Краткая памятка (http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=199) о том, как быстро поднять FreeBSD сервер с NAT и Firewall.
URL: http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=199
Новость: http://www.opennet.me/opennews/art.shtml?num=6237
Автор статьи видимо забыл перенаправить пакетики в nat. По крайней мере я не заметил таких правил. А раз так, то для новичков это просто ловушка.
ну это то просто - автор использует стандартный /etc/rc.firevall
и в статье показал только кусочек текста - те правила, которые он добавил
в секцию [OPEN], перенаправление пакетов в nat осталось за кадром.
Если бы подумал головой, использовал хотя бы секцию [SIMPLE],
все таки было бы по приличней.
?:
> options IPFIREWALL
> options IPDIVERT
> Где 1, 2 строки - сама возможность маршрутизации
Ух ты как круто.
Это с каких таких пор пакетный фильтр маршрутизацию включает?> icmp_log_redirect="YES"
;)))
Это чтоб журналы зафлудить разным хламом?> разрешить логинится удаленно для root в файле /etc/ssh/sshd_config
Вообше перл из разряда "тупой и еще тупее".
> Такая конфигурация ipfw весьма параноидальна
Она никакая ;(((
Вердикт - статья к огромному сожалению _ПОЛНЫЙ_ _БРЕД_
На том же ресурсе лежит статья, в которой всё описано гораздо лучше... :(
Крики "PermitRootLogin yes - ламмирство" тоже ламерство и отсутствие желания подумать головой. ;-)На тех машинах, где sshd открыт для 1-2 IP-ов только идиот будет заводить лишнюю учётку или более того, париться с sudo...
> На тех машинах, где sshd открыт для 1-2 IP-ов только идиот будет заводить лишнюю учётку или более того, париться с sudo...Не идиот, а нормальный администратор, заботящийся о безопасности системы.
Ламерство работать под рутом. Это тебе скажет любой мало мальски работающий админ *NIX
Только идиоты недоумки, которые хотят чтобы их отымели ставят PermitRootLogin yes.
На сервере не работают - он сам работает. А администрировать сервер как-то удобнее из-под рута. токмо вот напрямую логиниться рутом - моветон, так что permitrootlogin yes - смерти подобно... ощущал на своей шкуре.
А на рабочей станции да, под рутом работать не нужно и вредно. ;)PS: из вспомнилось из su-перлов. "sudo su -" без пароля ;)
>"напрямую логиниться рутом - моветон"
>А на рабочей станции да, под рутом работать не нужно и вредно.На рабочей станции конечно. Там приходится не только конфиги ковырять да сервисы дёргать, но и заниматься повседневной работой. Впрочем, на рабочей станции sshd часто вообще не нужен.
Насчёт моветона подробнее. В например SuSE-шке ламеры работают, там по дефолту оно yes?
>>"напрямую логиниться рутом - моветон"
>>А на рабочей станции да, под рутом работать не нужно и вредно.
>
>На рабочей станции конечно. Там приходится не только конфиги ковырять да сервисы
>дёргать, но и заниматься повседневной работой. Впрочем, на рабочей станции sshd
>часто вообще не нужен.
>
>Насчёт моветона подробнее. В например SuSE-шке ламеры работают, там по дефолту оно
>yes?
оно везде по дефолту yes. надо не забывать его в no ставить. причем логика дефолтного yes понятна. насчет моветона - истина вбитая старшими товарищами, а относительно ssh так еще и на своей шкуре осознанная. но ситуации бывают разные.
вспомните червя, который использовал эту "дефолтовую фичу" Suse для брутфорса пароля к root где-то полгода назад.
абсолютно все случаю - только по необходимости нужно подбирать.На локалхосте дома "su -" пароля не должно требовать - ну нахрена время тратить без толку? ну а по ссх ходить на себя же.... лучше сразу в психушку сдаваться
В оффисе "su -" для определенных пользователей тоже без пароля - ок.
И ремоте логин на другие компы под рутом - тоже не проблема. А для ускорения работы - еще и ключи мона разложить. Ну нафига изращаться, если тока доверенные люди могут стать рутом о поиметь ключ для доступа на другой комп по ссх?Серванты в Нете - это уже чисто личная паранойя и объективная важность сервера: на веб сервант чудно рутом ходить (быстренько зашел, поправил че-то пару раз в день и ушел), на роутер/траффик_шейпер мона и прикрыть (и то чисто потому, что часто туда ходить просто не нужно - опять таки, зачастую), ну а сервант с базой данных личных данных каких-либо клиентов или бабла какого вообще тока с определенных ИП должен пускать на 22 порт (ну и внутри хоть 10 последовательных авторизаций мона насетапить - все определяет паранойя/необходимость).
Мир - не как параметр RemoteRootLogin yes или no...
Мир разнообразен... ;))
>абсолютно все случаю - только по необходимости нужно подбирать.
>
[...]
>Мир - не как параметр RemoteRootLogin yes или no...
>Мир разнообразен... ;))Да, мир разнообразен. Похоже у вас это не соотносится с тем, что вы не в состоянии предусмотреть ВСЕ возможные методы обхода защиты. по поводу root по ssh, то отключение permitrootlogin - просто еще одна цепь защиты. Если злоумышленник узнает пароль того регулярного пользователя который может делать su, то ему еще придется поломать голову над рутовым паролем и получением рутовских прав, по этой же причине никогда и нигде на серверах нельзя делать su - в рута без пароля. Злоумышленник может быть заинтересован в контроле за хостом, а не в данных хранящихся на нем. чем больше слабин вы допускаете в настройке безопасности уповая на файрвол и сознательность пользователей, тем больше вы огребете в непредвиденной ситуации.
Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения своей безопасности никому не помешает.
>Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения
>своей безопасности никому не помешает.ну почему все админы мыслят однобоко???!
ну я тоже админ, но пытаюсь взглянуть на все чуть с другой стороны.
Ну а если абсолютное секурити не настолько приоритетнее удобств в работе???
Ну неужели все так тугоумны, что не могут допустить такой ситуации??
Блин! А еще админы.... где блин ваша гибкость???А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на серванте и в то же время ниразу некритично если его поламают?? (я это допустим мгновенно замечу и сервант у меня под рукой, кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?
Не знаю кто как там раб своих принципов, но я оптимизирую свою работу и не буду делать без толку часто одно и тоже (вводить 2 пароля и т.д.).
>>Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения
>>своей безопасности никому не помешает.
>
>ну почему все админы мыслят однобоко???!
>ну я тоже админ, но пытаюсь взглянуть на все чуть с другой
>стороны.
>Ну а если абсолютное секурити не настолько приоритетнее удобств в работе???
>Ну неужели все так тугоумны, что не могут допустить такой ситуации??
>Блин! А еще админы.... где блин ваша гибкость???
>
>А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на
>серванте и в то же время ниразу некритично если его поламают??
>(я это допустим мгновенно замечу и сервант у меня под рукой,
>кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но
>НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?
>
>Не знаю кто как там раб своих принципов, но я оптимизирую свою
>работу и не буду делать без толку часто одно и тоже
>(вводить 2 пароля и т.д.).в общем я не отрицал того, что необходимость пользоваться напрямую рутом иногда есть. но ИНОГДА, а не систематически.
я вот только не могу понять следующих вещей:
1) чего можно БЫСТРО и МНОГО менять на боевом сервере, что требует рутовых прав? Если сервер не боевой, то и разговор другой и не надо сюда сферических коней в вакууме приплетать.
2) если все же надо что-то быстро и много поменять, то зачем при этом перелогиниваться? или вы делаете рестарт сервера после каждой правки sshd_config или изменения сетевой конфигурации? Вот мне надо, например обновить софт какой-то - login, su,скачал подготовленные сорцы, собрал, остановил сервис, сбэкапился, проинсталлил, проврил конфигурацию, запустил сервис, проверил работу, ^D^D. процесс login+su - один.
>>Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения
>>своей безопасности никому не помешает.
>
>ну почему все админы мыслят однобоко???!
>ну я тоже админ, но пытаюсь взглянуть на все чуть с другой
>стороны.
>Ну а если абсолютное секурити не настолько приоритетнее удобств в работе???
>Ну неужели все так тугоумны, что не могут допустить такой ситуации??
>Блин! А еще админы.... где блин ваша гибкость???
>
>А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на
>серванте и в то же время ниразу некритично если его поламают??
>(я это допустим мгновенно замечу и сервант у меня под рукой,
>кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но
>НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?
>
>Не знаю кто как там раб своих принципов, но я оптимизирую свою
>работу и не буду делать без толку часто одно и тоже
>(вводить 2 пароля и т.д.).Тебе религия не позволяет DSA ключи сгенерить и по ним на серваки ходить ?
Мне тоже знаеш ли надо не на одну машинку логиниться.
Но я поступил по людски - сгенерил ключи и как сыр в масле катаюсь ;))
И секюрность высокая.
А таких спецов как ты .... гм ... не будем выражаться
> Тебе религия не позволяет DSA ключи сгенерить и по ним на серваки ходить ?а ты бы не п...л раньше времени, а прочитал бы мой пост ранее про уровни необходимой безопасности. Там и про ключи есть и про "su -" без пароля.
...И знаешь сколько специалистов, которые ЧИТАТЬ даже не умеют есть??? ;(
>> Тебе религия не позволяет DSA ключи сгенерить и по ним на серваки ходить ?
>
>а ты бы не п...л раньше времени, а прочитал бы мой пост
>ранее про уровни необходимой безопасности. Там и про ключи есть и
>про "su -" без пароля.
>
>
Вы же написали про БЕЗПОЛЕЗНОМТЬ ключей:> Ну нафига изращаться, если тока доверенные люди могут стать рутом о поиметь ключ для доступа на другой комп по ссх?
То есть Вы допускаете использование ключей, но через секунду начинаете с пеной у рта довазывать необходимость разрешить прямой root login.
То есть де факто Вы отрицаете ключи ...
А пропагандируете прямой root sheel
Не надо наводить тень на плетень.P.S.
rlogin тоже удобно было ;))
>А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на
>серванте и в то же время ниразу некритично если его поламают??
>(я это допустим мгновенно замечу и сервант у меня под рукой,
>кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но
>НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?Я не понял что это за серванты такие? Ты не можешь потратить несколько секунд на набор пароля, но простой как минимум десять минут для восстановления системы тебе не критичен. Особенно представляю как ты будешь накатывать те "быстрые и многие" изменения, которые нужно было сделать за время простоя при восстановлении.
По-моему, это просто сон разума....
Вот пока кто-нибудь для себя не признает, что где-то можно хоть рута ремотно пускать без пароля, а где-то вообще обнулять /proc/sys/kernel/cap-bound нужно - НЕ БУДЕТ ТОЛКУ В ЭТОМ ФЛЕЙМЕ (во флейме есть столк?..)
Как это, интересно, злоумышленник может узнать пароль обычного юзера и НЕ УЗНАТЬ рутячий, если всё это вводится с интервалом в пару секунд?
>Как это, интересно, злоумышленник может узнать пароль обычного юзера и НЕ УЗНАТЬ
>рутячий, если всё это вводится с интервалом в пару секунд?
вы правда думаете, что узнать пароль можно только послушав интерактивную сессию ?
То есть, сказать нечего?
>То есть, сказать нечего?
Есть. а вы поймете?Ключевые слова - подсмотреть, подобрать, социальный инжиниринг.
сомневаюсь, что если у вас больше 2х серверов в подчинении, то у вас на обычного пользователя везде разные пароли и вы нигде не пользуетесь системной(с авторизацией в passwd) почтой через незасекуренный pop3/имап, а если везде разные, то возможно вы их где-то записываете, а еще возможно, что вам лень было еще одного пользователя заводить и вы кому-либо дали свой логин/пароль... вариантов море - напрягите воображение.
Что-что?! Какой подсмотреть, подобрать и тем более с.и. (я не девочка-секретутка)? У меня 15 серваков, на всех 22-й порт открыт только с двух IP-ов (IPы офисов в моём городе). В другие города логинюсь рутом со своей рабочки (FreeBSD), смотрю логи, обновляю систему и софт. Пароли везде разные, лежат только в голове и в сейфе у шефа. У обычных юзеров пароли разные, но shell я им не даю (и не в wheel они), а со временем перенесу в ldap. Кто что подсмотрит или подберёт? По-моему, это вы напрягаете или даже перенапрягаете воображение. В нормальных условиях логин нерутом ни на грамм не увеличивает защищённость. А в тех условиях, где увеличивает, там просто всё плохо настроено (исключая случаи, где на серваке розданы shell-ы или подобное) :-\
>Что-что?! Какой подсмотреть, подобрать и тем более с.и. (я не девочка-секретутка)? У
>меня 15 серваков, на всех 22-й порт открыт только с двух
[...]
это вы такой правильный, а много ли еще таких?
Что-то я не догоняю... Я в самом первом своём письме написал "если 22-й порт открыт для пары IPов, то это совершенно лишний геморрой".
>Что-то я не догоняю... Я в самом первом своём письме написал "если
>22-й порт открыт для пары IPов, то это совершенно лишний геморрой".
>
адреса, если что, можно и заспуфить.
Вероятность примерно такого же порядка что и у "приедут на джипах с автоматами, заберут сервак и все важные файлики прочитают". Здорового админы полностью устроит вероятность невзлома в р-не 98%. Тем более, я не верю, что ваши меры предосторожности хоть что-то дадут, если за дело возьмутся серьёзные дядьки.
>Что-то я не догоняю... Я в самом первом своём письме написал "если
>22-й порт открыт для пары IPов, то это совершенно лишний геморрой".
>Согласен с тобой, я-б еще перенес sshd на какой либо другой порт, например 10022 :)
>>Что-то я не догоняю... Я в самом первом своём письме написал "если
>>22-й порт открыт для пары IPов, то это совершенно лишний геморрой".
>>
>
>Согласен с тобой, я-б еще перенес sshd на какой либо другой порт,
>например 10022 :)иногда неизвестные порты привлекают взломщиков.. разве, что от ботов спасет :)
> На тех машинах, где sshd открыт для 1-2 IP-ов только идиот будет заводить лишнюю учётку или более того, париться с sudo...Мальчик.
Я тебе секрет открою: иногда надо заботиться о безопастности.> париться с sudo...
А с чем париться ?
Или для ВАс настройка данной проги есть проблема ?
Если так, то мне понятен истинный смысл Ваших высказываний.
О безопасТности надо заботиться всегда, но посредством вдумчивого следования рекомендациям, а не тупого подражания. Админ, который считает, что поставив прогу, в истории которой были преценденты roothole-ов имея возможность не ставить глуп.А на сервере НЕ РУТОМ делать вообще нефиг...
>О безопасТности надо заботиться всегда, но посредством вдумчивого следования рекомендациям, а не
>тупого подражания. Админ, который считает, что поставив прогу, в истории которой
>были преценденты roothole-ов имея возможность не ставить глуп.
>
>А на сервере НЕ РУТОМ делать вообще нефиг...
для этого существует команда SU, а не PermitRootLogin yes
Чем отличается su от PermitRootLogin?
> Насчёт моветона подробнее. В например SuSE-шке ламеры работают, там по
> дефолту оно yes?о. Ну давайте еще поспорим о каких-то дефолтах каких-то имбицилов в разных наборах бинарей...
пиздец...>Чем отличается su от PermitRootLogin?
для су - нужно еще знать под кем залогиниться, чтоб запустить этот su ;)
>Чем отличается su от PermitRootLogin?
тем, что permitrootlogin позволяет получить сразу рутовый доступ к системе, а su - через промежуточного обычного пользователя...
>А на сервере НЕ РУТОМ делать вообще нефиг...Ух ты.
А если это сервер разработки ?
Или баз дынных ?
Для кодинга надо root sheel ... мдя ... ;((
Или задампить базу тоже надо root sheel.
На реальных серваках есть вагон задач совсем не требующих прав root'а
>>А на сервере НЕ РУТОМ делать вообще нефиг...
>
>Ух ты.
>А если это сервер разработки ?
>Или баз дынных ?
>Для кодинга надо root sheel ... мдя ... ;((
>Или задампить базу тоже надо root sheel.
>На реальных серваках есть вагон задач совсем не требующих прав root'а
Да, но это же гораздо удобнее из-под рута делать все! ;) [шу.чу]
>А на сервере НЕ РУТОМ делать вообще нефиг...До тех пор пока тебя не сломали...
Признайся, что ты понятия не имеешь, как настроить сервер так, чтобы для его обслуживания вообще не было необходимости заходить под рутом.
> На тех машинах, где sshd открыт для 1-2 IP-овпокажите мне такую машину. если важно, чтобы был минимальный простой при всяких ЧП, я должен иметь возможность к ней подсоединиться не только с рабочего места и из дома, но из гостей, интернет-кафе в Саратове, с помощью GPRS.
если это домашний тазик, где неважно, сколько и когда он падает -- ради бога. но свои домашние привычки переносить на боевые машины -- не стоит. более того -- не стоит докуменатцией плодить заведомо вредные привычки у новоадминов, от которых им потом будет надо избавляться.
>options IPFIREWALL
>options IPDIVERT
>options IPFIREWALL_VERBOSE
>options IPFIREWALL_VERBOSE_LIMIT=10
>options DUMMYNET
>options TCP_DROP_SYNFIN
>
>Где 1, 2 строки - сама возможность >маршрутизации; 3, 4 - возможность вести логи и >ограничение их списка; 5 - требуется для ведения >статистики; 6 - отброс флуд-пакетов.с каких пор dummynet требуется для статистики?
Статья не моя, поэтому не вчитывался...
Надо будет подправить...Хорошая статья - я полагаю это оно:
http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=35
http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=36
http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=37На самом деле тут тоже есть ошибки, автор присылал их исправления как-то, но сначала у меня, а потом у него сдохли винты :(
Извините что не по теме но складывается впечатление что как только что то важное положено на диск он ... ниминуемо сдыхает. Данный момент очень часто встречается на различных форумах среди юниксоидов. Ничего не имею против подобного класса ОСов, сам использую оные в работе ... но за последние 2 года с момента появления дисков seagate baracuda на моем рабочем компе не потерял ни байта важной и не очень информации ... при этом диск раз пять ремапился но установленная в те далекие времена XP продолжала исправно работать и восстанавливать мою инфу. Ну и совсем для меня естественно хранить несколько копий инфы в различных местах, делая резервные копии.Говоря словами небезизвестного автора: - может в филармонии что то подправить ..................
А что за ОС ты пользовал?? Так и не сказал.Если что-то страше 10 лет релиза, то сравнивать с 2 летней давности XP уже нехорошо.
Правило передающее пакеты на обработку демону natd отсуствует, а значит работаь не будет. Надо хотябы после всех pip-ов добавить:
/sbin/ipfw add divert natd all from any to any via {$if}
И вообще почему статья маршрутизацией названа? natd вроде к прокси ближе...
>будет. Надо хотябы после всех pip-ов добавить:
>/sbin/ipfw add divert natd all from any to any via {$if}Если natd_enable=YES, то в rc.firewall для типа "open" вначале уже есть готовый блок для прописывания divert.
NAT - network address translation и причем тут routing? А то что написано.. хм.. в топку.
вообщем непонятно на кого статья расчитана
для знающих она ненужна, новичков же она ничему хорошему ненаучит да и скорее только запутает
>вообщем непонятно на кого статья расчитана
>для знающих она ненужна, новичков же она ничему хорошему ненаучит да и
>скорее только запутаетэто для дебилов/маразматиков/извращенцев
ни один нормальный человек не будет подымать продакшн роутинг через юзер-левел. То же самое - и NAT через юзерлевел. Это все израты бсд.
Поставил Линуха, развернул кого куда нуна сорсроутингом и расслабился
> Это все израты бсд.
Даже если тебе не нравиться natd(который к слову сказать неплохо работает), то есть замечательная альтернатива - pf или ipf(не все nat'ит).
Которые nat'т на kernel level
Или ты не слышал про такое?
>ни один нормальный человек не будет подымать продакшн роутинг через юзер-левел. То
>же самое - и NAT через юзерлевел. Это все израты бсд.я вот юзаю 6-CURRENT и не парюсь, там поддержка nat в самом ipfw.
У последного товарища, судя по всем мною виденным сообщениям, присутствует какой-то комплекс или аллергия могза на бсд
>У последного товарища, судя по всем мною виденным сообщениям, присутствует какой-то комплекс
>или аллергия могза на бсдпосле ебли с фбсд/natd 2 года - конечно и комплекс и паранойя и аллергия
после линуха - все кака рукой сняло.
2 _Nick_ ты-б ищо про полуось вспомнил :) Для своего времени супер ОС была.
Эт я к тому что ipfw достаточн древен и сейчас есть более удобные/продвинутые механизмы обустройства nat,fw и пр. дел в *bsd
>2 _Nick_ ты-б ищо про полуось вспомнил :) Для своего времени супер
>ОС была.
>Эт я к тому что ipfw достаточн древен и сейчас есть более
>удобные/продвинутые механизмы обустройства nat,fw и пр. дел в *bsdтогда я прав в высказывании про маразматиков.
Какого хрена юзать древние "технологии" с натд, когда есть что-либо более человеческое??
Ты не гибок. В сад.
Это не гибкость, а извраты. В BSD с маршрутизацией вообще не очень (уже обсуждалось недавно, нет, напр. multipath).
ipfw ,в отличие от pf - стандартный для bsd способ.Да, медленно, зато надежно.Нет тех приколов,которые были с pf/ipf...
>100gb месяц
проходит у меня через сервер.
А про ssh-никакой дополнительной безопасности permitrootlogin no не добавляет.
>ipfw ,в отличие от pf - стандартный для bsd способ.Не так и медленно.
Даже на больших роутерах работает хорошо.> Нет тех приколов,которые были с pf/ipf...
Действительно, проблемы были.
Во вот сечйчас у меня кое где(FreeBSD 5.4) pf&altq стоит - НИКАКИХ нареканий.
Прекрастно работает
я например Трахаюсь уже 3 дня, чтобы направлять етот вонючий трафик, в интернет.
и если у меня не получится я перейду на линукс, и проклину БЗД!!!!!!!!!!!.
страшно то как =)
>я например Трахаюсь уже 3 дня, чтобы направлять етот вонючий трафик, в
>интернет.
>и если у меня не получится я перейду на линукс, и проклину
>БЗД!!!!!!!!!!!.А чо трахаться то? надо настроить и всё. :)
Здесь вам не шахматы, здесь думать надо (c) ;)
Я думаю, что с линухом будут те же проблемы :)Что не получается то?
>А чо трахаться то? надо настроить и всё. :)
>Здесь вам не шахматы, здесь думать надо (c) ;)
>Я думаю, что с линухом будут те же проблемы :)
>
>Что не получается то?думаю что нашел выход. надо в ppp.conf профиль создать. например после rl0: названия провайдера. ,,?? как вы думаете, мне так сказали, сам много раз прочел маны, форумы, вродебы все нормально.
вот сценарий- юникс 7.2 имеет 2 сетевухи, один внеш, другой внутрь. Айпи все правильно задано. он же как шлюз, к адсл модему который стоит как мост pppOE. другой комп с виндовс, как клиент должен выйти в интернет через все ето. здесь что надо, например настроить.