Jump to content

aelius

Administrators
  • Posts

    4970
  • Joined

  • Last visited

  • Days Won

    374

Everything posted by aelius

  1. Mai jos puteti vedea un firewall minimal pentru Linux, care face urmatoarele lucruri: - Seteaza politica default cu drop (nu accepta niciun pachet, atat pe INPUT, FORWARD cat si pe OUTPUT). - Blocheaza pachetele TCP cu flag-uri invalide. - Blocheaza OS Fingerprint (detectarea sistemului de operare cu nmap sau alte tool-uri pentru os-fingerprint) - Permite icmp echo requests (ping) catre host. - Permite pachetele UDP venite de la nameserverele setate in "/etc/resolv.conf" (Source port 53) - Accepta conexiuni ssh doar de la surse bine stabilite (exemplu: de la office / home) . In acest fel suntem siguri ca daca ne stie cineva parola de la un utilizator, nu va putea intra. Este o buna masura de precautie impotriva scanning-ului. - Permite rularea serviciilor pe porturile standarde pentru: ftp, smtp, web, pop3 si https. Alte note: - EXTDEV reprezinta interfata externa de retea. - In sectiunea SECSHELL se pun adresele IP de unde dorim sa avem acces SSH. - NU folositi comanda "iptables -F" sau "iptables --flush"; politica default este DROP! (daca doriti sa scoateti firewall-ul din functiune, dati stop la el) - In sectiunea SERVICES sunt definite porturile pentru servicii: ftp, smtp, web, pop3 si https. - In acest exemplu minimal, nu exista reguli pe FORWARD. Daca serverul este folosit ca router, nu va functiona. Este necesar sa adaugati reguli pentru forward/nat - Nu folositi acest script inainte de a va da seama ce face exact, in special, nu folositi acest script pe servere la care nu aveti acces fizic, daca nu stiti ce face. - Scriptul se executa impreuna cu un argument: start, stop sau status. #!/bin/sh # Descriere: Firewall minimal pentru linux. ## -- Constante EXTDEV="eth0" SECSHELL="4.2.2.2 8.8.8.8 5.5.5.5" SERVICES="20 21 25 80 110 443" firewall_start () { echo "apply rules ...." ## -- Sterge orice regula prezenta iptables -F iptables -Z iptables -X iptables -F -t nat iptables -Z -t nat iptables -Z -t nat iptables -F -t mangle iptables -Z -t mangle iptables -X -t mangle ## -- Politica default iptables --policy INPUT DROP iptables --policy OUTPUT DROP iptables --policy FORWARD DROP ## -- Permite trafic nelimitat pe localhost iptables -I INPUT -d 127.0.0.0/8 -j ACCEPT iptables -I OUTPUT -s 127.0.0.0/8 -j ACCEPT ## -- Accepta orice conexiune care este stabilizata in momentul initializarii firewall-ului. iptables -I INPUT -m state --state ESTABLISHED -j ACCEPT ## -- Permite orice pachet catre OUT. iptables -I OUTPUT -p all -j ACCEPT ## -- Accepta sursele definite in SECSHELL pentru a se conecta la serviciul SSH. for i in $SECSHELL;do iptables -I INPUT -p tcp -s $i --dport 22 -j ACCEPT;done ## -- Accepta orice icmp echo (ping) iptables -I INPUT -p icmp --icmp-type 8 -j ACCEPT ## -- Blocheaza pachetele invalide iptables -I INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP iptables -I INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP iptables -I INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -I INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -I INPUT -p tcp --tcp-flags SYN,ACK NONE -j DROP iptables -I INPUT -p tcp --tcp-flags RST,FIN RST,FIN -j DROP iptables -I INPUT -p tcp --tcp-flags SYN,URG SYN,URG -j DROP iptables -I INPUT -p tcp --tcp-flags ALL SYN,PSH -j DROP iptables -I INPUT -p tcp --tcp-flags ALL SYN,ACK,PSH -j DROP ## -- Accepta orice port listat in SERVICES (pe tcp) for i in $SERVICES;do iptables -I INPUT -p tcp --dport $i -j ACCEPT;done ## -- Accepta orice pachet de la DNS-uri (port sursa 53) - doar cele listate in "/etc/resolv.conf" cat /etc/resolv.conf | \ awk '/^nameserver/ {print $2}' | \ xargs -n1 iptables -I INPUT -p udp --sport 53 -j ACCEPT -s echo "done, fw active." return 0 } firewall_status () { echo "fw status: " iptables -L -n -v return 0 } firewall_stop () { echo "ok. fw stop, clearing rules." iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -F iptables -Z iptables -X iptables -F -t nat iptables -Z -t nat iptables -Z -t nat iptables -F -t mangle iptables -Z -t mangle iptables -X -t mangle return 0 } case "$1" in start) firewall_start ;; stop) firewall_stop ;; status) firewall_status ;; *) echo "Folosire: $0 {start|status|stop}" exit 1 esac exit 0 ------------------------------- Daca doriti sa puneti tutorialul pe un alt site, va rog sa specificati sursa: https://rstcenter.com/forum/46641-firewall-minimal-pentru-linux.rst "Avem a multumi"
  2. Ati vazut cum arata un chat al unui forum de securitate ? Cam asa ceva: (23:16:03) RST: silvian0 logs out of the Chat. (23:16:10) rst_bot :> (23:16:13) RST: silvian0 logs into the Chat. (23:16:17) Greywords: (23:16:17) rst_bot silvian0 camarade, bine ai venit! (23:16:22) rst_bot datias m*ie pana te caci sloboz! (23:16:27) rst_bot Greywords pisam-as pe tine sa-ti purific sufletu (23:16:30) silvian0: o sugi (23:16:32) flux: )))))))))))0 (23:16:39) Greywords: =))00 (23:16:45) silvian0: ) (23:16:49) flux: )))) (23:16:50) Greywords: o purific pe mata cu sperma meaa (23:16:52) silvian0: !injura ba bou dracu (23:17:07) rst_bot Greywords pisam-as pe tine sa-ti purific sufletu (23:17:09) silvian0: !injura adminu (23:17:13) silvian0: !injura basescu (23:17:15) silvian0: !injura boc (23:17:18) silvian0: !injura udrea (23:17:22) silvian0: !injura ceausescu (23:17:22) Greywords: muie ma ca ai mai zis asta (23:17:27) silvian0: !injura injuratura (23:17:27) rst_bot Greywords, asa te-a invatat ma-ta sa vorbesti? (23:17:33) rst_bot Greywords (23:17:37) Greywords: papagalul drq (23:17:39) silvian0: ) (23:18:18) silvian0: apa plata ma (23:18:27) silvian0: bot cacat (23:18:32) silvian0: pula (23:18:33) silvian0: pizda (23:18:36) silvian0: mata (23:18:46) rst_bot Greywords la naiba in cur sa te f*ta (23:18:46) Greywords: nu te place (23:18:51) rst_bot silvian0, asa te-a invatat ma-ta sa vorbesti? (23:19:05) silvian0: ) (23:19:07) rst_bot ... ia pula ) (23:19:09) Greywords: vezi (23:19:09) silvian0: sugi pula de bot! (23:19:11) rst_bot silvian0, asa te-a invatat ma-ta sa vorbesti? (23:19:15) Greywords: huaaa (23:19:16) silvian0: ) (23:19:23) RST: xet has been logged out (Timeout). (23:19:25) silvian0: sugi pula botuleeeeee~ (23:19:25) Greywords: _)_ bot (23:19:26) silvian0: ! (23:19:26) rst_bot Greywords daiai limbi lu naomi! (23:19:31) rst_bot silvian0, asa te-a invatat ma-ta sa vorbesti? (23:19:39) Greywords: bot ratat cacat pisat turbat handicapat (23:19:47) rst_bot /msg rst_bot !injura Greywords (23:19:53) Greywords: ) (23:20:01) flux: ))) (23:20:04) Greywords: te-ai dat de gol flux (23:20:11) rst_bot dati toti comanda asta (23:20:14) flux: eu? (23:20:17) flux: )) (23:20:31) rst_bot Greywords simplu si la obiect : Mata-i curva (23:20:40) silvian0: !injura LLegoLLas (23:20:44) flux: )))))))))))))))))))))) MAXIM ))))) (23:20:47) RST: endemic has been logged out (Timeout). (23:20:52) Greywords: )))))) (23:21:16) Greywords: firar (23:21:18) Greywords: cum drq (23:21:19) rst_bot _injura allowed. (23:21:32) silvian0: _injura salam (23:21:36) Greywords: !injura bunica (23:21:36) rst_bot bunica s-a auzit in tara d-un grup de alcoolisti / Ce dau musetel lu` steaua si-s ANTI-rapidisti / Sunt imbracati in rosu culoarea cea misto / Dau foc la stadioane sunt fanii DINAMO / S-a auzit ca-n ghencea-i o galerie tare / Isi spune armata ultra` se crede cea mai mare / Am fost la ei acasa da` n-au avut noroc / Intai le-am dat la MUIE apoi le-am dat si foc ! (23:21:41) rst_bot flux luatias fata in wc sa`ti traumatizez ochii (23:21:49) silvian0: )))) (23:21:50) flux: baaa (23:21:52) Greywords: (23:21:52) flux: ))) (23:22:01) rst_bot Greywords sugi pwla cu becu stins (23:22:06) rst_bot flux ejti de la tara sau faci naveta?? (23:22:08) RST: MrRip logs into the Chat. (23:22:11) rst_bot MrRip camarade, bine ai venit! (23:22:14) flux: ) (23:22:16) rst_bot flux pisamas pe tine sa`ti dau valoare ! (23:22:21) Greywords: iesi (23:22:21) rst_bot MrRip nu ma necaji ma cotoflete, puta de sobolan infipta intr-un borcan de alifie este de fapt o stafie magalie rupta in iaurtul ma-tii ma carnat cacat de ma-ta in trei siroaie cacacioase umplute cu umplutura caii hamurile tragand p*la din ma-ta!! (23:22:35) rst_bot (silvian0): /privmsg !injura MrRip (23:22:36) rst_bot flux chiar va place sa va injurati intre voi ! penibili cred ca 2 din 10 are de la 15 ani in sus ! (23:22:41) rst_bot MrRip [/color] (23:22:46) flux: ))) (23:22:46) rst_bot Greywords bashti kmi iei umbra .... (23:22:51) silvian0: -))))))) (23:22:51) flux: silvian0 ))) (23:22:56) flux: (14:22:35) rst_bot (silvian0): /privmsg !injura MrRip (23:22:56) rst_bot MrRip faci si mie o sugeala ? (23:23:05) Greywords: ) (23:23:14) silvian0: )))) PS: Sectiunea "Cele mai penale posturi" nu este gresita. Se incadreaza perfect aici. Ce ziceti, are rost sa tinem chat-ul pentru o adunatura care il folosesc doar pentru a injura ? Sau facem ceva reguli si acolo.
  3. Ceva mai de calitate ca "ie" multe rebuturi, sau cum ? Te mananca limba rau ...daca ai deschis threadul asta. Inseamna ca ai 'Cucu' mic sau nu te ajuta mecla ... de vrei sa dai bani la femei pentru asa ceva Poate ne ajuta un admin cu inchiderea threadului, pana nu se fac 5000 de post-uri pentru un rupt de laba.
  4. Daca esti winblowsist, nu ai de unde sa stii ca in linux este vorba de permisiuni/posix/owneri. Cred ca nu faci parte din categoria care ar juca mahjong dupa super user. Iti dau un account shell sa-ti arat ca nu-i poti face nimic sa-i periclitezi securitatea. Ba mai mult, pot pune account-ul shell pe forum, sa incerce toata lumea. In spatele interfetei pe care o vezi, se intampla acelasi lucru. Prefer sa vad ce anume incarca si ce se intampla cand booteaza. Programezi in .NET si vei rula "moluzul" programat doar pe winblows. Nu exista portabilitate si este praf. - Este gratuit. - Este stabil. - Pot face debugging la orice aplicatie. - Pot compila fara sa instalez 400 MB de rahat ca pe windows - Pot vedea absolut tot ce tine de networking - Cel mai important lucru: Am CLI. Pot configura si instala de zeci de ori mai repede orice aplicatie. - Nu dau restart ca in filmele cu idioti dupa fiecare rahat.exe Daca este vorba de evolutie, de ce iti este greu sa accepti ceva nou. Nu a zis nimeni sa-ti pui windows sau linux sau orice alt OS. Este un thread in care se discuta despre diferente, avantaje si dezavantaje. Windows is multitasking, it can boot and crash at the same time.
  5. Debian. Poti vedea asta: http://rstcenter.com/forum/46459-tutorial-configurare-debian.rst Nu mai pune apache, lasi nginx si pui php-fpm.
  6. Daca ai deja firma, trebuie sa iei in calcul urmatoarele cheltuieli: - 1 server dedicat pentru inceput (consola ipkvm, la el. Sa ai control total in caz ca moare ceva sau nu iti mai booteaza dupa un upgrade): 150-200 euro/luna - 100-150 euro/luna pentru un sysadmin part time - licente legate de control panele sau ce doresti pe server. Poti si fara ele eventual, sau daca ai cunostinte, faci ceva custom made pentru jocuri (start/stop/restart) pentru clienti
  7. - un planning care sa cuprinda cheltuiala pe urmatoarele 3 luni si posibilitatea de a amortiza cheltuiala lunara dupa acest timp. - firma (un srl sau micro inteprindere), daca esti in RO - contract cu o alta firma care ofera servere dedicate, de preferabil sa fie reteaua lor, nu cumparate la altii si asa mai departe. - server(e) dedicate. - un sysadmin bun .........
  8. aaxine+svgalib = se vad perfect divix-urile direct pe consola (fara gui)
  9. Mie imi place cam tot ce tine de CLI. Am avut o perioada de aproximativ 2 ani in care am folosit doar CLI. Pentru email foloseam pine, pentru navigare pe web foloseam links -g, pentru vazut filme aaxine ... etc. CLI-ul te face sa te adaptezi mai bine la multe chestii.
  10. Un PDF foarte interesant despre chipset-ul vPro (Intel Q35) – Introducing Ring 3 Rootkits. Autori: Alexander Tereshkin si Rafal Wojtczuk (Invisible Things Lab) Note: - Multumiri lui Andrei pentru PDF. - Ramanem la ideea ca cel mai sigur sistem este acela deconectat de la tensiune?!
  11. Nu am sa insist asupra posibilitatilor vaste de a face captura de trafic ale tcpdump-ului, in schimb, o sa va prezint cateva notiuni de baza pe care le consider cele mai utile. Pentru cei care se intreaba ce pot face cu tcpdump: - Interceptare informatii (necriptate) - Debug aplicatii retea (care utilizeaza reteaua) - Monitorizare retea - Posibilitatea vizualizarii pachetelor invalide. - // - multe altele - // - Pentru afisarea tuturor pachetelor URG tcpdump 'tcp[13] & 32 != 0' Pentru afisarea tuturor pachetelor ACK tcpdump 'tcp[13] & 16 != 0' Pentru afisarea pachetelor PSH tcpdump 'tcp[13] & 8 != 0' Pentru afisarea pachetelor RST tcpdump 'tcp[13] & 4 != 0' Pentru afisarea tuturor pachetelor SYN tcpdump 'tcp[13] & 2 != 0' Pentru afisarea tuturor pachetelor FIN tcpdump 'tcp[13] & 1 != 0' Pentru afisarea tuturor pachetelor SYN-ACK tcpdump 'tcp[13] = 18' Pentru a afisa traficul numai “de la” sau “catre” o adresa IP tcpdump host 4.2.2.2 Sau, cu specificarea interfetei de retea: tcpdump -pni fxp0 host 4.2.2.2 Pentru a afisa traficul doar de la un anumit subnet sau o clasa de adrese ip: tcpdump -pni fxp0 net 4.2.2.0/24 Pentru a afisa traficul doar dupa un anumit port: Port sursa 80 tcpdump -n src port 80 Port destinatie 80 tcpdump -n dst port 80 Pentru a afisa doar traficul pe un anumit protocol (icmp, tcp, udp * exemplul este pentru icmp): tcpdump -n icmp Pentru a exclude un anumit port atunci cand folositi tcpdump (exemplu: port 22) este necesar sa specificati in comanda tcpdump sintaxa “port not XX” (port not 22) ca in exemplele de mai jos. In acest caz, excludeti traficul facut de conexiunea ssh. Monitorizeaza tot traficul exceptand port 22 tcpdump -n port not 22 Monitorizeaza tot traficul de pe interfata fxp0 exceptand port 22 tcpdump -ni fxp0 port not 22 Note: - fxp0 este numele interfetei de retea (Intel PRO/100) pe FreeBSD. Pe linux, aveti eth0. - Sursa acestui tutorial nu este specificata pentru ca este facut de mine (si inspirat din sfantul manual) - Daca aveti intrebari, sunt binevenite.
  12. In retelistica, o routa blackhole (nullroute) nu routeaza nici un pachet ce se potriveste cu prefixul specificat la aplicarea regulilor. Pachetele ce se potrivesc sunt ignorate si nu transmise / retransmise sau filtrate, astfel incat, procedeul nullrouting functioneaza ca un paravan de protectie, numindu-se "Blackhole routing" sau "Filtrare Blackhole". Nullrouting-ul are un avantaj major fata de filtrarea clasica a pachetelor deoarece nu are nici un impact asupra performantei (pachetele sunt pur si simplu ignorate si nu procesate !). Desigur, latimea de banda este epuizata in cazul unui atac ddos. Puteti vedea in exemplele de mai jos cum se poate adauga un nullroute: Nullroute pe Linux utilizand 'route' (o singura adresa ip) route add -host x.x.x.x reject Note: - Cand adaugam un subnet in nullroute punem ca argument la comanda '-net' si prefixul corespunzator. - Cand adaugam o singura adresa ip, argumentul este intotdeauna '-host' Exemplu adaugare nullroute pe o clasa C (CIDR) route add -net x.x.x.0/24 reject Nullroute pe Linux utilizant 'iproute' (o singura adresa ip, puteti specifica alt prefix pentru mai multe) ip route add blackhole x.x.x.x/32 Nullroute pe Solaris (Sunos) si sisteme *BSD* (FreeBSD, NetBSD, OpenBSD) route add -host x.x.x.x 127.0.0.1 -blackhole Note: - Daca doriti sa scoateti o routa adaugata, folositi 'del' in loc de 'add' - Sursa acestui tutorial nu este specificata pentru ca este facut de mine. - Daca aveti intrebari, sunt binevenite.
  13. Pentru wordpress, cele mai bune puncte de plecare sunt aici: Wordpress function reference Wordpress template tags Gasesti acolo mai mult decat iti este necesar.
  14. De ce arduino "fu taina", de alea din romania cu chipul lipit direct pe placa (fara soclu) si cu un prapadit de ARM? Te cam contrazici singur. Prima oara ai spus ca e normal "sa vada" dincolo de perete, pentru ca e rigips (desi, poate stii ca si ala este pus pe o structura de metal(montanti)), iar apoi ai zis ca e fake. Daca te uiti putin pe aici, o sa vezi ca oamenii nu sunt zidari ... Apropo de banuiala ta in legatura cu ce am facut la automatica sau nu, ori daca am lucrat. Am facut calculatoare de bord pentru Boeing in Franta. E suficient ? Ideea era alta. Este o chestie care o sa fie dezvoltata, nu trebuie sa scuipi orice proiect. Mie clip-ul imi pare real si are logica. (este perfect realizabil ce este prezentat acolo) si si-a atins scopul. Nu te mai gandi la "ce ar fi daca ..." ar fi in fata lui un panou de metal sau un tractor. Acolo e o simpla jucarie cu oarece senzori low cost (nu sunt gama industriala, aia sigur)
  15. Nu este vorba ca trece sau nu prin ceva anume. Interesant este conceptul lui de functionare si sincronizarea intre senzorii de detectie si miscarea lui. Daca stai sa te gandesti putin, acelasi model o sa fie implementat pe masini, pentru a evita accidentele. (deja sunt unele masini echipate cu asa ceva). Aparent, orice jucarie de genul de care multi rad, este un proiect de plecare pentru alte realizari mai mari. Crezi ca robotii industriali ABB IRB au fost facuti din prima sa fie precisi si sa faca ce fac in zilele noastre ? Au fost tot la stadiul de jucarii la inceput. Apropo de cunostinte in domeniu, eu am terminat la automatica (si nu scoala ce se face acum .... faceam 12 ore pe zi). Limitandu-ne strict la doppler, acesta este folosit la foarte multe sisteme de alarma, masini, sisteme industriale si altele. Daca ai avea un astfel de sistem pe masina, ti-ar folosi sa vezi ce este dincolo de un panou blindat ? (nu vad rostul) ps: vezi ca sunt unde ultrasonice care trec prin metal. (chiar si arme, concepute pe acelasi principiu)
  16. Salut, Te poti uita aici la specificatiile tehnice. // edit: cu placere.
  17. hacknoc, nu-l iei tu de mana pe Gandalf si sa va duceti spre preafericitele noastre vrejuri ? Ala acum doua ore a descoperit si el ca exista ftp public si l-a pus la ShowOff crezand ca l-a spart. Acum apare cu texte penale ca se i-a nu stiu cine de hackeri. Se ia de idioti ca el, nu de hackeri. Tu stii ce inseamna hacker ? @GandalfXBIT: Daca prostia bate fundul, cred ca tu esti deja spart la fund.
  18. Acest tutorial este adresat celor care doresc sa isi configureze un server cu Debian. O sa acopar in in el urmatoarele aspecte: 1. Instalare kernel cu grsec. 2. Instalare si configurare apache. 3. Instalare si configurare php. 4. Instalare si module php (extensii). 5. Configurare suhosin. 6. Instalare MySQL Server. 7. Modificari diverse permisiuni pentru un nivel mai bun de securitate 8. Instalare nginx si folosirea lui ca frontend pentru apache (dual strat web server) ---------------- 1. Instalare kernel cu grsec. Daca nu stiti inca ce este grsec/grsecurity, un bun punct de plecare este Grsecurity. Pentru linux, grsecurity este un fel de "sfantul graal" in materie de securitate. In plus, va scapa de o problema ce o are linux si care pe mine ma irita: ps aux dupa user, arata toate procesele. root@tex:~# echo "deb http://debian.cr0.org/repo/ kernel-security/" >> /etc/apt/sources.list root@tex:~# wget http://kernelsec.cr0.org/kernel-security.asc root@tex:~# apt-key add kernel-security.asc OK root@tex:~# apt-get update root@tex:~# apt-cache search grsec linux-source-2.6.32.15-1-grsec - Linux kernel source for version 2.6.32.15-1-grsec linux-source-2.6.25.10-1-grsec - Linux kernel source for version 2.6.25.10-1-grsec linux-image-2.6.32.15-1-grsec - Linux kernel binary image for version 2.6.32.15-1-grsec linux-headers-2.6.32.15-1-grsec - Header files related to Linux kernel, specifically, linux-source-2.6.27.29-4-grsec - Linux kernel source for version 2.6.27.29-4-grsec root@tex:~# apt-get install linux-image-2.6.32.15-1-grsec linux-headers-2.6.32.15-1-grsec root@tex:~# init 6 # aici dam reboot pentru a boota noul kernel. // Dupa reboot root@tex:~# uname -a Linux tex 2.6.32.15-1-grsec #2 SMP Mon Jun 28 09:05:30 CEST 2010 x86_64 GNU/Linux root@tex:~# su - tex tex@tex:~$ ps aux USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND tex 2103 0.6 0.1 36908 1276 pts/0 S 00:58 0:00 su - tex tex 2104 13.0 0.6 23380 6200 pts/0 S 00:58 0:00 -su tex 2129 0.0 0.1 16332 1176 pts/0 R+ 00:58 0:00 ps aux Din cate observati, vad doar procesele mele dupa user. 2. Instalare si configurare apache. root@tex:~# apt-get install apache2-mpm-prefork apache2.2-common apache2.2-bin root@tex:~# rm /etc/apache2/sites-available/default root@tex:~# cat >> /etc/apache2/sites-available/default << EOF > NameVirtualHost * > > <Directory "/var/www"> > AllowOverride AuthConfig FileInfo Options Indexes Limit > Options FollowSymLinks > Options -Indexes > </Directory> > > <VirtualHost *> > DocumentRoot /var/www > ServerName 10.0.0.220 > CustomLog /var/log/apache2/access_log combined > ErrorLog /var/log/apache2/error_log > </VirtualHost> > EOF root@tex:~# Apache o sa-l listam pe 127.0.0.1 port 81 si o sa fie backend. root@tex:~# echo "Listen 127.0.0.1:81" > /etc/apache2/ports.conf root@tex:~# /etc/init.d/apache2 start 3. Instalare si configurare php (plus libapache2-mod-php5, necesar la apache (mod php)) PHP-ul o sa-l instalez de la dotdeb. root@tex:~# echo "deb http://packages.dotdeb.org stable all" >> /etc/apt/sources.list root@tex:~# echo "deb-src http://packages.dotdeb.org stable all" >> /etc/apt/sources.list root@tex:~# wget http://www.dotdeb.org/dotdeb.gpg root@tex:~# cat dotdeb.gpg |apt-key add - && rm dotdeb.gpg OK root@tex:~# apt-get update root@tex:~# apt-get install php5 php5-cli libapache2-mod-php5 php5-common php5-suhosin Inlocuiesc "expose_php = On" cu "expose_php = Off" / "short_open_tag = Off" cu "short_open_tag = On" si "session.name = PHPSESSID" cu "session.name = SERVLET" in php.ini pentru apache2. root@tex:~# perl -pi -e 's/expose_php = On/expose_php = Off/' /etc/php5/apache2/php.ini root@tex:~# perl -pi -e 's/short_open_tag = Off/short_open_tag = On/' /etc/php5/apache2/php.ini root@tex:~# perl -pi -e 's/PHPSESSID/SERVLET/' /etc/php5/apache2/php.ini 4. Instalare si configurare module php (extensii). O sa instalez urmatoarele extensii php: curl, gd, mcrypt, mysql. root@tex:~# apt-get install php5-curl php5-gd php5-mcrypt php5-mysql 5. Configurare suhosin. Din motive de securitate, o sa adaug in blacklisted utilizand suhosin urmatoarele functii: exec,shell_exec,passthru,show_source,dl,leak,ini_alter,ini_restore,proc_open,proc_nice,proc_terminate,proc_close,proc_get_status,symlink,system,popen,pcntl_getpriority,pcntl_wait,diskfreespace,disk_free_space,disk_total_space,get_current_user,stream_socket_accept,stream_socket_client,stream_socket_get_name,stream_socket_recvfrom,stream_socket_sendto,stream_socket_server,stream_socket_shutdown root@tex:~# cat >> /etc/php5/conf.d/suhosin.ini << EOF > > suhosin.executor.func.blacklist = "exec,shell_exec,passthru,show_source,dl,leak,ini_alter,ini_restore,proc_open,proc_nice,proc_terminate,proc_close,proc_get_status,symlink,system,popen,pcntl_getpriority,pcntl_wait,diskfreespace,disk_free_space,disk_total_space,get_current_user,stream_socket_accept,stream_socket_client,stream_socket_get_name,stream_socket_recvfrom,stream_socket_sendto,stream_socket_server,stream_socket_shutdown" > suhosin.cookie.max_array_depth = 256 > suhosin.cookie.max_array_index_length = 256 > suhosin.cookie.max_name_length = 256 > suhosin.cookie.max_totalname_length = 512 > suhosin.cookie.max_value_length = 20000 > suhosin.cookie.max_vars = 200 > suhosin.get.max_array_depth = 200 > suhosin.get.max_totalname_length = 1024 > suhosin.get.max_value_length = 1024 > suhosin.get.max_vars = 1024 > > > suhosin.post.max_array_depth = 1024 > suhosin.post.max_array_index_length = 1024 > suhosin.post.max_name_length = 1024 > suhosin.post.max_totalname_length = 1024 > suhosin.post.max_value_length = 95000 > suhosin.post.max_vars = 1024 > > suhosin.request.max_vars = 512 > suhosin.request.max_value_length = 90000 > suhosin.request.max_totalname_length = 1024 > suhosin.upload.max_uploads = 400 > > suhosin.executor.include.max_traversal = 2 > > EOF root@tex:~# Cam asa arata php in cli: root@tex:~# php -v PHP 5.3.8-1~dotdeb.2 with Suhosin-Patch (cli) (built: Aug 25 2011 13:30:46) Copyright (c) 1997-2011 The PHP Group Zend Engine v2.3.0, Copyright (c) 1998-2011 Zend Technologies with Suhosin v0.9.32.1, Copyright (c) 2007-2010, by SektionEins GmbH root@tex:~# 6. Instalare MySQL Server si MySQL Client root@tex:~# apt-get install mysql-client-5.5 mysql-server-5.5 7. Modificari diverse permisiuni pentru un nivel mai bun de securitate Mountam tmpfs in /tmp cu flag-urile "noexec,nosuid,nodev" din motive de securitate. root@tex:~# echo "tmpfs /tmp tmpfs noexec,nosuid,nodev 2 2" >> /etc/fstab root@tex:~# mount /tmp root@tex:~# mount |grep "/tmp" tmpfs on /tmp type tmpfs (rw,noexec,nosuid,nodev) Stergem "/var/tmp" si il facem simlink catre tmp. root@tex:~# rm -rf /var/tmp/ && ln -s /tmp /var/tmp Dam chmod 640 la "/dev/shm" din motive de securitate. root@tex:~# chmod 640 /dev/shm 8. Instalare nginx si folosirea lui ca frontend pentru apache (dual strat web server) O sa listam port 80 cu nginx si o sa-l folosim ca frontend pentru apache, care se listeaza pe 127.0.0.1 port 81. (reverse proxy) root@tex:~# apt-get install nginx root@tex:~# rm /etc/nginx/sites-enabled/default root@tex:~# pico /etc/nginx/sites-enabled/default # fisier configuratie server { listen 0.0.0.0:80 default; server_name _; access_log off; error_log /dev/null; location / { proxy_pass http://127.0.0.1:81; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } Pornim nginx-ul. root@tex:~# /etc/init.d/nginx start Starting nginx: nginx. root@tex:~# [URL="http://i42.tinypic.com/121zmtx.png"]O sa pun un phpinfo in "/var/www/"[/URL] pentru a vedea daca este totul in ordine si o sa sterg index.html (default) root@tex:~# echo "<?php phpinfo(); ?>" >> /var/www/index.php root@tex:~# rm /var/www/index.html // restart la apache. root@tex:~# /etc/init.d/apache2 restart --------- Note: - Daca aveti intrebari legate de acest tutorial, va raspund cu cea mai mare placere. - Imi cer scuze pentru eventualele greseli legate de exprimare (am cam tras chiulul de la somn) - Nu am specificat sursa acestui tutorial pentru ca este facut de mine.
  19. Hai sictir fa, cred ca te prindea bine rolul. Mentalitate de romulan. Cand vine vorba ca nu merge ceva bine in tara, aratati cu degetul la presedinte/guvern/etc. La rahaturi de inselaciuni dinastea de nimic va sta gandul. Deci dupa tine, asta e tutorial? La ce altceva mai injositor te poti preta ? Hai ca poate facem cheta pe rst sa ne faci si noua un show.
  20. Da dude, o platesc .. in parastasul ei. Cum sa vorbesti cu toti cocalarii pe messenger si sa pierzi timpul aiurea. Iauzi la el, fake webcam pentru credit pe telefon. Bine ca nu ai zis ca le puneai filme cu gay. Si daca sunt saracie, eu nu ma prostituez pe net in pana mea pentru 1 cent pe minut Iauzi la el ... tutorial, mare ti-e gradina doamne. Bine ca nu ai zis ca e "Social Engineering" asta.
  21. Si eu credeam ca numai damele practica prostitutia. Apropo, exista cuvantul "CURV" ? Ce saracia de tutorial e asta bre. I-ar sta bine la 'Cele mai penale'.
  22. http://i44.tinypic.com/157ypdw.png Sincer, eu nu cred in dumnezei si parastasi si astea. Imi pare trasa de par religia. "E Dumnezeu atotputernic? Poate El sa faca orice?" - Ia sa ne faca si noua un SQLi pe RST. Religia este folosita pentru control, razboaie, etc ... Daca va spun ca fata lui Basescu imi face oral in fiecare dimineata, nu ma credeti. In schimb credeti ceva ce nu a vazut nimeni
  23. Merci, e super util. (intrebasem pe injectorteam de curiozitate, oricum sunt convins ca nu stie ce se intampla in spatele unei aplicatii web) PS: Normal ar trebui oarece trim/stripslashes/mysql_real_escape_string pe acolo, sau nu?!
  24. "Aulele", ia ma si "ceteste" intai, sa nu mai razi ca ce esti ...
  25. Sunt ceva malahisti care nu au ce face si dau flood. In fata serverului este un sistem de filtrare mai complex (policy routing/multi-path). Cand se detecteaza atacuri syn mai de proportie, se intrerupe "servirea" pana la filtrare. Chestia poate dura 10-60 sec. Daca natura atacului face sa nu poata fi filtrat in mod automat, se trimit notificari la admini pentru a interveni manual (sampling la flow, filtering la nivel de bgp, etc ...), iar asta poate dura in jur de 10-15 minute. O alta chestie, daca dai refresh-uri prea multe sau browserul creeaza mult mai multe sesiuni tcp decat trebuie, sursa ip este blocata pentru 10 minute. Chestia cu intreruperea serviciului pana la filtrare o sa fie rezolvata curand.
×
×
  • Create New...