Зачем настраивать firewall (файерволл) в Linux и блокировать порты?
Вопрос больше относится к основам операционной системы (не обязательно к Linux системе).
1. Зачем в операционной системе надо закрывать порты?
И что будет, если их не закрыть?
2. Кстати, сколько портов в Linux-е? 65536 шт. TCP и 65536 шт. UDP ?
Вот моё простое представление на тему "почему надо закрывать порты":
- В системе есть программы, прослушивающие порты.
- Если порт открыт, то любой юзер снаружи сможет начать "общаться" с программой, прослушивающей порт.
- Если разработчик программы допустил ошибку в её логике прослушивания порта, то юзер снаружи может ухитриться "обмануть" программу. И программа выдаст юзеру секретную информацию или выполнит требуемое от неё действие (например запись на диск).
- Помимо того, что некоторые порты прослушивают программы, некоторые порты слушает и сама операционная система. И её также можно "обмануть" и "уговорить" выдать секретные данные, или произвести нужные манипуляции с данными.
(Поправьте, если я не верно понимаю необходимость закрытия портов.)
3. Если у кого-нибудь есть ссылки на тему портов, взломов, общих представлений, было бы хорошо выложить сюда.
4. Как бы всё понятно с портами, их над закрывать. Но почему и зачем для меня это тайна.
Но ведь "стук" в порт всегда обрабатывается сначала ОС, а потом только передётся нужной программе? (Вроде iptables как раз занимается обработкой входящих/исходящих пакетов ("стуков"))
5. Есть ли какие-то принципиальные отличия в работе портов и обработке портов между Linux и Windows?
Что мне ясно в линукс, даже если программу "обманут", она не сможет запиcать что-либо в системные директории, т.к. не имеет прав. (нахожу в этом большой плюс).
Но "обманутая" программа сможет радостно что-нибудь записать в домашнюю папку пользователя из под которого запущена =)
Может у кого-нибудь просто есть ссылки на хорошие книги или статьи на все эти темы?
Ну, например, напишу я сниффер который будет висеть на порту 666 и при подключении выдавать всю сграббленую инфу, и приду к тебе в гости. Пока ты пойдёшь доставать пиво из холодильника засуну его тебе в .xinitrc. Потом пойду домой и попробую достучаться до своего сниффа. И будет мне облом. А если ты вдруг потом посмотришь логи iptables, то сможешь увидеть, что какой-то angry_snif.sh пытается открыть порт, а какой-то c00l_haZk3r с ип из твоей же подсети пытается к этому порту приклеиться.
Ну это я так, на скорую руку сочинил, но суть примерно такова.
Дык согласно официальному RFC
LDAPs 636 636 secure LDAP * (LDAP protocol over TLS/SSL)
Doom 666 666 network game *
Remotely Possible (ControlIT) 799 remote control. CA ControlIT support
1) обычно их закрывают из соображения паранойи. В случае предприятий это может быть оправдано разными факторами, то в домашних условиях ведущий фактор - паранойя как таковая.
2) Порты не в линуксе. И не в виндоусе. Порты - в протоколе. По поводу протоколов почитай модель OSI. Количество портов в TCP и UDP протоколах одинаковое.
4) см. п.1
5) Вопрос задан некорректно. Порты обрабатываются соответствующими протоколами. По уровням обработки читай модель OSI.
Уж послала, так послала...
Блин, это вообще зверская вещь, не понимая её, можно очень тупые вещи задавать и спрашивать (не имею ввиду автора темы), проявляя себя ламером. Админы - мазт кнау. А школоло, читать прямо сейчас.
По теме: ну да, по сути для паранойи больше.
Есть простое мнемоническое правило(возможно даже его мне подсказал КЭП): если ты не знаешь, зачем настраивать
firewallсетевой экран в линуксе, то тебе его настривать не нужно :-).я, кстати, на домашнем компе вообще на этот счет не парюсь под линуксом. Ну открыто, да и хрен с ним. А в винде у меня файрволл болтается, чтобы всякие свободолюбивые программульки не лезли на свои родные сайты и не забивали мне канал перманентными апдейтами. Т.е., грубо говоря, контроль трафика.
А в линуксе без моего чиха вообще ничего самостоятельности не проявляет, где не надо.
А вот на работе у меня на центральном маршрутизаторе ТАКОЕ наконфигурировано, что я за 2 года работы еще далеко не все до конца вкурил.
Спасибо, беру на заметку прочитать про OSI.
Конечно, можно порассуждать о паранойе. А можно посмотреть с другой стороны... У меня, например, IP реальный. И как только я его получил, так сразу же пошла такая долбёжка, что раз в минуту падал интерфейс eth0. Пока не настроил iptables -- так и мучился. С другой стороны, денег на отдельный сервер у меня пока не предвидится, так что у меня хранится конфиденциальная информация, рабочая и т.д. Всё это на машине, глядящей в internet реальным IP. Логично предположить, что если до всего этого доберутся, то я потеряю деньги и информацию. Так что перекрыть всё, что только можно, есть совершенно правильное решение.
Далеко ходить не имеет смысла -- сейчас у меня на машине есть 3 файла общей стоимость от 4,5 до 6 тысяч долларов. Достаточная ли это сумма, чтобы иметь лёгкие приступы паранойи?
А-а-а, спалился, спалился. Теперь осталось только узнать пароль от компьютера, где деньги лежат. :-)
Паранойя стоит от 3 дней, до месяца и больше рабочего времени на обучение и настройку.
Тут надо смотреть в каждом конкретном случае.
Например мне не хотелось бы, чтобы мою детскую фотку в подгузнике, потом по всему интернету фотошопили, но КОМУ я на хрен нужен в подгузнике ? 4-6 т.у.ё. это полгода работы человека, тут и Backup и Firewall можно настроить (будет смысл).
Пароль я тебе хоть сейчас дам. Только что тебе с него? У меня запрещён удалённый вход в систему. :-Р
Настроил фаервол за 15 минут (мануал не соврал относительно времени настройки). И ещё день потратил на чтение документации, чтобы полностью понимать, что к чему. Думаю, что безопасность того стоит.
Вот лично ты, скорее всего, никому не нужен. А теперь представь себе человека публичного (политика, актёра, журналиста, писателя, художника, бизнесмена) -- тут уже совсем другой коленкор!
Гы, просто в моём понимании настр. безопасности это несколько большее, до маниакальности :-), и потому для меня в подгузнике, мне лень настраивать.
КрабЭ или ШмелЭ в подгузнике, вполне ничего были бы, думаю не обиделись бы даже
(просто расстреляли)сказали бы: "типа антикульт личности" Этобезвкусный петросяно-юморигра слов, сравнительная сЯ с настройками особенно не церемонился. Тезис "что не разрешено, то запрещено" позволяет себя чувствовать достаточно спокойно. Потому могу отсканировать себя в пелёнках (и без таковых), и положить себе на винт. А вообще, забавно -- ведь когда я в этом так нуждался, то никаких подгузников у нас ещё не водилось. Ну, кроме марлевых.
У меня тоже реальный ip-адрес. И локалка на 25к абонентов. И ни грамма паранои. Только файла имеют не материальную ценность, а морально-духовно-...ну ты понел.
Не, ну если на компьютере "кинуха", "музон" и "фотки с бёздника", то как бы да -- никакой паранойи не должно быть... А если что-то действительно ценное... И если оно принадлежит не только мне... И если я чётко знаю, что "щупать" пытались с вполне конкретной целью... Ну ты понел. ;-)
Паранойя - не роскошь, а средство передвижения.
Ежели поперетряхивать личный архив среднего анонимуса, копившийся на винте хотя бы жалкий десяток лет - ну вы понели. Не посадить, так пощипать завсегда найдется. Или хотя бы потрясти чужим грязным бельем на потеху хомячкам.
Так что какая-никакая, но забота о безопасности должна быть.
Хотя бы на уровне пары часов обдумывания конфига файерволла и парольной чистоплотности :)
Если ты параноик это еще не значит, что за тобой не следят.(с)
man ufw ufw — простой в использовании брандмауэр
Могу дать свой ip. Тому кто стащит с /home фотки - ставлю ящик пива. Хакеры есть?
Модераторы и так видят мой адрес. Может среди них найдутся хакеры?
Маловато обесчаешь, никто и палец о палец не ударит, работка то не маленькая.
Нормально. Зато будет практика и слава. Это главное.
надо будет покопаться в логах нашей
балбесятниджаббер-комнаты, там эти фотки наверняка пробегали =))Устроит?
Главное подсунуть...
А дальше уж... :-)
И что самое главное - все равно, кому подсовывать.. :-)
П.С. Да, я понимаю, что не совсем чистый эксперимент, и требует действий со стороны пользователя... :-)
Сегодня получил письмо: Привет ! Я хакер, но я очень ленивый, мне лень что-то писать, потому пожалуйста удалите все свои данные самостоятельно.
Я очень ленивый юзверь. Может ты сам сможешь подсунуть эту заразу?
эээ
я спросил устроит ли такой вариант, а вот насчет подсовывать договора не было.
Тем более в понедельник утром... :-)
И вообще я не хакирь я сисадмин. Иногда... :-)
Все остальное время - я ленивый... :-)
Майк, в чятике в основном скрины. Да и обман это будет.
Отправить комментарий