Nuovo Router ==> DMZ

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Nokao
Linux 1.x
Linux 1.x
Messaggi: 115
Iscritto il: ven 7 gen 2005, 0:00
Contatta:

Nuovo Router ==> DMZ

Messaggio da Nokao »

DMZ... ovvero, de-militarized zone.
<BR>Proietta un ip della rete all´esterno, come se quel pc avesse un modem.
<BR>
<BR>Ho ovviamente scelto il mio server slackware, il che mi ha risolto molti problemi... ma come faccio per assicurarmi che non succedano casini?
<BR>
<BR>Non ho mai settato nulla sull´iptables... e questo e´ il risultato di un nmap:
<BR>nmap -p 1-65535 localhost
<BR>
<BR>Starting nmap 3.75 ( <a href="http://www.insecure.org/nmap/" target="_blank" target="_new">http://www.insecure.org/nmap/</a> ) at 2005-03-10 15:20 CET
<BR>Interesting ports on localhost (127.0.0.1):
<BR>(The 65519 ports scanned but not shown below are in state: closed)
<BR>PORT STATE SERVICE
<BR>22/tcp open ssh
<BR>37/tcp open time
<BR>80/tcp open http
<BR>113/tcp open auth
<BR>139/tcp open netbios-ssn
<BR>445/tcp open microsoft-ds
<BR>1213/tcp open unknown
<BR>3306/tcp open mysql
<BR>4002/tcp open unknown
<BR>4662/tcp open unknown
<BR>9181/tcp open unknown
<BR>14000/tcp open unknown
<BR>14001/tcp open unknown
<BR>14080/tcp open unknown
<BR>14534/tcp open unknown
<BR>51234/tcp open unknown
<BR>
<BR>Nmap run completed -- 1 IP address (1 host up) scanned in 12.262 seconds
<BR>
<BR>Attendo consigli :)
<BR>Non conosco la natura di 5 di queste porte aperte, come posso approfondire il problema?
<BR>
<BR>P.S. Vorrei anche eliminare uno a uno gli utenti di default che la slack crea dopo l´installazione, o per lo meno eliminare loro la possibilita´ di loggarsi via ssh.
<BR>Come posso fare?<BR><BR>[ Questo Messaggio è stato Modificato da: Nokao il 10-03-2005 15:25 ]<br>

Avatar utente
manny
Linux 2.x
Linux 2.x
Messaggi: 278
Iscritto il: mer 29 ott 2003, 0:00
Slackware: 13.1 (fisso)
Kernel: 2.6.33.4
Desktop: kde
Distribuzione: Debian 5 (notebook)

Nuovo Router ==> DMZ

Messaggio da manny »

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR> 10-03-2005 alle ore 15:23, Nokao :
<BR>
<BR>P.S. Vorrei anche eliminare uno a uno gli utenti di default che la slack crea dopo l´installazione, o per lo meno eliminare loro la possibilita´ di loggarsi via ssh.
<BR>Come posso fare?[ Questo Messaggio è stato Modificato da: Nokao il 10-03-2005 15:25 ]<br>
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>Devi modificare 2 righe nel file di config di ssh:
<BR>
<BR>pico /etc/ssh/sshd_config
<BR>
<BR>PermitRootLogin no #di serie dovrebbe essere yes
<BR>AllowUsers nome_utente_che_vuoi
<BR>
<BR>Salvi e riavvii ssh (cioè: /etc/rc.d/rc.sshd restart)
<BR>
<BR>Ciao,
<BR>Manny
<BR>

Nokao
Linux 1.x
Linux 1.x
Messaggi: 115
Iscritto il: ven 7 gen 2005, 0:00
Contatta:

Nuovo Router ==> DMZ

Messaggio da Nokao »

PermitRootLogin no #di serie dovrebbe essere yes
<BR>Io lo voglio yes... altrimenti senza root cosa combino...
<BR>
<BR>AllowUsers nome_utente_che_vuoi
<BR>Non ho nemmeno una riga che comincia con AllowUsers, e´ normale?
<BR>Vuol dire che devo semplicemente inserirle io?
<BR>
<BR>Devo mettere una riga per ogni utente o ci sono dei separatori da rispettare per mettere tutto su una riga?

Avatar utente
useless
Staff
Staff
Messaggi: 3896
Iscritto il: dom 12 ott 2003, 0:00
Località: A place where the streets have no name
Contatta:

Nuovo Router ==> DMZ

Messaggio da useless »

puoi vivere con permitrootlogin no, loggandoti come utente e poi facendo "su". questo rende + difficile entrare nel sistema xké non si sa a priori un nome utente valido, e bisogna pure indovinare 2 password.
<BR>
<BR>quanto agli utenti di default, è meglio non eliminarli, se ci sono è xké hanno uno scopo. inoltre è comunque impossibile loggarsi con questi, dato che non hanno una shell o password valida.

Nokao
Linux 1.x
Linux 1.x
Messaggi: 115
Iscritto il: ven 7 gen 2005, 0:00
Contatta:

Nuovo Router ==> DMZ

Messaggio da Nokao »

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR>quanto agli utenti di default, è meglio non eliminarli, se ci sono è xké hanno uno scopo. inoltre è comunque impossibile loggarsi con questi, dato che non hanno una shell o password valida.
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>Esatto, volevo proprio sapere questo.
<BR>Come rendo non valida la password o shell di un utente senza eliminarlo?
<BR>
<BR>Grazie per l´idea del SU, tentero´ di abituarmi a farlo. E´ la volta buona che inizio a limitare l´uso del root all´interno del mio server... (uso SEMPRE root e a volte non servirebbe)

Nokao
Linux 1.x
Linux 1.x
Messaggi: 115
Iscritto il: ven 7 gen 2005, 0:00
Contatta:

Nuovo Router ==> DMZ

Messaggio da Nokao »

Posso crearmi un utente fantoccio che possa solo loggare e non fare nient´altro?
<BR>
<BR>Cosi´ da poterci solo fare "su" ?
<BR>
<BR>O qualsiasi utente creo (anche con i minimi privilegi) potra´ navigare sempre e comunque per l´hd laddove i file sono in read per "all" ?

Nokao
Linux 1.x
Linux 1.x
Messaggi: 115
Iscritto il: ven 7 gen 2005, 0:00
Contatta:

Nuovo Router ==> DMZ

Messaggio da Nokao »

Che poi per fare la stessa cosa con piu´ stile basta cambiare nome all´utente root.. in teoria su tutti i file dell´hd fa testo l´id di root.. cioe´ 0... non la parola che rappresenta il nome...
<BR>
<BR>In teoria rinominando root in pippo sul passwd pippo diventa il nuovo acc con privilegio di root... giusto?

Avatar utente
manny
Linux 2.x
Linux 2.x
Messaggi: 278
Iscritto il: mer 29 ott 2003, 0:00
Slackware: 13.1 (fisso)
Kernel: 2.6.33.4
Desktop: kde
Distribuzione: Debian 5 (notebook)

Nuovo Router ==> DMZ

Messaggio da manny »

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR> 11-03-2005 alle ore 00:10, Nokao :
<BR>PermitRootLogin no #di serie dovrebbe essere yes
<BR>Io lo voglio yes... altrimenti senza root cosa combino...
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>Ti ha già risposto (perfettamente) useless...
<BR>
<BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR>AllowUsers nome_utente_che_vuoi
<BR>Non ho nemmeno una riga che comincia con AllowUsers, e´ normale?
<BR>Vuol dire che devo semplicemente inserirle io?
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>Si , inserisci pure, se vuoi dare la possibilità a + utenti di loggarsi via ssh, li inserisci sulla stessa riga separati da uno spazio
<BR>
<BR>Ciao,
<BR>Manny

Avatar utente
useless
Staff
Staff
Messaggi: 3896
Iscritto il: dom 12 ott 2003, 0:00
Località: A place where the streets have no name
Contatta:

Nuovo Router ==> DMZ

Messaggio da useless »

x non fare loggare un utente basta dargli una shell fittizia, tipo /bin/false o proprio non dargliela.
<BR>
<BR>non farti poi troppo seghe mentale: disabilita il login da root e usa un utente x fare ssh e su quando ti serve.

Nokao
Linux 1.x
Linux 1.x
Messaggi: 115
Iscritto il: ven 7 gen 2005, 0:00
Contatta:

Nuovo Router ==> DMZ

Messaggio da Nokao »

Come non detto.<BR><BR>[ Questo Messaggio è stato Modificato da: Nokao il 11-03-2005 11:45 ]<br>

Nokao
Linux 1.x
Linux 1.x
Messaggi: 115
Iscritto il: ven 7 gen 2005, 0:00
Contatta:

Nuovo Router ==> DMZ

Messaggio da Nokao »

Vorrei rinominare l´utente root...

Avatar utente
useless
Staff
Staff
Messaggi: 3896
Iscritto il: dom 12 ott 2003, 0:00
Località: A place where the streets have no name
Contatta:

Nuovo Router ==> DMZ

Messaggio da useless »

forse non hai restartato ssh dopo la modifica. rinominare l´utente root non è detto che sia una cosa del tutto indolore.

Splink
Linux 0.x
Linux 0.x
Messaggi: 19
Iscritto il: mer 7 feb 2007, 11:35

Messaggio da Splink »

salve a tutti io ho un modem wirless digicom michelangelo wave;
quello che volevo kiedervi è se conviene o no attivare la funzione DMZ (de-militarized-zone)?
il sistema diventa più sicuro attivando questo DMZ :? :?
e poi un'altra domanda a che serve sul router il virtual server e l'ip filter :?: :?:


:arrow: grazie in anticipo :D

bloodlust
Linux 3.x
Linux 3.x
Messaggi: 523
Iscritto il: mar 14 feb 2006, 12:02
Slackware: -1
Località: it_IT

Messaggio da bloodlust »

Splink ha scritto:conviene o no attivare la funzione DMZ (de-militarized-zone)?
mi sa che non hai ben chiaro cosa sia e a cosa serva una dmz.
ti serve per non tenere servizi esposti all'esterno sulla rete privata quindi per una normale rete casalinga non ti serve a nulla anzi aggiunge complessità e quindi aumenta la possibilità di falle di sicurezza (stai sicuro che se ti compromettono un sistema in dmz un bel mitm non te lo toglie nessuno :lol: )
il sistema diventa più sicuro attivando questo DMZ :? :?
non serve per mettere in sicurezza il sistema dal quale navighi (almeno non direttamente).
e poi un'altra domanda a che serve sul router il virtual server e l'ip filter :?: :?:
premetto che non conosco il router che dici di possedere.

virtual server ti serve per mappare porte (o intervalli di porte) esterne ad indirizzi/porte interni. ti serve per esempio se devi reggere un server http o ftp pubblici sulla rete privata.

IP filter ti permette di filtrare per ip address l'accesso alla rete (o solamente a internet, questo dipende dal software del tuo router).
Piuttosto che usare IP filtering (se il tuo router lo permette ovviamente) usa un filtro sui MAC address, sicuramente meno semplice da eludere (ma non per questo sicuro).

ciao

Rispondi