Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

_R-S_ · #1

Всем привет, поставил Минт ЛМДЕ в виртуал бокс. На хосте вин 7. Хочу сделать шлюз с Минтом, и чтоб из Минта был доступ в нет. Но, есть несколько вопросов, За помощь в решении которых готов отблагодарить:

Посмотрите, пожалуйста, подробное описание моих действий и укажите на ошибки:

1. НАчинаю с шифрования

$ sudo apt-get install ecryptfs-utils

$ sudo ecryptfs-setup-swap
$ ecryptfs-setup-private

# ecryptfs-migrate-home -u

2. Фаервол настраиваю с ipkungfu . Хочу сделать так:

$ sudo vi /etc/ipkungfu/ipkungfu.conf
# Локальная сеть, если есть — пишем адрес сети вместе с маской, нет — пишем loopback-адрес
LOCAL_NET="127.0.0.1"

# Наша машина не является шлюзом
GATEWAY=0

# Закрываем нужные порты
FORBIDDEN_PORTS="135 137 139"

# Блокируем пинги, 90% киддисов отвалится на этом этапе
BLOCK_PINGS=1

# Дропаем подозрительные пакеты (разного рода флуд)
SUSPECT="DROP"

# Дропаем «неправильные» пакеты (некоторые типы DoS)
KNOWN_BAD="DROP"

# Сканирование портов? В трэш!
PORT_SCAN="DROP"

Для включения ipkungfu открываем файл /etc/default/ipkungfu и меняем строку IPKFSTART = 0 на IPKFSTART = 1. Запускаем:
$ sudo ipkungfu
Дополнительно внесем правки в /etc/sysctl.conf:
$ sudo vi /etc/systcl.conf
# Дропаем ICMP-редиректы (против атак типа MITM)
net.ipv4.conf.all.accept_redirects=0
net.ipv6.conf.all.accept_redirects=0
# Включаем механизм TCP syncookies
net.ipv4.tcp_syncookies=1
# Различные твики (защита от спуфинга, увеличение очереди «полуоткрытых» TCP-соединений и так далее)
net.ipv4.tcp_timestamps=0
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_max_syn_backlog=1280
kernel.core_uses_pid=1
Активируем изменения:
$ sudo sysctl -p

Все классно, только через Нано не могу отредактировать конфиг. В чем может быть проблема?

3. Fail2ban

# apt-get install fail2ban

# /etc/init.d/fail2ban restart

4. Debsums

$ sudo apt-get install debsums

3. Snort в репозитарии не нашелся. Его с сайта нужно качать?

4. Еще уже есть rkhunter. Достаточно ли перечисленных мер для того, чтоб был шлюз с хорошей защитой, если, все таки, еще Снорт добавить?

5. Еще хочу шифрованный канал и кэширующий прокси, типа squid. Как настроить не разобрался.

Помогите, пожалуйста. Заранее спасибо.
Гуру-Наставник может бросить свой киви в личку для пивного трансфера

symon2014 · #2

Вот это поэма! И практически зря. По умолчанию ОС в виртуалке находится за NAT.
Выпей своё пиво и не парь себе мосск.

_R-S_ · #3

Хотел бы вот так, как описано тут https://xakep.ru/2010/07/22/52771/

symon2014 · #4

То , что статье семь с половиной лет , не смущает ни капли?

_R-S_ · #5

Поясните, что в статье смущает именно вас?

symon2014 · #6

_R-S_ писал(а): ↑
02 фев 2018, 18:18
Поясните, что в статье смущает именно вас?

В статье , собственно , ничего , да и не вникал особо. А вот идея защищать оффтопик никсом сильно веселит. Поставьте всё наоборот , винду в виртуалку , и горя будет гораздо меньше . Впрочем, ставить над собой мазохистские эксперименты никто не запрещает , тем более убить виртуалку дело трёх кликов. Но я не уверен , что вы найдёте на форуме подобных "извращенцев". В любом случае удачи. И не говорите , что вы просили конкретного совета , а не нравоучений.

#7

У меня напрашивается масса вопросов:

_R-S_ писал(а): ↑
02 фев 2018, 17:25
1. НАчинаю с шифрования

Зачем шифровать фс сетевого гейта, в чем сакральный смысл?

_R-S_ писал(а): ↑
02 фев 2018, 17:25
Все классно, только через Нано не могу отредактировать конфиг. В чем может быть проблема?

nano обычно освоить проще чем сервисы файрволов

в чем конкретно проблема с редактором?)

_R-S_ писал(а): ↑
02 фев 2018, 17:25
3. Fail2ban

Он тут для чего? Каких ожидаешь внешних подключений к виртуалке?

_R-S_ писал(а): ↑
02 фев 2018, 17:25
4. Debsums

_R-S_ писал(а): ↑
02 фев 2018, 17:25
4. Еще уже есть rkhunter.

В очередной раз, от каких именно опасностей ты хочешь защититься?

_R-S_ · #8

Нужно человеку, который не пользовался Линуксом, сделать хороший фаервол на Винде и чтобы он могу работать из виртуалки с линуксом в сети. Поэтому и возникла идея сделать шлюз с фаерволом для выхода и чтоб Минт тоже ходил в интернет. Защититься нужно от всего по максимуму. Пока Вин 7 остается до освоения пользователем Линукса.

_R-S_ · #9

nano обычно освоить проще чем сервисы файрволов

в чем конкретно проблема с редактором?)

не редактирует конфиг ipkungfu. Пытаюсь заменить значения, как в инструкции, а не удаляет, почему то

#10

_R-S_, вы что там курите?

_R-S_ · #11

Зачем шифровать фс сетевого гейта, в чем сакральный смысл?

Пользователь будет использовать Линукс, как шлюз с фаерволом для винды, так и для выхода из него в нет, пока не обучится

_R-S_ · #12

вы что там курите?

ничего не курю, хочу фаервол для винды, линукс для пользователя и шлюз, и все в одном

symon2014 · #13

_R-S_ писал(а): ↑
02 фев 2018, 18:55
ничего не курю, хочу фаервол для винды, линукс для пользователя и шлюз, и все в одном

_R-S_ писал(а): ↑
02 фев 2018, 18:49
не редактирует конфиг ipkungfu. Пытаюсь заменить значения, как в инструкции, а не удаляет, почему то

Судя по освоению редактора нано , в одном флаконе не получится. Для обучения минту , поставте его рабочий вариант на флешку , и с ней обучайтесь. А семёрка пусть сама защищается , пока не научится.

#14

Начать постановку задачи стоит с вводных. Хотя бы два самых распространенных момента:
1. Провайдерский нат => серый ip. Скажем так, тупичок от разнообразных видов сетевых атак снаружи

2. Пользовательский нат - обычный домашний роутер. Если пункт выше иногда не отменяет сетевой видимости с соседями по влану, то тут без DMZ - и вовсе прямой путь к твоей машине можно проложить только из локалки.

Файрвол ладно, штука хорошая и не лишняя в большинстве случаев. Все остальное - лишнее. Fail2ban - как-то вообще мимо кассы, в указанных ролях

С таким подходом - что ж надо с виндой сделать, чтоб не страшно было юзать? раз уж линукс в 15см бронь решил обуть

symon2014 · #15

Chocobo, ТС хочет одеть на винду виртуальную броню из минта.

#16

Rf сделать защищенную флешку с Минт? (Пост AlexelA #31816)

#17

А в случае если провайдер дает белый ip (как у меня), то

Chocobo писал(а): ↑
02 фев 2018, 19:03
Пользовательский нат - обычный домашний роутер

А если уж сильно хочется защититься то 2 роутера - один через другой

А если серьезно, на кой все эти телодвижения. От чего вы хотите защитить виндо-пользователя? Пусть тогда просто ходит в семирную паутину из виртуалки с линуксом - винду убережет от всего сразу.

_R-S_ · #18

Chocobo писал(а): ↑
02 фев 2018, 19:03
С таким подходом - что ж надо с виндой сделать, чтоб не страшно было юзать? раз уж линукс в 15см бронь решил обуть

так, сделать шлюз с фаерволом на Линуксе в броне 15 см, чтоб винда ходила в нет только через него и уже не так страшно, для того и делаю. Плюсом должна быть обязательно возможность работать в сети из Линукса. Поэтому и задал вопросы.

darkfenix писал(а): ↑
02 фев 2018, 19:17
А если серьезно, на кой все эти телодвижения. От чего вы хотите защитить виндо-пользователя?
Пусть тогда просто ходит в семирную паутину из виртуалки с линуксом - винду убережет от всего сразу.

Нужны две ОС для походов в сеть - одна будт ходить только по доверенным сайтам (Винда), вторая (Линукс) везде, где захочет, причем, эта схема нужна высоким уровнем защиты от всего, начиная от школоты с кали в планшетах, живущей в доме, заканчивая всякими троянами, что может где то нахватать

#19

_R-S_ писал(а): ↑
02 фев 2018, 19:25
всякими троянами

От этой дряни только антивирус спасет, потому как 15 см броня ну никак не сможет спасти от зараженного файла пришедшего по почте или скачанного с сайта

_R-S_ писал(а): ↑
02 фев 2018, 19:25
школоты с кали в планшетах

А они то чего могут сделать? Настрой огненую стену по-человечески и хватит по самое не балуйся.

Unborn · #20

darkfenix писал(а): ↑
02 фев 2018, 19:30
Настрой огненую стену по-человечески и хватит по самое не балуйся.

Причём в роутере, и то если адрес белый, это точно нужно знать. Ну а с серым - если только от любопытного админа провайдера.

Кто сейчас на конференции