|
系统安全FAQ
1、修改ipchains 中的deny 可以吗?
2、怎么屏蔽让服务器不能被ping
3、linux安全
4、ipchains+squid实现透明代理的问题。
5、snort运行的错误
6、执行了portsentry -tcp 后,为什么用nmap还能扫描出端口来?
7、关于“强大的轻量级网络入侵检测系统SNORT”的问题。
1、修改ipchains 中的deny 可以吗?
我想修改ipchains的设置,把几个拒绝的主机地址从ipchains的拒绝列表中删掉,在从哪里可以修改?这是以前我做扫描试验留下的后果,想赶快改正。着急,谢了!
ipchains -L input/output/forward 可以列出来,然后使用
ipchains -D input/output/forward numberr
其中的number是你要删的地址在-L中的编号(自己数,是第几个),
注意,每一次-D之后NUMBER都会变,要使用-L再数一次。
另外,可以使用 ipchains -F input/output/forward 一次性清空相应的通道
2、怎么屏蔽让服务器不能被ping
turbolinux6 服务器由于近段时间经常停止各种服务!由于本人极菜,不知道是怎么回事,在ping日志里发现很多的PING,是不是PING
造成服务器死掉,那么怎么屏蔽让服务器不能被ping!
执行下面的命令:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
或者将上面的命令加在 /etc/rc.d/rc.local 里。
3、linux安全
高级Linux安全管理技巧一文中提及,“如果配置不当,portsentry也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。”不知具体指得是什么,请各位指教。
另外,portsentry 还没有运行,急死我了。
每次有端口扫描的情况出现时,它就会封闭一切端口。
你使用strace跟踪一下portsentry的执行过程,看一下它输出的信息可能会有帮助。
#strace /usr/psionic/portsentry portsentry -atcp
#strace usr/psionic/portsentry portsentry -sudp
thanks ,我试了一下strace,结果显示的确有问题,但如何解决,还请指教。
显示错误如下:-1 EINVAL (invalid argument)
fork( )=1235
exit(0)= ?
在strace之后加-f参数跟踪其fork出的子进程,可能会发现出错原因。
我发现的确有两处错误,一个是open,一个是rt-sigaction,表现为rt-signaction(SIGPIPE,{SIG_IGN},null,8)=0
close(1)=0 read(0)= 就中断了。不过还是不知道如何解决,如何办请告知。很着急的要安装。万分感谢!
你需要修改源代码portsentry_config.h文件中的#define CONFIG_FILE "配置文件所在的位置"。然后重新编译,将portsentry.conf文件复制到指定的位置:
#/path-of-portsentry/portsentry -tcp即可。
还有,仔细阅读源代码的README.install文档对正确使用portsentry有所帮助。
4、ipchains+squid实现透明代理的问题。
我想利用ipchains+squid在Redhat 6.1 上实现透明代理功能,查了很多资料和书籍,上面介绍的都是一种情况:ipchains
input rule 默认是“允许”,而我本来自己做的ipchains防火墙是默认input rule DENY.
每当我将内部网段加入ipchains 规则时,总是有问题:分两种情况,
1、规则如下:
-A input -p tcp -s 194.168.35.0/24 -d 0/0 80 -j REDIRECT 3128
-A input -s 192.168.35.0/24 -d 0.0.0.0/0 -i eth0 -j ACCEPT
此时总提示找不到网址,好像是DNS不正常工作(我已经配了nameservers在 squid中),如入ip访问时可以透明代理。
2、规则如下:
-A input -s 192.168.35.0/24 -d 0.0.0.0/0 -i eth0 -j ACCEPT
-A input -p tcp -s 194.168.35.0/24 -d 0/0 80 -j REDIRECT 3128
只是实现伪装不能实现透明代理。
这是什么原因,难道是透明代理不支持ipchains input rule default is "DENY"?
/proc/sys/net/ipv4/ip_forward修改了?
试试;
ipchains -F input
ipchains -I input -j accept
ipchains -F output
ipchains -I output -j accept
ipchains -F forward
ipchains -I forward -p all -s 192.168.0.0/16 -d 0.0.0.0/0 -j masq
5、snort运行的错误
/usr/local/bin/snort -v
/usr/local/bin/snort: error while loading shared libraries:
libmysqlclient.so.10: cannot load shared object file: No
such file or
directory的错误,没有这个库libmysqlclient.so.10,于是我找到这个libmysqlclient.so.10(/usr/local/mysql/lib目录下),并把这个目录写入了ld.so.conf文件中,再运行/sbin/ldconfig,但是问题还一样的。
真不知道哪里错了
问题可能是snort自己到某个目录下找这个库文件,而不通过ld.so。使用
#strace -e trace=open,read /usr/local/bin/snort -v
找出snort寻找的路径,加一个连接可能解决问题。
6、执行了portsentry -tcp 后,为什么用nmap还能扫描出端口来?
扫描出来没有错呀,但其IP地址已经被记录。如果你设置了IPCHAINS,PORTCENTRY会自动将那个IP屏蔽掉。
7、关于“强大的轻量级网络入侵检测系统SNORT”的问题。
我参照说明和该软件网站的说明将程序顺利安装了(REDHAT7.0),然后在/etc/snort/snort.conf文件里定义了HOME_NET和EXTERNAL_NET,然后运行:
/usr/sbin/snort -A full -c /etc/snort/snort.conf
程序顺利运行了,我为了检测我自己服务器所在的网段的FTP TELNET,在snort.conf里加了下面两句:
alert tcp any any -> 192.168.10.0/24 21
alert tcp any any -> 192.168.10.0/24 23
再次运行后,程序提示多加了两条规则,所以我认为也成功了!
我现在的网络情况是交换式的,所以是无法听到别的IP的,但我肯定应该可以听到他人TELNET FTP本身服务器的,但我从其他计算机TELNET
FTP了服务器后,从日志里看不到,为什么?
是不是我哪里配错了!我现在的目的就是监视我自己的服务器的连接情况
snort默认的日志在/var/log/snort目录下
|