Názory k článku Linux jako internetová gateway (3)
-
Loockey Fish (neregistrovaný)
No ja to nechci nejak rozvadet.
Je to takove chaoticke. Nejdriv se v tom clanku vysvetluje jak se manipuluje z procesy a zabira to pulku clanku.
Na telnet bych uplne zapomel.Patri minulosti. Prave ze na LAN je proflaknuti hesla tou nejprimitivnejsi veci.
Naky uzivatel se najednou dozvi ze existuje neco jako packet sniffer a staci jedno vase lognuti a heslo roota je tu.A spoofing vam nic nerika?Nejake host.allow a deny vam nepomuze.
Mnohem uzitecnejsi by bylo misto telnetu sem napsat zprovozneni konzole na seriovem portu. Velmi uzitecne toto jest u routeru.
Ssh nutnost co dodat.
Abych taky porad jen nekritizoval. Clanek ma dobrou myslenku.
Myslel jsem ze na rootu jsou clanky jine urovne... -
Petr Šimeček (neregistrovaný)
To je sice pravda, ale situaci to neresi, protoze existujou veci jako ettercap. Nepotrebuju zahltit pamet switche, protoze mohu presmerovat jen a pouze konkretni smer mezi konkretnimi kompy.
Resenim je zamknuti pameti (update) switche, nikoliv omezeni mnozstvi. Tim se zabrani jen prepnuti do "pekelneho" modu.
Petr -
xor (neregistrovaný)
presne tak. ettercap se chlubi dokonce tim, ze umi lousknout heslo SSH1, takze pouziti SSH2 a klicu doporucuju (ty klice hlavne pro pohodlnost). pro spolupraci s Putty je potreba na nekterych verzich sshd odkomentovat v /etc/ssh/sshd_config radku #Protocol 2,1 na Protocol 2. pak uz staci v puttygen vygenerovat klice a public hodit na router do souboru /root/.ssh/authorized_keys (teda na Redhatu a Debianu mi to tak funguje)
-
Martin (neregistrovaný)
Zdarec XORe,
koukam ze mas nejake zkusenosti s puttygenem a spol. Mozna bys mi mohl pomoci. Vyfasoval jsem klic urceny k pripojeni k jednomu serveru. Pohoda. Ve win spustim pageant natahnu klic spustim 'plink username@server' a vse facha v pohode. Pokud chci to same provest v linuxu 'ssh -i cesta/ke/klici username@server' tak to po me chce passphrase pro dany klic. Problem je v tom , ze klic zany nema. Pokud se na nej podivam v puttygenu tak polozka passphrase je prazdna :-(.
Dik
Martin -
lnx_bfu (neregistrovaný)
V tomhle se priznam, opravdu moc jasno nemam. Ale myslim, ze "stuck" switche preplnenim ARP tabulky je blbost. Jedine, kdy mi stucknul switch bylo pri nespravne kabelazi(lepe receno pofidernich kontaktech), nebo pri kolisani proudu. Dle meho nazoru se cas od casu ARP tabulka refreshuje, jako na normalnim PCku(dejme tomu). Proto se mi jeji preplneni, popr. vliv na funkcnost moc nezda ?:) Ale jak rikam, v tomhle nemam opravdu moc jasno a spise bych prijal nejaky palcivy, ale pravdivy a poucny komentar. Thx
-
si (neregistrovaný)
tebou pozadovana seriova konzola:
1. musis mat na nu podporu v jadre (nachadza sa to v casti character devices a vola sa to Support for console on serial port)
2. ak chces aby si vedel na seriaku ovladat aj lilo, tak si do lilo.conf pridaj polozku serial = 0,9600n8 (co znamena ze ti pri boote pouzije lilo ako seriovu konzolu port ttyS0 na rychlosti 9600 a nastaveni 8n1)
3. vypisovanie hlasok jadra aj na seriak: zase do lilo.conf treba pridat nasledujuci riadok:
append = "console=ttyS0 console=tty0" co sposobi to ze jadro bude pisat konzolove hlasky na ttyS0 aj grafiku (v pripade pouzitia ineho boot manageru treba zabezpecit aby bol jadru odovzdany pri boote string console=ttyS0 console=tty0)
(4.) presmerovanie tty0 na ttyS0 (staci symlink) - toto je uzitocne na to aby aj vystup z bootscriptov a pod siel na seriak, pozor ale, pojde bud na seriak alebo na grafiku, na oboje nie ! a v pripade ze sa nieco fakt zavazneho udeje a je k pocitacu pripojeny monitor moze ten vystup na monitor dost chybat.
5. uprava /etc/inittab - odkomentovat alebo pridat do tohto configu nasledujuci riadok:
s1:12345:respawn:/sbin/agetty -L ttyS0 9600 vt100
zabezpeci to aby po nabootovani cakalo na seriaku agetty a dalo sa tam prihlasit. (pripadne modifikacia /etc/securetty a povolenie prihlasenie roota z ttyS0 moze byt usefull, nie je vsak nutnostou). v zijucom systeme bez rebootu mozme overit to ci nam bude pustat agetty aj na seriaku tak, ze pustime telinit q a potom sa na ten seriak prihlasime...
PS: vsade uvazujem s nastavenim serioveho portu ako 9600 8n1.
prajem vela zabavy -
kavol (neregistrovaný)
nebudu zkoušet, na co nemám [grin]
opravdu si nemyslím, že je vhodné učit začátečníky nedobré návyky tam, kde není problém jim rovnou prozradit preferovanou cestu ...
btw, tyhle diskuse pod články snad nemají být o tom, že chceme, aby se šel autor zahrabat - přeci zde jen presentujeme své názory (pokud možno podložené fakty) na to, co je či není lepší - každý se učí ... a že někdo řekne, že je špatný článek ... well, třeba se poučí i autor -
Loockey Fish (neregistrovaný)
Neni dobre ucit se ze zacatku nebezpecna reseni. Vymluva ze je to pro zacatecniky nedostatecna. Ja jsem se taky ucil z podobnych clanku a vim jak je spatne mit spatne zaklady. Muj vyse uvedeny nazor mnel jenom upozornit zacatecniky a tuknout autora.Mozna pristi clanek bude uz mnohem lepsi a autor si da zalezet. Ja taky nejsem neomylny ale kdyz mam tu moznost tak upozornim ne? Od toho ty komentare jsou.
Vim az moc dobre co je to vysvetlovat neco BFU...
Ad. posledni veta mi nak uklouzla. Ehm kdyz taky ten den mate uz treti kafe... -
kavol (neregistrovaný)
> ... intetd. Tento daemon řídí spouštění všech ostatních daemonů pro síťové služby, třeba i ftp.
opravdu všech? u mě teda ani to ftp ne, jinak třeba o ssh bych pochyboval (viz konec článku) ...
> Telnet je služba poněkud napadnutelná a odposlechnutelná, ...
což třeba telnet over ssl? (ale o upřednostnění ssh se psalo již ve starší diskusi)
> ... použijeme sshd, ale pro jednodušší ovládání teď použijeme telnet.
hm, to je ironie ... jednodušší? ... proč je zprovoznění telnetu věnován skoro celý článek a zprovoznění ssh jen odstaveček?
ad /etc/securetty
- není lepší tady nic neměnit, nalogovat se jako user a použít su?
- Slackware nezná vc?
ad netstat -a
- u mě má (právě teď) výpis 419 řádek, super počtení :-) - myslímže není od věci přidat parametr --inet, unixové sokety nás asi tak moc nezajímají
- můj oblíbený _špinavý_ trik je nmap localhost (zajímá mě obvykle tcp, jinak -sU)
ad restart (x)inetd
- třetí způsob: killall -HUP inetd
- Slackware neumí něco jako "/etc/init.d/inetd restart"? - minimálně bych čekal po zabití (x)inetd nějakou jeho opětovnou inicialisaci (jako nastavení en locales a spuštění démona ... aspoň v mdk to tak je, nevim, (x)inetd nepoužívám, na svém Gentoo-positive routeru se bez něj v pohodě obejdu :-)
poslední odstavec je fakt dobrej :o)
p.s. ale je to docela pruda, když člověk v noci nemůže spát, a přitom už nemá dost energie na to, aby dělal něco rozumnějšího, než blbě kecal :-/ -
lnx_bfu (neregistrovaný)
>ad restart (x)inetd
>- třetí způsob: killall -HUP inetd
>- Slackware neumí něco jako "/etc/init.d/inetd >restart"? - minimálně bych čekal po zabití (x)inetd >nějakou jeho opětovnou inicialisaci (jako nastavení >en locales a spuštění démona ... aspoň v mdk to tak >je, nevim, (x)inetd nepoužívám, na svém Gentoo->positive routeru se bez něj v pohodě obejdu :-)
hehe, sorry, ale to fakt nema. Slack uz neni zadne "paci paci" ... jako ani nevidim duvod, proc by tam takovy shitecek a jemu podobne byly. Obvzlaste na routeru(heh, no tak ne no, i normalne). Snad zname prikazy, ne? :) Na druhou stranu to treba urychli praci :) Fakt to tam neni a jsem za to vdecny ;o) -
Vlada (neregistrovaný)
A kdo tady podle vas zabiji inetd? Pokud dobre koukam, tak se tu posila signal HUP procesu(m) inetd, cimz se mu rekne, aby zreloadoval konfiguraci - funguje to i u spousty jinych slusne naprogramovanych daemonu.
Prikazy kill a killall neslouzi jen k zabijeni. Pokud neni receno jinak, posila sice TERM signal, ale muze poslat i jakykoliv jiny. Opravdovi zabijaci maji v oblibe kill(all) -9, ktery misto laxniho TERM posle smrtici KILL. Bohuzel na nemrtve zombie procesy to stejne vetsinou nefunguje... -
kavol (neregistrovaný)
pardon, nevěděl jsem, jak se inetd po přijmutí sighup chová ... nenapadlo mě nad tím přemýšlet, sighup je odpojení od terminálu, což obvykle znamená konec, ale jelikož je to daemon, nějaký terminál je mu ukradený ... no lehce mi to připomíná situaci, když LiteOn zneužije nějaký atapi příkaz (~ vyhrazený signál), který čtečka nepodporuje (~ daemon "nepodporuje" terminál), k "reloadu" :-) firmware...
-
kavol (neregistrovaný)
co tím chtěl básník říci?
schválně jsem se na to podíval na čtyřech systémech (Debian, Gentoo, IRIX64, Mandrake) a ani na jedné ze tří různých verzí manuálové stránky killu se nepíše o tom, jak se daemoni (nebo specielně inetd) chovají, obdrží-li HUP ... (dokonce v jedné verzi je u seznamu signálů poněkud matoucí sloupeček "action" a v řádku HUP je tam "exit") -
kavol (neregistrovaný)
hm, tak s man signals jsem uspěl jenom na IRIXu ... "SIGHUP The device has been disconnected." - taky nepříliš přesvědčivé ...
ale o to nejde, už jsem přeci dávno přiznal neznalost, nu což, stane se i po tolika letech s linuxem :-) dokonce jsem si i vygoogloval podrobnější informace ... jen mě štve, že někdo říká RTFM, i když v TFM relevantní informace nejsou (nehledě na to, že byl problém už objasněn) -
OldFrog (neregistrovaný)
Clanek ma stylisticke, metodicke i odborne nedostatky,
to je asi jasne vsem. Na druhou stranu si myslim, ze
je velmi blizko mysleni zacatecnika - prave proto muze
byt dosti cenny. Sam jsem se ledacos dozvedel prave
ze zcela chaotickych poznamek nekoho jineho.
Takze me napada, ze by mozna stalo za to zavest neco
jako skill-level autora a treba i ctenare. Ta by byla
uvedena u kazdeho clanku. Tim by se clanky zacatecniku
pro zacatecniky dostaly do samostatne kategorie.
Dostali by sanci a odrazovy mustek jak zacatecnicti
ctenari tak rovnez zacatecnici autori. -
lnx_bfu (neregistrovaný)
A nestaci jenom komentare k clanku? To, ze je autor zacatecnik podle me vubec nevadi. Alespon je tu nejaka snaha o neco. Skill levely se mi nejevi jako nejlepsi reseni, protoze nejsem zadny expet na linxe, ale obcas potrebuju ruzne veci a ne napr. celou zaverecnou praci CVUT "jak spravne chodit na zachod"(omlouvam se za pouziti skoly CVUT, nema to nic delat s hanobenim jmena, pouze uvedeny priklad, jelikoz je tato skola dobra a me mineni je jenom kladne). Tim by se asi udelala propast mezi rooty a BFU(kdyz to opravdu prezenu) :)
-
Michal Vymazal (neregistrovaný)
Osobne bych to videl tak, ze si autor da priste pozor a nebude zacatecniky ucit kombinaci telnet/inetd. Kombinace je to nebezpecna, ziskaji tim prilis pohodlne navyky a jejich okoli jim pak to ssh/sshd bude muset zbytecne vtloukat do hlavy. Myslenka clanku je ale dobra.
-
Yeti (neregistrovaný)
Nepoužívají. Jen slinkovaní s libwrap, spouštění z inetd skrz tcpd, spouštění z xinetd slinkovaným s libwrap (a nejspíš existuje i jiné možnosti, jak používat tcp_wrappers...). Prakticky cokoli lze zkompilovat i bez jejich podpory, ale v běžných pracích prášcích, totiž distribucích, používá tcp_wrappers kdeco.
-
Maude Lebowski (neregistrovaný)
no tak tady je otazka kdo je vetsi lama nez ten druhy..
je jasny, ze pouziti cisteho telnetu tak jak je popisovano (a neni zdurazneno!) v clanku se hodi pro malou domaci sit kde neni dulezite (babicka) jestli nekdo zna root heslo pripadne ho znaji vsichni, tim tcpwraperem (pres /etc/hosts.allow) nebo firewallem se omezi kdo se muze odkud na dany port pripojit a je to tedy bezna uroven zabezpeceni, zrejme zdurazneni techto veci by znacne pomohlo urovni clanku
v praxi je ovsem i jinak situace kdy je rozumne nechat bezet telnet na verejnem pocitaci a to v pripade, ze to neni obycejny telnet, ale telnet prelozeny se ssl podporou, v takovem pripade je velmi zadouci startovat jej v inetd s parameterm -z secure ktery zabezpeci ze navazane spojeni je vzdy tunelovano pres ssl kanal a v tom pripade je ovsem telnet stejne bezpecny jako ssh a je asi lepsi mu dat prednost kvuli mensi rezii
zajimavy rozdil je v tom ze se telnet startuje pres inetd zatimco ssh obycejne bezi jako samostatny proces i kdyz i na vybranych strojich (muj notebook) jej startuju pres inetd
vyhodne jsou pak kombinace kdy je na stroji oboje a spravovat jej muzete pouze vzdalene, v tom pripade pri chybe jednoho serveru se na pocitac dostanete pres druhou sluzbu
po lopate receno, telnet se ssl je stejne bezpecny jako ssh ale bohuzel to lide od ruznych slavnych distribuci nevi protoze se neobtezuji projit databazi svych balicku pripadne si reknou, ze "telnet je minulost" jak jsem tu nekde cetla, pokud vim, tak solidni podporu ma pouze u debianu a free,net,openBSD -
Loockey Fish (neregistrovaný)
No jestli ono pro bfu neni jednodussi zprovozneni ssh nez ssl telnetu.
Je jasne ze pouzivat zapezpecene pripojeni nekde u sebe na domaci siti nema vyznam. Ale o tom nebyla v clanku zminka.
Pokud uz delate branu pro panelak je treba se mit na pozoru. Najdou se ruzna individua. Paranoia(ne ta s hopsinkama) vyhodou. -
Jan Vondráček (neregistrovaný)
Prosim prectete si jeste jednou clanek, o napadnutelnosti je zminka ve 3. odstavci.
Souhlasim, ze ssh je jednodussi na spusteni a instalaci, proto se o nem take na konci teto casti zminuji.
(zde reaguji i na prispevek zdenka stepanka proc tak slozite)
Tato cast neni totiz venovana jen dalkove sprave, ale aby takovy bfu vedel, ze neco jako inetd existuje. Jak se pouziva netstat, restartuji sluzby atd. -
kavol (neregistrovaný)
pokud BFU dělá síť pro svojí babičku, asi udělá lépe, pokud sáhne po woknech s winproxy ... když už se chce učit linux, měl by se ho učit se vším, co k tomu patří, tedy i s bezpečnostními zásadami ... myslímže níže zmiňovaný příklad sítě v paneláku je mnohem reálnější, nežli to, že by někdo kvůli dvěma počítačům doma chtěl přidávat ještě třetí elektřinoužrout jako router ...
ad proces vs. inetd - jestli ono v tom taky nebudou nějaká uživatelská práva (např. jsem klidnější, když mi proftpd běží standalone pod userem ftp, nežli když by ho měl spouštět xinetd s rootem - ale to jsou třeba jen nějaké moje trapné předsudky :-)
kombinace telnet+ssh zároveň - na co? jaké selhání? ... no ale kdybych se náhodou obával, že mi nějaká služba klekne, od čeho je watchdog? -
zdenek stepanek (neregistrovaný)
Zdravim
Nejprve musim autora pochvalit za snahu, ta se vzdycky ceni, ale autore, jdes na to silene slozite. Na slackwaru staci pri instalaci zaskrtnout sshd a pak na konci instalace zapnout spousteni rc.sshd. Pripadne pozudeji doinstalovat rucne a nastavit 0755 rucne a pak jeste rucne vygenerovat klice (pri instalaci sshd pri instalaci systemu se generuji automaticky). Od tohoto okamziku se kdokoliv muze prihlasit pres SSH. Zadny silenosti s inetd demonem ani odkomentovani v jakychsi souborech neni treba. Trvale spusteny sshd mi vubec nevadi, narozdil od (jak si sam napsal) zastaraleho inetd. Je to opravdu tak trivialni ze o tom clanek snad ani napsat nelze. (nehlede na serialek o SSH od johanky)
Zdenek -
lnx_bfu (neregistrovaný)
Docela me prekvapuji nektere reakce tady. To nikdo z Vas nebyl nikdy BFU? Koukam, ze se tu vetsina z Vas narodila s CD(ehm, disketami Unixu) v kolebce, ze?
Loockey Fish tu rikal, ze vi, jake to je neco vysvetlovat BFU. Plne s nim souhlasim. Take jsem byl BFU(btw ja se za BFU porad povazuji) a pomoc jsem hledal napr. na jedno irc chanu(poznal me uz nekdo?). Byli tam ze me celi stastni, ale pomohli mi vice nez dost :)
O telnetu cez SSL toho fakt moc nevim(vubec nic), protoze jsem telnet proste zavrh(a ani se mi moc nelibi). Clanek je docela dobry. Kdybych mel i nejaky ten cas, tak neco takoveho vyprodukuji. Moc se mi nelibi to rozdeleni clanku na www.root.cz a www.bfu.cz. Nevidim k tomu duvod. Tak to nectete, ne? Vetsinu clanku ctu jenom ze zvedavosti a to, co mi vetsinou poradi, jsou ty komentare. Hadam, ze na BFU bych se toho asi moc nedovedel, kdyz by komenty posilali same BFUcka :) Takhle jsou napr. i pod clankem pro zacatecniky videt nejake uzitecne rady(viz napr. LNX jako i-net gateway(2)) :)
A ted si me kamenujte ;) -
Jan Vondráček (neregistrovaný)
V ramci dalsiho pokracovani jsem pripravil i upgrade kernelu a nejake bych predkompiloval. Bare.i je pro 486, mel by nekdo zajem aby soucasti dalsiho clanku byly predpripravene kernely na zaklade bare.i ale kompilovane treba pro pentium... napise prosim jestli by byl zajem a pro jake procesory, pokud zajem nebude tak predkompilaci zrusim.
-
kear (neregistrovaný)AHoj,
nejak mi nejede ten proftp, pise, ze "sice nejede, ale subsystem je zamcen". Co to je? Port 21 mam na 100pro volnej.
Dal jsem narazil na problemek s telnet a jeho povolenim z dalky dle clanku. Je tam, ze mam odkomentovat radky ohledne telnetu v inet konfigu (mam ten chytrejsi xinetd). Problem je v tom, ze tam zadne takove radky nejsou. Je tam jen odkaz na adresar s ukazkama, ale ten je kupodivu uplne prazdny, i kdyz je includovany do hlavniho konfigu. Zasekl jsem se na tomto mrtvem bode.
Diky za radu, nejlepe na ICQ 68893970, nebo na majla kear (sardinka) centrum cézét.
ČLÁNKY DO MAILU