4 reakce na Linux OS : typy a dotazy

  1. zorgan říká:

    Jak si ověřit číslo portu běžící služby v OS Linux, jenž mají vytvořený zabezpečený tunel localhost ?
    # nmap localhost
    A ověřím zda existuje vzdálené naslouchání, zobrazí PID/program a IP na druhé straně.
    # netstat -ltnp

    Jednoduchý příklad NAT překládání adres na jiné včetně portu :
    # iptables -t nat -A OUTPUT -p all -d 123.45.67.89 -j DNAT –to-destination 127.0.0.1
    -t NAT ( přímé překládání adres )
    -p all ( všechny porty příchozí )
    -d IP4.adresa odchozí
    -j DNAT ( pokud se pravidlo shoduje, packet je vytvořen a cílová adresa se shoduje, přesměřuj )
    –to-destination 127.0.0.1 ( na adresu localhost )

  2. zorgan říká:

    bezpečnost provozu Serveru, či PC s LINUX OS
    Základní bezpečnost serveru, či PC v provozu na internetu
    1.⇒ ujistěte se, že vaše bezpečnostní aktualizace OS jsou aktuální.
    Vypněte si podporu protokolu IP verze 6 ( IPv6).
    V terminálu # sudo nano ⁄etc⁄sysctl.conf
    nano = textový editor,může být i xed
    na konec dat v souboru sysctl.conf připište tyto 3 řádky :
    net.ipv6.conf.all.disable_ipv6 = 1
    net.ipv6.conf.default.disable_ipv6 = 1
    net.ipv6.conf.lo.disable_ipv6 = 1
    Další zrušit microsoft-ds tunel na TCP6
    # sudo xed ⁄etc⁄avahi⁄avahi-daemon.conf
    řádek use-ipv6=no
    řádek publish-a-on-ipv6=no
    Další zrušit NETBIOS na IPV6, který využívá SAMBA
    # sudo xed ⁄etc⁄samba⁄smb.conf
    disable netbios = yes
    smb ports = 445

    2.⇒ root uživatelská práva, není vhodné ponechat uživateli se stejným jménem „root“.
    Je vhodné nejdříve si ověřit zda li mám uživatele s otevřenými právy root vytvořeného a teprve poté mohu zakázat práva uživateli jménem „root“.
    Např. Při používání VPN virtual private network – tunel v internetu, se tato maličkost může stát právě terčem útoků hackerů.
    Vzdálené správě počítače, přístupu k databázím dat serverů.

    3.⇒ Změna portu pro SSH tunelování : zabezpečená komunikace v internetovém prostředí
    Je těžší poté vaši zabezpečenou komunikaci zaseknout. Nemohou SSH zaseknout, když ho nemohou najít.
    Změna čísla portu SSH může rovněž zabránit škodlivým skriptům v přímém připojení na výchozí port (22).
    Chcete-li to, budete muset otevřít /etc/ssh/sshd_config a změnit příslušné nastavení portu z 22 na číslo portu, které si nejprve musíte ověřit a ujistit se, zda kontrolovaný nový port není již obsazený, jinou službou.Nechceme přeci vytvářet střety! Nýbrž zlepšit bezpečnost.

    4.⇒ Otevřené porty na protokolech UDP, TCP, TCP6 a dalších.
    Udržujte si neustálí přehled o otevřených portech ve vaší internetové komunikaci mezi vaším OS a stranou internetu, i třetích stran, i robotů. Tím lépe zajistíte bezpečnost a získáte přehled nad outdoor komunikaci s vámi.
    Výborným pomocníkem příkaz # netstat , který sám dokáže vytvořit několik variant sestav z aktuálního stavu otevřených portů.
    netstat
    # netstat -a | grep tcp vypíše pouze komunikaci na protokolu TCP ( Transmission control protokol ).
    Také příkaz # nmap není jen obyčejným příkazem rovněž, dokáže ověřit jaké porty jsou u vás otevřené pro komunikaci v internetu. # nmap -v scanme.nmap.org
    Je dobré také vědět, jak jsou porty rozděleny rozsahem příchozí a odchozí komunikace:
    porty od 1 do 32767 jsou příchozí. Porty 32768, až 61000 jsou odchozí.

    5.⇒ Rozšířená zpráva firewall, který využívá např. aktualizované data ip-tables specifických rozsahů sítě internetu, které je schopna blokovat okamžitě při vzniku, takové komunikace.
    příkaz # ipblock existuje i v GUI ( grafickém prostředí # sudo ipblock gui ), umí importovat i-block listy.
    ipblock je v poslední verzi 0.29 plně funkční již od roku 2012.
    ipblock terminal
    Doporučuji využít i CIDR databázi rozsahů podle jednotlivých států, která lze využít k pravidlům „deny“ zakázané.

    6.⇒Monitorování a řízení SSH tunelování = vytvoří přímé spojení zabezpečené na úrovni příkazového řádku OS
    K tomu je třeba si uvědomit jaké obrovské možností poskytuje takové spojení k serveru, či vašemu počítači.
    SSH tunel využívá i OS pro přístup do databází služeb systému.
    SSH tunel pracuje v internetu skrze protokol HTTPS ( proto je dobré si default port nastavit na jiný než 443 )
    Co je HTTPS protokol ?
    HTTPS (Hypertext Transfer Protocol Secure) je v informatice protokol umožňující zabezpečenou komunikaci v počítačové síti.
    HTTPS využívá protokol HTTP spolu s protokolem SSL nebo TLS.
    DenyHosts
    příklad ověření otevřeného zabezpečeného spojení port 443 v Linux terminálu # netstat -n –protocol inet | grep ‘:443’
    Ověřit se takto dá i port 22 určený pro Secure Shell tunelování. # netstat -n –protocol inet | grep ‘:22’
    Nebo necháme vypsat všechna spojení na síti : # netstat -n –protocol inet | grep ‘’
    Instalace DenyHost je velmi jednoduchá, je k nalezení ve správci softwaru.
    Ve složce /etc/ naleznete 2 soubory začínající host.* ( # ls /etc/host.* )
    host.deny – zde se zapisují IP adresy blokované
    host.allow – zde se zapisují IP adresy povolené
    Root přístup /var/lib/denyhosts, umožní přístup k aktivním datům a lze zde i rovněž zadávat IP adresy.
    Nepracuje na IPV6 protokolu. Doporučuji IPV6 vypnout. Vypnout na vnitřní síti routeru a počítačích.

  3. zorgan říká:

    GNU LINUX se dokáže přizpůsobit během startu na nový hardware, díky jednotlivým firmware komponentů a HW, GNU Linux dokáží díky svému samostatné částí jádra Linux určeného pouze pro zavedení ovladačů dle obsaženého hardwaru při startu OS.
    OS’s na základě GNU Linux je mnoho v současné době. Většina druhů patří do skupiny Open Source projektů současně probíhajících ve spolupráci celého světa. Jádro GNU Linux přístupné všem dokáže rozpoznat nejvíce hardwaru, oproti komerčním OS systémům současné doby.
    Rozšířenou kompatibilitou pro veškerý HW dostupný na planetě Zemi.
    Linux se přizpůsobí všemu

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *