Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Вы не знаете в какой раздел задать вопрос? Ищите ответы на популярные вопросы? Тогда вам сюда!
Правила форума
Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Версия ОС вместе с разрядностью. Пример: LM 18.1 x64, LM Sarah x32 2. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 3. Какое железо. (достаточно вывод inxi -Fxz в спойлере (как пользоваться спойлером смотрим здесь)) или же дать ссылку на hw-probe 4. Суть. Желательно с выводом консоли, логами. 5. Скрин. Просьба указывать 1, 2 и 3 независимо от того, имеет ли это отношение к вопросу или нет. Так же не забываем об общих правилах Как пример вот

Автор темы
_R-S_
Сообщения: 139
Зарегистрирован: 01 фев 2018, 17:36
Благодарил (а): 41 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение _R-S_ » 02 фев 2018, 14:25

Всем привет, поставил Минт ЛМДЕ в виртуал бокс. На хосте вин 7. Хочу сделать шлюз с Минтом, и чтоб из Минта был доступ в нет. Но, есть несколько вопросов, За помощь в решении которых готов отблагодарить:

Посмотрите, пожалуйста, подробное описание моих действий и укажите на ошибки:

1. НАчинаю с шифрования

$ sudo apt-get install ecryptfs-utils

$ sudo ecryptfs-setup-swap
$ ecryptfs-setup-private



# ecryptfs-migrate-home -u


2. Фаервол настраиваю с ipkungfu . Хочу сделать так:

$ sudo vi /etc/ipkungfu/ipkungfu.conf
# Локальная сеть, если есть — пишем адрес сети вместе с маской, нет — пишем loopback-адрес
LOCAL_NET="127.0.0.1"

# Наша машина не является шлюзом
GATEWAY=0

# Закрываем нужные порты
FORBIDDEN_PORTS="135 137 139"

# Блокируем пинги, 90% киддисов отвалится на этом этапе
BLOCK_PINGS=1

# Дропаем подозрительные пакеты (разного рода флуд)
SUSPECT="DROP"

# Дропаем «неправильные» пакеты (некоторые типы DoS)
KNOWN_BAD="DROP"

# Сканирование портов? В трэш!
PORT_SCAN="DROP"


Для включения ipkungfu открываем файл /etc/default/ipkungfu и меняем строку IPKFSTART = 0 на IPKFSTART = 1. Запускаем:
$ sudo ipkungfu
Дополнительно внесем правки в /etc/sysctl.conf:
$ sudo vi /etc/systcl.conf
# Дропаем ICMP-редиректы (против атак типа MITM)
net.ipv4.conf.all.accept_redirects=0
net.ipv6.conf.all.accept_redirects=0
# Включаем механизм TCP syncookies
net.ipv4.tcp_syncookies=1
# Различные твики (защита от спуфинга, увеличение очереди «полуоткрытых» TCP-соединений и так далее)
net.ipv4.tcp_timestamps=0
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_max_syn_backlog=1280
kernel.core_uses_pid=1
Активируем изменения:
$ sudo sysctl -p

Все классно, только через Нано не могу отредактировать конфиг. В чем может быть проблема?

3. Fail2ban

# apt-get install fail2ban

# /etc/init.d/fail2ban restart


4. Debsums

$ sudo apt-get install debsums


3. Snort в репозитарии не нашелся. Его с сайта нужно качать?

4. Еще уже есть rkhunter. Достаточно ли перечисленных мер для того, чтоб был шлюз с хорошей защитой, если, все таки, еще Снорт добавить?

5. Еще хочу шифрованный канал и кэширующий прокси, типа squid. Как настроить не разобрался.

Помогите, пожалуйста. Заранее спасибо.
Гуру-Наставник может бросить свой киви в личку для пивного трансфера

Аватара пользователя

etamax
Сообщения: 747
Зарегистрирован: 16 дек 2017, 18:59
Решено: 6
Благодарил (а): 1 раз
Поблагодарили: 49 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение etamax » 02 фев 2018, 14:39

Вот это поэма! И практически зря. По умолчанию ОС в виртуалке находится за NAT.
Выпей своё пиво и не парь себе мосск. :joke:


Автор темы
_R-S_
Сообщения: 139
Зарегистрирован: 01 фев 2018, 17:36
Благодарил (а): 41 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение _R-S_ » 02 фев 2018, 15:06

Хотел бы вот так, как описано тут https://xakep.ru/2010/07/22/52771/

Аватара пользователя

etamax
Сообщения: 747
Зарегистрирован: 16 дек 2017, 18:59
Решено: 6
Благодарил (а): 1 раз
Поблагодарили: 49 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение etamax » 02 фев 2018, 15:13

То , что статье семь с половиной лет , не смущает ни капли?


Автор темы
_R-S_
Сообщения: 139
Зарегистрирован: 01 фев 2018, 17:36
Благодарил (а): 41 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение _R-S_ » 02 фев 2018, 15:18

Поясните, что в статье смущает именно вас?

Аватара пользователя

etamax
Сообщения: 747
Зарегистрирован: 16 дек 2017, 18:59
Решено: 6
Благодарил (а): 1 раз
Поблагодарили: 49 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение etamax » 02 фев 2018, 15:28

_R-S_ писал(а):
02 фев 2018, 15:18
Поясните, что в статье смущает именно вас?
В статье , собственно , ничего , да и не вникал особо. А вот идея защищать оффтопик никсом сильно веселит. Поставьте всё наоборот , винду в виртуалку , и горя будет гораздо меньше . Впрочем, ставить над собой мазохистские эксперименты никто не запрещает , тем более убить виртуалку дело трёх кликов. Но я не уверен , что вы найдёте на форуме подобных "извращенцев". В любом случае удачи. И не говорите , что вы просили конкретного совета , а не нравоучений. :joke:

Аватара пользователя

Chocobo
Сообщения: 9224
Зарегистрирован: 27 авг 2016, 19:57
Решено: 198
Откуда: НН
Благодарил (а): 642 раза
Поблагодарили: 2639 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение Chocobo » 02 фев 2018, 15:41

У меня напрашивается масса вопросов:
_R-S_ писал(а):
02 фев 2018, 14:25
1. НАчинаю с шифрования
Зачем шифровать фс сетевого гейта, в чем сакральный смысл?
_R-S_ писал(а):
02 фев 2018, 14:25
Все классно, только через Нано не могу отредактировать конфиг. В чем может быть проблема?
nano обычно освоить проще чем сервисы файрволов :hoho: в чем конкретно проблема с редактором?)
_R-S_ писал(а):
02 фев 2018, 14:25
3. Fail2ban
Он тут для чего? Каких ожидаешь внешних подключений к виртуалке?
_R-S_ писал(а):
02 фев 2018, 14:25
4. Debsums
_R-S_ писал(а):
02 фев 2018, 14:25
4. Еще уже есть rkhunter.
В очередной раз, от каких именно опасностей ты хочешь защититься?
Изображение
   
Изображение


Автор темы
_R-S_
Сообщения: 139
Зарегистрирован: 01 фев 2018, 17:36
Благодарил (а): 41 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение _R-S_ » 02 фев 2018, 15:47

Нужно человеку, который не пользовался Линуксом, сделать хороший фаервол на Винде и чтобы он могу работать из виртуалки с линуксом в сети. Поэтому и возникла идея сделать шлюз с фаерволом для выхода и чтоб Минт тоже ходил в интернет. Защититься нужно от всего по максимуму. Пока Вин 7 остается до освоения пользователем Линукса.


Автор темы
_R-S_
Сообщения: 139
Зарегистрирован: 01 фев 2018, 17:36
Благодарил (а): 41 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение _R-S_ » 02 фев 2018, 15:49

nano обычно освоить проще чем сервисы файрволов :hoho: в чем конкретно проблема с редактором?)

не редактирует конфиг ipkungfu. Пытаюсь заменить значения, как в инструкции, а не удаляет, почему то

Аватара пользователя

AlexelA
Сообщения: 888
Зарегистрирован: 24 июл 2017, 17:11
Решено: 3
Откуда: город-герой Новороссийск
Благодарил (а): 98 раз
Поблагодарили: 256 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение AlexelA » 02 фев 2018, 15:50

_R-S_, вы что там курите? :)
Для того, чтобы ничего не делать, надо уметь делать все! (©) (А.Лебедь) Изображение


Автор темы
_R-S_
Сообщения: 139
Зарегистрирован: 01 фев 2018, 17:36
Благодарил (а): 41 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение _R-S_ » 02 фев 2018, 15:54

Зачем шифровать фс сетевого гейта, в чем сакральный смысл?

Пользователь будет использовать Линукс, как шлюз с фаерволом для винды, так и для выхода из него в нет, пока не обучится


Автор темы
_R-S_
Сообщения: 139
Зарегистрирован: 01 фев 2018, 17:36
Благодарил (а): 41 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение _R-S_ » 02 фев 2018, 15:55

вы что там курите?

ничего не курю, хочу фаервол для винды, линукс для пользователя и шлюз, и все в одном

Аватара пользователя

etamax
Сообщения: 747
Зарегистрирован: 16 дек 2017, 18:59
Решено: 6
Благодарил (а): 1 раз
Поблагодарили: 49 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение etamax » 02 фев 2018, 16:02

_R-S_ писал(а):
02 фев 2018, 15:55
ничего не курю, хочу фаервол для винды, линукс для пользователя и шлюз, и все в одном
_R-S_ писал(а):
02 фев 2018, 15:49
не редактирует конфиг ipkungfu. Пытаюсь заменить значения, как в инструкции, а не удаляет, почему то
Судя по освоению редактора нано , в одном флаконе не получится. Для обучения минту , поставте его рабочий вариант на флешку , и с ней обучайтесь. А семёрка пусть сама защищается , пока не научится.

Аватара пользователя

Chocobo
Сообщения: 9224
Зарегистрирован: 27 авг 2016, 19:57
Решено: 198
Откуда: НН
Благодарил (а): 642 раза
Поблагодарили: 2639 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение Chocobo » 02 фев 2018, 16:03

Начать постановку задачи стоит с вводных. Хотя бы два самых распространенных момента:
1. Провайдерский нат => серый ip. Скажем так, тупичок от разнообразных видов сетевых атак снаружи :hoho:
2. Пользовательский нат - обычный домашний роутер. Если пункт выше иногда не отменяет сетевой видимости с соседями по влану, то тут без DMZ - и вовсе прямой путь к твоей машине можно проложить только из локалки.

Файрвол ладно, штука хорошая и не лишняя в большинстве случаев. Все остальное - лишнее. Fail2ban - как-то вообще мимо кассы, в указанных ролях

С таким подходом - что ж надо с виндой сделать, чтоб не страшно было юзать? раз уж линукс в 15см бронь решил обуть :-D
Изображение
   
Изображение

Аватара пользователя

etamax
Сообщения: 747
Зарегистрирован: 16 дек 2017, 18:59
Решено: 6
Благодарил (а): 1 раз
Поблагодарили: 49 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение etamax » 02 фев 2018, 16:07

Chocobo, ТС хочет одеть на винду виртуальную броню из минта. :smile:

Аватара пользователя

AlexelA
Сообщения: 888
Зарегистрирован: 24 июл 2017, 17:11
Решено: 3
Откуда: город-герой Новороссийск
Благодарил (а): 98 раз
Поблагодарили: 256 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение AlexelA » 02 фев 2018, 16:11

Для того, чтобы ничего не делать, надо уметь делать все! (©) (А.Лебедь) Изображение

Аватара пользователя

darkfenix
Сообщения: 5393
Зарегистрирован: 27 июн 2017, 10:36
Решено: 61
Откуда: Нижний Тагил
Благодарил (а): 295 раз
Поблагодарили: 996 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение darkfenix » 02 фев 2018, 16:17

А в случае если провайдер дает белый ip (как у меня), то
Chocobo писал(а):
02 фев 2018, 16:03
Пользовательский нат - обычный домашний роутер
А если уж сильно хочется защититься то 2 роутера - один через другой :-D

А если серьезно, на кой все эти телодвижения. От чего вы хотите защитить виндо-пользователя? Пусть тогда просто ходит в семирную паутину из виртуалки с линуксом - винду убережет от всего сразу.
Изображение


Автор темы
_R-S_
Сообщения: 139
Зарегистрирован: 01 фев 2018, 17:36
Благодарил (а): 41 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение _R-S_ » 02 фев 2018, 16:25

Chocobo писал(а):
02 фев 2018, 16:03
С таким подходом - что ж надо с виндой сделать, чтоб не страшно было юзать? раз уж линукс в 15см бронь решил обуть
так, сделать шлюз с фаерволом на Линуксе в броне 15 см, чтоб винда ходила в нет только через него и уже не так страшно, для того и делаю. Плюсом должна быть обязательно возможность работать в сети из Линукса. Поэтому и задал вопросы.
darkfenix писал(а):
02 фев 2018, 16:17
А если серьезно, на кой все эти телодвижения. От чего вы хотите защитить виндо-пользователя?
Пусть тогда просто ходит в семирную паутину из виртуалки с линуксом - винду убережет от всего сразу.
Нужны две ОС для походов в сеть - одна будт ходить только по доверенным сайтам (Винда), вторая (Линукс) везде, где захочет, причем, эта схема нужна высоким уровнем защиты от всего, начиная от школоты с кали в планшетах, живущей в доме, заканчивая всякими троянами, что может где то нахватать

Аватара пользователя

darkfenix
Сообщения: 5393
Зарегистрирован: 27 июн 2017, 10:36
Решено: 61
Откуда: Нижний Тагил
Благодарил (а): 295 раз
Поблагодарили: 996 раз

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение darkfenix » 02 фев 2018, 16:30

_R-S_ писал(а):
02 фев 2018, 16:25
всякими троянами
От этой дряни только антивирус спасет, потому как 15 см броня ну никак не сможет спасти от зараженного файла пришедшего по почте или скачанного с сайта
_R-S_ писал(а):
02 фев 2018, 16:25
школоты с кали в планшетах
А они то чего могут сделать? Настрой огненую стену по-человечески и хватит по самое не балуйся.
Изображение

Аватара пользователя

Unborn
Сообщения: 1778
Зарегистрирован: 03 сен 2016, 10:36
Решено: 24
Благодарил (а): 4 раза
Поблагодарили: 253 раза

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Сообщение Unborn » 02 фев 2018, 16:40

darkfenix писал(а):
02 фев 2018, 16:30
Настрой огненую стену по-человечески и хватит по самое не балуйся.
Причём в роутере, и то если адрес белый, это точно нужно знать. Ну а с серым - если только от любопытного админа провайдера.

Вернуться в «Вопрос новичка и FaQ»