Re: firewall
Benzer bir sorunu bir suredir ben de dusunuyordum.
Daha oncesinde de asagidakileri uygulamistim. Ama benim /etc/inetd.conf
dosyasinda tum servisler yok(?) Bazi servisleri de (onune # koyup)
kapatmama ragmen hala acik gorunuyorlar. Ornegin sunrpc, printer, smtp,
ipp, discard (bu son ikisinin ne yaptigini da bilmiyorum), ssh vb...
29-09-2003 Pazartesi günü saat 13:21 sularında, Volkan YAZICI dedi ki:
> On Sun, 28 Sep 2003 21:04:24 +0200
> "Sanal" <Durdunaz.Sanal@pandora.be> wrote:
>
> > uzman linux kullanicilari mesela Murat demirten
> > mesela recai bey mesela volkan yazici veya Nilgun belma
>
> buradan benim ismimi cikarin da digerlerine ayip etmis
> olmayalim (biz daha ogrenmeyi ogreniyoruz ,)
>
> ben soyle yaptim ornegin:
>
> -- HEAD: gereksiz servisleri kapatmak icin
>
> root$ nmap -T5 localhost
> 25/tcp open smtp
> ^^^
> benim sahsi gorusum <-|
> bir ev kullanicisi
> icin smtp gereksiz
> 80/tcp open http
> 5432/tcp open postgress
>
> root$ grep "^smtp" /etc/inetd.conf
> smtp stream tcp ...
>
> root$ cp /etc/inetd.conf /etc/inetd.conf.old
> ^^^
> |-> ne olur ne olmaz diye dosyanin bir yedegi
> de bulunsun elimizde
>
> root$ nano /etc/inetd.conf
> ^^^
> |-> istediginiz bir editor ile bu dosyayi
> aciyorsunuz ve yukarida buldugumuz satirin
> basina # isareti koyuyorsunuz
>
> root$ killall -HUP inetd
> ^^^
> |-> inetd'yi bastan baslatiyoruz
>
> -- TOE: gereksiz servisleri kapatmak icin
>
>
> -- HEAD: elimden gelen bir ki sey daha var sanirim
>
> root$ cp /etc/hosts.allow /etc/hosts.allow.old
> root$ cp /etc/hosts.deny /etc/hosts.deny.old
> ^^^
> |-> bu back-up'lar geri donusumuz icin
> gerekli sayilir
>
> root$ echo "ALL: ALL" > /etc/hosts.deny
> ^^^
> |-> ornegin benim gibi paranoya bir ev
> kullaniciysaniz tum servisleri (tabi bu tum
> programlar icin gecerli degil, bunum cok daha
> dogru olanini ve daha garantilisi
> iptables/ipchains ile cok daha iy bir sekilde
> gerceklestirebilirsiniz) gelen isteklere karsi
> kapiyor (dedigim gibi bu cok genel bir cozum,
> ornegin bir server kosturacaksaniz direk bunu
> gecip iptables'a basvurun)
>
> root$ grep -v "^#" /etc/hosts.allow
> ^^^
> |-> basi "comment out" edilmemis satirlari
> dokuyoruz
>
> sshd: LOCAL
> cupsd: LOCAL
> ^^^
> |-> demekki sadece sshd ve cupsd servislerini erisim izni
> tanimisim ve bunlara da sadece localhost'dan
> baglanilabilir.
> siz buraya kendi servislerinizi koyabilirsiniz ama
> dedigim gibi her program icin bu calisacak diye bir sart
> yok (cunku bazilarina erisemiyor (konu hakkinda
> ayrintili bilgiyi diger ark'lar ve google verebilir))
>
> -- TOE: elimden gelen bir ki sey daha var sanirim
>
>
> iste ben boyle yapiyorum xx-amator bir kullanici olarak.
> ama eger s1k1 bir iptables bilgisine sahipseniz sisteminizi
> cok stabil bir hala sokabilirsiniz.
>
> iyi calismalar
>
Reply to:
- References:
- firewall
- From: "Sanal" <Durdunaz.Sanal@pandora.be>
- Re: firewall
- From: Volkan YAZICI <volkany@phreaker.net>