinkö ongelmasi oikein mutta kerrotaan nyt hieman sitä sun tätä pelkistetysti kotipalvelimen pitämisestä --- saattaa samalla auttaa jotakuta muutakin.
1) Koneen oma palomuuri ei yleensä ole koskaan ongelma kun sille ei perustoiminnan kannalta ole pakko tehdä mitään (Ubuntun perusasetukset).   Sinne voi tietysti tehdä hyvin monimutkaisiakin säätöjä.
2) Muuttuva ip-osoite on tavanomainen juttu kotipalvelimissa ellet sitten osta erikseen kiinteätä ip: tä operaattoriltasi.  Osoitteen vaihtelusta ei ole juurikaan kiusaa kun käytetään verkkonimeä (eikä ip-osoitetta suoraan) yhteyden ottoon palvelimelle.  Jokin DNS-palvelu, useimmiten "dynDNS" hoitaa tuon kätevästi. Palvelimelle pystyy määrittämään virityksen joka automaattisesti päivittää uuden ip-osoitteen tuonne dns-tietoihin jos ip vaihtuu --- jälleen nimi osoittaa oikeaan paikkaan.
3) Ulospäin harvoin lähtevä liikenne voi aiheuttaa ongelmia, operaattori saattaa aikakatkaista linkkisi (ja tekeekin sen) jos hiljaista on tarpeeksi pitkään.  Kannattaa laittaa pingaus vaikka minuutin välein pitämään yllä uloslähtevää liikennettä:

Koodia: [Valitse]

ping -i 60 sonera.fi
Pingin kohteena voi olla mikä hyvänsä mutta paras turhan liikenteen kannalta on lähin operaattorin laite.

Edit:  Kertoisitko hieman lisää, en oikein osaa hahmottaa tuota kokonaisuuttasi, tuo lautapelisivustohan yllä on OVH hostingin ylläpitämä ?

[HannuTapio]

iptables,

Minulla on nyt kotikoneessa seuraava.

Koodia: [Valitse]

sudo iptables -F INPUT
sudo iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -i eth0 -j DROP

Olen ymmärtänyt että tämä riittää siihen että kotikoneeni on täysin turvattuna, minulla on lisäksi sitten vielä tämä palvelin, mutta, en palvelimesta viitsi tarkemmin tietoa enää antaa koska taisin eilen onnistua palvelin säädöissäni, tämän ylläolevan koodin kaltaisella skriptillä, jossa oli vielä sitten lisänä portti 22 tietyille ip osoitteille, ja vielä http ja tietyt palvelun kannalta tärkeät portit.

---

[odysseus]

Minulla on nyt sitten asennettuna '/etc/rc.local' tiedostoon seuraava rivi - 'sudo iptables -F INPUT', olen ymmärtänyt että tämä riittää siihen että koneeni on jokaisen käynnistyksen jälkeen täysin ilman mitään iptables firewall turvaa INPUT:in puolesta.

Ei sitä tarvitse joka käynnistyksessä erikseen säätää. Iptables säännöt menevät paikoilleen yhdellä kerralla.

Tuo tosin on raju homma tuo auki kaikille!!!

Olen tämän näin asettamassa, koska minulla on kotona vaihtuva ip, enkä enää koti ip:n vaihtumisen jälkeen, saa yhteyttä ssh avulla palvelimeeni.

Ei IP:n vaihtumisella ole mitään tekemistä sen kanssa, että ssh-portti tai muut portit on palvelimella auki!! Sinähän joudut jokatapauksessa selvittämään ulkoisen IP:si jos se vaihtuu.

Pistä siis palvelimen portit oletuksena _kiinni_ ja sitten avaat ssh:n (ja muut tarvittavat) auki. Jos ja kun kerran et voi tietää mistä clientilta (IP:stä) tulet, niin joudut jättämään rulesta pois IP rajoituksen (joka tuossa mallissa on mukana).

Koodia: [Valitse]

iptables -A INPUT -s 192.168.1.1/24 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT


Onko tämä ratkaisu kovinkin huonoa tietotaitoa osoittava, vai kuinka ratkoa tilanne jossa kotikoneen ip voi vaihtua, ja palvelin ei sitten tunnista tuttua aiemmin säädettyä ip osoitetta enää, eikä näin päästä käyttämään itseään.

Tilanne ratkotaan hankkimalla kiinteä IP osoite tai sitten annetaan ssh portin olla auki kaikkialta (tai vaikka avataan operaattorin koko IP avaruus) ja lisätään tietoturvaa muilla keinoin. Vähintäänkin laittamalla rootille piiiiiitkä salasana, mutta rsa-avainpari lienee se paras keino!

[HannuTapio]

Palomuuri,

Minulla on ollut kovin moisista vaikeutta, säädellä palomuuriani, minulla on nyt seuraava, sain sen palvelun tarjoajaltani, mutta, tahtoisin vielä jutella täällä foorumilla asiasta.

/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 43000 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 --source 80.222.247.213 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 80.222.247.249 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 80.222.247.250 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 80.222.247.251 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 79 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j REJECT

Ymmärtääkseni tämä turvaa koko koneeni, pois lukien tietenkin mahdolliset kolmannet ohjelmat joita käytetään, kuten phpbb taikka php itse.

Seuraava rivi tarvitaan jotta, viimeisen rivin REJECT ei estä kaikkea liikennettä, onko tämä oikein ?
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Portti 53 on ilmeisesti jotain DNS palveluun, tarvitaanko sitä ?
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT

Kysymyksenä onko seuraava rivi tarpeellinen, se on webmin en tiedä mikä webmin on, voinko poistaa ?
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT

Olen lautapeli harrastelija, enkä oikein tunne ihan vielä näitä palvelin puolia täysin.

Lisänä nämä icmp eli ping osoitteet ovat pimennossa, tuon viimeisen rejectin takia, mitä tuohon vikaan reject riviin pitää lisätä jotta ping toimisi ?

---

[ajaaskel]

Webmin =  Webbiselaimella Administrointi  =  Voit webbiselaimella tehdä erilaisia ylläpitotoimia palvelimelle.    Jos et tuota käytä niin ei sille tarvitse porttiakaan avata (joskaan ei siellä kukaan vastaa ellei Webmin ole erikseen asennettu ja ladattu palvelimelle).

[odysseus]

Palomuuri,

Minulla on ollut kovin moisista vaikeutta, säädellä palomuuriani, minulla on nyt seuraava, sain sen palvelun tarjoajaltani, mutta, tahtoisin vielä jutella täällä foorumilla asiasta.

/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 43000 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 --source 80.222.247.213 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 80.222.247.249 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 80.222.247.250 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 80.222.247.251 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 79 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j REJECT

Kannattaa katsastaa tämä, jotta saat kuvan mitä portteja pitää olla auki.

http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

Huomaa, että php ja phpbb EI VAADI portteja auki, sillä php tulkataan HTTP-portista Apachen hoitamana (portti 80).

[mrl586]

Huomaa, että php ja phpbb EI VAADI portteja auki, sillä php tulkataan HTTP-portista Apachen hoitamana (portti 80).

Tuo pitää paikkaansa vain jos php:tä ajetaan Apachen moduulina (mod_php). Jos php:tä ajetaan fast-fcgi:nä, eikä unix-socketteja käytetä, tietyn portin tulee tavoitettavissa loopback-adapterin kautta.

[odysseus]

Huomaa, että php ja phpbb EI VAADI portteja auki, sillä php tulkataan HTTP-portista Apachen hoitamana (portti 80).

Tuo pitää paikkaansa vain jos php:tä ajetaan Apachen moduulina (mod_php). Jos php:tä ajetaan fast-fcgi:nä, eikä unix-socketteja käytetä, tietyn portin tulee tavoitettavissa loopback-adapterin kautta.

Toki, mutta jos näin olisi, niin kysyjä varmasti tietäisi asian ja olisi sen kertonut. Samoin siinä tapauksessa kysyjän luulisi silloin tietävän myös iptablesin salat jne.

On nimittäin monella eri tapaa varsin vaarallista ja hankalaa ryhtyä virittämään jotain erikoissovelluksia kun muistetaan, että "varmasti" lähes 98% maailman php-sovelluksista pyorii nimenomaan http-palvelimen alla. Se loppu 2% jakautuu varmasti noihin cgi-mallisiin sovelluksiin, joita kutsutaan ulkoverkosta tai sitten ajetaan lokaalissa bash-scriptin tai vastaavan korvaten (esim cron:n avulla tai suoraan konsolilta)...
Niiden kanssa ongelmana ei ole pelkästään tietoturva, vaan myös saatavuus, skaalautuvuus jne, joten siinä vaiheessa on syytä todella osata koodata! -itse tekisin softan siinä tilanteessa C/C++:lla, jossa erilaisten mutex/wait-objektien käsittely on monipuolisempaa.

[HannuTapio]

php5,

Minä paljastan nyt täysin mitenkä aloittelija olen tämän netti puolen kanssa, eteenkin apachen, olen asentanut 'sudo aptitude install php5' ja siinä on kaikki mitä olen säätänyt php puolesta.

Onko minulla sitten nyt tämä cgi mallinen asennus, otanko aptitude removella tämän php5 asennuksen pois, ja korvaan sitten apache asennukseen php_mod moduulin, liekö sitten ubuntu wikissä taas tälle moduulille ohjeitakin, en ihan täysin kyennyt seuramaan keskusteluanne.

kiitos,

---

[mrl586]

Niiden kanssa ongelmana ei ole pelkästään tietoturva, vaan myös saatavuus, skaalautuvuus jne, joten siinä vaiheessa on syytä todella osata koodata! -itse tekisin softan siinä tilanteessa C/C++:lla, jossa erilaisten mutex/wait-objektien käsittely on monipuolisempaa.

Kun vertaillaan mod_php:tä ja CGI:nä ajettavaa PHP:tä voidaan havaita, että näistä jälkimmäinen skaalautuu paremmin. Erillisenä palveluna ajettavan PHP:n muistinkulutus on paljon helpompaa ennustaa kuin Apachen moduulina ajettavan PHP:n muistinkulutus. Yhdistelmällä Nginx ja php-fpm voidaan palvella useita tuhansia samanaikaisia käyttäjiä muistinkulutuksen pysyessä alhaisena.

[mrl586]

php5,

Minä paljastan nyt täysin mitenkä aloittelija olen tämän netti puolen kanssa, eteenkin apachen, olen asentanut 'sudo aptitude install php5' ja siinä on kaikki mitä olen säätänyt php puolesta.

Onko minulla sitten nyt tämä cgi mallinen asennus, otanko aptitude removella tämän php5 asennuksen pois, ja korvaan sitten apache asennukseen php_mod moduulin, liekö sitten ubuntu wikissä taas tälle moduulille ohjeitakin, en ihan täysin kyennyt seuramaan keskusteluanne.

Mitä PHP:hen liittyviä paketteja sinulla on asennettuna?

[HannuTapio]

PHP5,

Minulla on ainoastaan 'sudo aptitude install php5' asennettuna, mitenkä näen listan asentuneista php paketeista ?

[_Pete_]

PHP5,

Minulla on ainoastaan 'sudo aptitude install php5' asennettuna, mitenkä näen listan asentuneista php paketeista ?

dpkg -l | grep php

ii = asennettu

[odysseus]

PHP5,

Minulla on ainoastaan 'sudo aptitude install php5' asennettuna, mitenkä näen listan asentuneista php paketeista ?

Mulla on yleensä asennettuna ja elämää helpottamassa ainakin nämä (apachen lisäksi):

php-mysql php-xml php-gd php-mbstring php-posix

[HannuTapio]

PHP5,

Jepulista, tälläistä tämä nyt sitten näyttää, itse en kykene kuin ihmettelemään, että onkos siinä nyt sitten jotakin liikaa taikka liian vähän.

Koodia: [Valitse]

ii  libapache2-mod-php5                  5.3.2-1ubuntu4.11                               server-side, HTML-embedded scripting languag
ii  php5                                 5.3.2-1ubuntu4.11                               server-side, HTML-embedded scripting languag
ii  php5-cli                             5.3.2-1ubuntu4.11                               command-line interpreter for the php5 script
ii  php5-common                          5.3.2-1ubuntu4.11                               Common files for packages built from the php
ii  php5-mysql                           5.3.2-1ubuntu4.11                               MySQL module for php5

Onko joukossa jotakin osaa joka mahdollistaa että joku voi alkaa yrittää kirjautua palvelimeeni, esim. bruteforce tyyliin ?

[HannuTapio]

 

Mitenkäs nuo PHP5 asetukset tuossa yllä ovat, onko niissä ylimääräistä ?