Re: firewall
On Sun, 28 Sep 2003 21:04:24 +0200
"Sanal" <Durdunaz.Sanal@pandora.be> wrote:
> uzman linux kullanicilari mesela Murat demirten
> mesela recai bey mesela volkan yazici veya Nilgun belma
buradan benim ismimi cikarin da digerlerine ayip etmis
olmayalim (biz daha ogrenmeyi ogreniyoruz ,)
ben soyle yaptim ornegin:
-- HEAD: gereksiz servisleri kapatmak icin
root$ nmap -T5 localhost
25/tcp open smtp
^^^
benim sahsi gorusum <-|
bir ev kullanicisi
icin smtp gereksiz
80/tcp open http
5432/tcp open postgress
root$ grep "^smtp" /etc/inetd.conf
smtp stream tcp ...
root$ cp /etc/inetd.conf /etc/inetd.conf.old
^^^
|-> ne olur ne olmaz diye dosyanin bir yedegi
de bulunsun elimizde
root$ nano /etc/inetd.conf
^^^
|-> istediginiz bir editor ile bu dosyayi
aciyorsunuz ve yukarida buldugumuz satirin
basina # isareti koyuyorsunuz
root$ killall -HUP inetd
^^^
|-> inetd'yi bastan baslatiyoruz
-- TOE: gereksiz servisleri kapatmak icin
-- HEAD: elimden gelen bir ki sey daha var sanirim
root$ cp /etc/hosts.allow /etc/hosts.allow.old
root$ cp /etc/hosts.deny /etc/hosts.deny.old
^^^
|-> bu back-up'lar geri donusumuz icin
gerekli sayilir
root$ echo "ALL: ALL" > /etc/hosts.deny
^^^
|-> ornegin benim gibi paranoya bir ev
kullaniciysaniz tum servisleri (tabi bu tum
programlar icin gecerli degil, bunum cok daha
dogru olanini ve daha garantilisi
iptables/ipchains ile cok daha iy bir sekilde
gerceklestirebilirsiniz) gelen isteklere karsi
kapiyor (dedigim gibi bu cok genel bir cozum,
ornegin bir server kosturacaksaniz direk bunu
gecip iptables'a basvurun)
root$ grep -v "^#" /etc/hosts.allow
^^^
|-> basi "comment out" edilmemis satirlari
dokuyoruz
sshd: LOCAL
cupsd: LOCAL
^^^
|-> demekki sadece sshd ve cupsd servislerini erisim izni
tanimisim ve bunlara da sadece localhost'dan
baglanilabilir.
siz buraya kendi servislerinizi koyabilirsiniz ama
dedigim gibi her program icin bu calisacak diye bir sart
yok (cunku bazilarina erisemiyor (konu hakkinda
ayrintili bilgiyi diger ark'lar ve google verebilir))
-- TOE: elimden gelen bir ki sey daha var sanirim
iste ben boyle yapiyorum xx-amator bir kullanici olarak.
ama eger s1k1 bir iptables bilgisine sahipseniz sisteminizi
cok stabil bir hala sokabilirsiniz.
iyi calismalar
Reply to:
- References:
- firewall
- From: "Sanal" <Durdunaz.Sanal@pandora.be>