Проруби окно в Европу!

Vint (vint@crazy.ru)

Спецвыпуск Xakep, номер #042, стр. 042-078-5

Очень часто необходимо отправлять трафик с какого-то порта по другому маршруту. Так я сделал своим пользователям бесплатную аську только потому, что есть бесплатный, правда медленный, инет-канал. WWW он бы не потянул, а аську - пожалуйста. Вот как следует это реализовать (в случае если бесплатный инет подцеплен к eth3):

Отмечаем пакеты, идущие на 5222 порт:

# iptables -A PREROUTING -i eth0 -t mangle -p tcp --dport 5222 \ -j MARK --set-mark 2

Добавляем правило для таких выделенных пакетов:

# echo 202 ICQ.out >> /etc/iproute5/rt_tables

# ip rule add fwmark 5 table ICQ.out

# ip route add default via 192.168.0.2 dev eth3 table ICQ.out

# ip route flush cache

После этого все пакеты пойдут по нужному маршруту. Рассказать полностью о маршрутизации в Линуксе в рамках одной статьи невозможно. Мы показали только самые основные варианты организации роутинга.

Детектор атак Tripwire

Для создания полноценного гейт-сервера просто необходимо поставить детектор кракерских атак.

Для использования на нашем сервере мы выбрали Tripwire (www.tripwiresecurity.com или www.tripwire.org). Принцип работы софтины: при установке проводится полная ревизия всех основных системных файлов (конфиг-файлы, БД, запускные файлы, драйвера и т.д.), в результате которой создается база данных, индивидуальная для каждого сервера. Эта БД содержит размер, контрольную сумму и другие данные о защищаемых файлах, а чтобы нельзя было подменить инфу о системе, вся база еще и зашифрована (El Gamal с ключом 1024 бита, что совсем не хило). После скачивания дистрибутива его необходимо установить в соответствии с алгоритмом, указанным на соответствующей врезке.

1. Разархивируем все исходники в каталог, переходим в него.

2. В файле Makefile исправим вот такие строки:

LEX = lex на LEX = flex

CC=gcc на CC=egcs

DESTDIR = /usr/local/bin/tw на DESTDIR = /usr/sbin

DATADIR = /var/tripwire на DATADIR = /var/spool/tripwire

3. После этого root отдает вот такие команды:

# make

# make install

4. Повышаем безопасность рабочих каталогов:

# chmod 700 /var/spool/tripwire/

# chmod 500 /usr/sbin/siggen

# chmod 500 /usr/sbin/tripwire

# rm -f /usr/sbin/tw.config

5. Копируем tw.config в /etc и скрипт tripwire.verify в /etc/cron.daily

6. Создаем файл tw.config (/etc/tw.config), в который следует прописать основные директории сервера. Формат файла такой:

# особое внимание для домашней директории рута

/root R

# Другие важные файлы и каталоги

/chroot R

/etc R

/etc/inetd.conf R

7. Защищаем файл от лишних глаз и рук:

chmod 600 /etc/tw.config

После этого основные настройки выполнены. Можешь пробовать защиту сервера на зуб.

Happy End

И напоследок – пара советов, позволяющих здорово уменьшить вероятность взлома твоего сервера:

- своевременно обновляй пакеты дистрибутива (рассылка по ALT security-announce@altlinux.ru);

- проверяй пароли утилитой passwd;

- используй разные пароли на похожие учетные записи и сервисы;

- удаленный админ - только через SSH;

- почаще используй tripwire;

- читай факи по безопасности.

Снифинг: Использование защищенных протоколов типа SSH