karika200 techblogja

A tűzfalazás ugyan nem volt rajta a “beígért” listán, de közben eszembe jutott, hogy akár publikálhatnám ide azt is. Nos, Å‘ az:

#!/bin/sh

IF=”eth0″
IF6=”atw6″
IPTABLES=`which iptables`
IP6TABLES=`which ip6tables`

echo -n “Starting firewall: ”

# AZ IPTABLES SZAB�LYOK NULL�Z�SA ÉS AZ ÖSSZES BEJÖVÕ TCP ÉS UDP KAPCSOLAT TILT�SA (ICMP MARAD)
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -P INPUT ACCEPT
$IPTABLES -A INPUT -i $IF -p tcp -m state –state NEW -j REJECT –reject-with icmp-host-unreachable
$IPTABLES -A INPUT -i $IF -p udp -m state –state NEW -j REJECT –reject-with icmp-host-unreachable

# INTERNET MEGOSZT�S
$IPTABLES -t nat -A POSTROUTING -o $IF -j MASQUERADE

# ENGEDÉLYEZETT BEJÖVÕ KAPCSOLATOK A TCP PORTOKON

for port in $(cat /etc/firewall/opened-tcp-ports)
do

$IPTABLES -I INPUT -i $IF -p tcp -m state –syn –state NEW –dport $port -j ACCEPT

done

# ENGEDÉLYEZETT BEJÖVÕ KAPCSOLATOK AZ UDP PORTOKON

for port in $(cat /etc/firewall/opened-udp-ports)
do

$IPTABLES -I INPUT -i $IF -p udp -m state –state NEW –dport $port -j ACCEPT

done

# FEKETELIST�S IP-K REJECTELÉSE
for ip in $(cat /etc/firewall/blacklist-ip)
do
$IPTABLES -A INPUT -i $IF -s $ip -j REJECT –reject-with icmp-host-unreachable
done

# BEJÖVÕ KAPCSOLATOK LOGOL�SA
$IPTABLES -I INPUT -i $IF -p tcp -m state –syn –state NEW –dport 22 -j LOG –log-prefix “SSH csatlakozas: ”

# SSH SZAB�LY: 3 percen belül egy IP-rõl maximum 3 kapcsolódás. Utána 3 perc ban.
$IPTABLES -I INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name SSH
$IPTABLES -I INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 180 –hitcount 3 –rttl –name SSH -j REJECT –reject-with icmp-host-unreachable

############################################################
#
# IPv6 SZAB�LYOK
#
############################################################

# AZ IPTABLES SZAB�LYOK NULL�Z�SA ÉS AZ ÖSSZES BEJÖVÕ TCP ÉS UDP KAPCSOLAT TILT�SA (ICMP MARAD)
$IP6TABLES -F
$IP6TABLES -A INPUT -i $IF6 -p tcp -m state –state NEW -j REJECT –reject-with icmp6-addr-unreachable
$IP6TABLES -A INPUT -i $IF6 -p udp -m state –state NEW -j REJECT –reject-with icmp6-addr-unreachable

#Az IPv6 klienseket elrejtjük kivülrõl…. (radvd ebbõl tartományból dolgozik)
$IP6TABLES -A FORWARD -m state –state NEW -d 2a01:270:dd00:2001::/64 -j DROP

# ENGEDÉLYEZETT BEJÖVÕ KAPCSOLATOK A TCP PORTOKON

for port in $(cat /etc/firewall/opened-tcp6-ports)
do

$IP6TABLES -I INPUT -i $IF6 -p tcp -m state –syn –state NEW –dport $port -j ACCEPT

done

# ENGEDÉLYEZETT BEJÖVÕ KAPCSOLATOK AZ UDP PORTOKON

for port in $(cat /etc/firewall/opened-udp6-ports)
do

$IP6TABLES -I INPUT -i $IF6 -p udp -m state –state NEW –dport $port -j ACCEPT

done

# FEKETELIST�S IP-K REJECTELÉSE
for ip in $(cat /etc/firewall/blacklist-ip6)
do
$IP6TABLES -A INPUT -i $IF6 -s $ip -j REJECT –reject-with icmp6-addr-unreachable
done

# BEJÖVÕ KAPCSOLATOK LOGOL�SA
$IP6TABLES -I INPUT -i $IF6 -p tcp -m state –syn –state NEW –dport 22 -j LOG –log-prefix “SSH csatlakozas IPv6-on: ”

# SSH SZAB�LY: 3 percen belül egy IP-rõl maximum 3 kapcsolódás. Utána 3 perc ban.
$IP6TABLES -I INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name SSH
$IP6TABLES -I INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 180 –hitcount 3 –rttl –name SSH -j REJECT –reject-with icmp6-addr-unreachable
echo “done.”

Nagyon szerintem nem is kell magyarázni a dolgot, mert mindent kikommenteztem. Alapjába a következő a policy nálam: TCP-n és UDP-n az összes portra való csatlakozás tiltva van. Használhattam volna simán default drop policy-t is, de akkor aki próbálkozik azt fogja látni, hogy sok ideig semmi válasz, aztán timeoutol a kapcsolat. Én a rejectet választottam, így próbálkozás esetén kb. így néz ki a dolog:

$ telnet sinuslink.hu 8765
Trying 2a01:270:dd00:2000::1…
Trying 46.249.158.91…
telnet: Unable to connect to remote host: No route to host

Pingeket nem akartam kitiltani, de ha valaki szeretné azt is, akkor  ezen sorok alá bökjön be még egy icmp-s sort is:

$IPTABLES -A INPUT -i $IF -p tcp -m state –state NEW -j REJECT –reject-with icmp-host-unreachable
$IPTABLES -A INPUT -i $IF -p udp -m state –state NEW -j REJECT –reject-with icmp-host-unreachable
$IPTABLES -A INPUT -i $IF -p icmp -m state –state NEW -j REJECT –reject-with icmp-host-unreachable

…ugyan ez IPv6-on is, persze ha van…

$IP6TABLES -A INPUT -i $IF6 -p icmp -m state –state NEW -j REJECT –reject-with icmp6-addr-unreachable

Vannak viszont szerverek, amit azért nem árt, ha elérnek kívülről. Azokat a portokat amiken a szerverek figyelnek csak be kell írnom a /etc/firewall/opened-tcp-ports, /etc/firewall/opened-udp-ports vagy IPv6 esetén a /etc/firewall/opened-tcp6-ports és /etc/firewall/opened-udp6-ports fájlokba szépen sorba egymás alá. Ha port tartományt kell megadni, akkor pedig 8000:9000 formátumban kell megadni, így a 8000-től a 9000-ig portok nyitva lesznek.

A blacklist-ip és blacklist-ip6 fájlok neve szintén magukért beszél szerintem: ide írom be azokat az IP-ket, akiket egyáltalán nem szeretnék hogy hozzáférjenek a szerverhez. �k egy esetleges próbálkozás esetén(tcp, udp vagy icmp) azt látják, hogy a szerver nem elérhető. �gy vagy felhagynak a zaklatással vagy találnak kerülőutat.. ;]

Az SSH szerver portján bejövő új kapcsolatokat mindent logolom a syslogba IPv4-en és IPv6-on is. Ezért felelős a következő két sor:

#IPv4
$IPTABLES -I INPUT -i $IF -p tcp -m state –syn –state NEW –dport 22 -j LOG –log-prefix “SSH csatlakozas: ”

#IPv6
$IP6TABLES -I INPUT -i $IF6 -p tcp -m state –syn –state NEW –dport 22 -j LOG –log-prefix “SSH csatlakozas IPv6-on: “

Ezen felül ha 3 percen belül 3-nál több próbálkozás érkezik az SSH portjára akkor 3 perc ban jár érte. De mivel 3 próbálkozási lehetőség van IPv4-en és 3 IPv6-on így összesen 6* lehet nekifutni.. ;] (SSH szerveren természetesen a MaxAuthTries opciót érdemes 1-re állítani.) Erre a trükkre a szabály:

$IPTABLES -I INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name SSH
$IPTABLES -I INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 180 –hitcount 3 –rttl –name SSH -j REJECT –reject-with icmp-host-unreachable

… és ugyan ez megtalálható a script alján IPv6-ra is. A fájl vége felé van egy ilyen sor is:

$IP6TABLES -A FORWARD -m state –state NEW -d 2a01:270:dd00:2001::/64 -j DROP

Ez pedig azért szükséges, mivel ebből a tartományból kapnak a belső hálózatom gépei is IP-t, és így a router eleve védi őket a külső hatásoktól. Aki radvd-t használ, annak mindenképp ajánlott!

Ha bárkinek van javaslata a fentiekkel kapcsolatban, vagy van jobb, szebb netán ügyesebb tűzfal scriptje jöhet kommentbe a pastebin link. ;]

Ahogy ígértem, jöjjön az FTPd + TLS howto. Régebben a proftpd-t használtam FTP szerver célokra, de már jó pár éve áttértem a pure-ftpd szerverre, így lentebb is ezt fogom használni.
Eddig nálam unix auth volt csak mindenféle titkosítás nélkül. Az említett jelszólopás kapcsán azonban arra jutottam, hogy időszerű lesz a TLS-t bekapcsolni és szétszedni a userem home-jában található dolgokat több FTP accra, így ha el is lopják a jelszót mindenhez nem férnek hozzá. A több accountra bontáshoz szükség MySQL supportra is a szerverbe.

Először az SQL support(a feltelepített és bekonfigurált MySQL szerver természetesen feltétel):

apt-get install pure-ftpd-mysql

Ez után hozzunk létre egy MySQL adatbázist és felhasználót a pureftpd-nek. Nem, meglévő, más célra is használt SQL user NEM jó a célra, root pedig főleg nem.

CREATE USER ‘pureftpd’@'localhost’ IDENTIFIED BY ‘jelszo’;
GRANT USAGE ON * . * TO ‘pureftpd’@'localhost’ IDENTIFIED BY ‘jelszo’ WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0 ;

Megvan a felhasználó, jöhet az adatbázis a megfelelő jogokkal. Elég ha csak SELECT-et tud a pureftpd usernek.

CREATE DATABASE pureftpd;
GRANT SELECT ON pureftpd . * TO ‘pureftpd’@'localhost’;

Jöhet a tábla, amiből dolgozni fog az FTP szerver:

CREATE TABLE IF NOT EXISTS `users` (
`User` varchar(16) NOT NULL DEFAULT ”,
`status` enum(’0′,’1′) NOT NULL DEFAULT ’0′,
`Password` varchar(64) NOT NULL DEFAULT ”,
`Uid` varchar(11) NOT NULL DEFAULT ‘-1′,
`Gid` varchar(11) NOT NULL DEFAULT ‘-1′,
`Dir` varchar(128) NOT NULL DEFAULT ”,
`ULBandwidth` smallint(5) NOT NULL DEFAULT ’0′,
`DLBandwidth` smallint(5) NOT NULL DEFAULT ’0′,
`comment` tinytext NOT NULL,
`ipaccess` varchar(15) NOT NULL DEFAULT ‘*’,
`QuotaSize` smallint(5) NOT NULL DEFAULT ’0′,
`QuotaFiles` int(11) NOT NULL DEFAULT ’0′,
PRIMARY KEY (`User`),
UNIQUE KEY `User` (`User`)
) ENGINE=MyISAM;

Én jelenleg ezt a táblát használom, de ebben vannak “felesleges” dolgok is, ilyen pl. a comment. Ha nem akarsz quotázni és sávszélességet korlátozni, sem IP alapú hozzáférést állítani, akkor elég lehet neked ennyi is:

CREATE TABLE IF NOT EXISTS `users` (
`User` varchar(16) NOT NULL DEFAULT ”,
`Password` varchar(64) NOT NULL DEFAULT ”,
`Uid` varchar(11) NOT NULL DEFAULT ‘-1′,
`Gid` varchar(11) NOT NULL DEFAULT ‘-1′,
`Dir` varchar(128) NOT NULL DEFAULT ”
PRIMARY KEY (`User`),
UNIQUE KEY `User` (`User`)
) ENGINE=MyISAM;

Az elnevezések szerintem magukért beszélnek:

user: kívánt felhasználónév
status: aktív vagy inaktív felhasználó
Password: jelszó(A pure-ftpd tud “md5″, “password” és “crypt” titkosítást is és cleartext-et is, ez utóbbit nem érdemes használni)
Uid: Unixos user ID, a feltöltött fájlok ennek a usernek a tulajdonában lesznek
Gid: Unixos csoport ID
ULBandwidth és DLBandwidth: Fel, illetve letöltési sávszélesség limit KByte/s
Comment: Megjegyzés a felhasználóhoz…
ipaccess: Melyik IP-rÅ‘l kapcsolódhat – bármelyik: *
QuotaSize: Az FTP account mérete (MByteban)
QuotaFiles: Maximum ennyi file helyezhető el. (sok értelmét nem látom, csak nagyon speciális esetben)

Ezzel az SQL részével megvagyunk a dolognak, most jöjjön a pure-ftpd configja(/etc/pure-ftpd/db/mysql.conf), mondjuk meg neki, hogy melyik táblában keresse az adatokat.

#Ha TCP-n használjuk az SQL szervert, egyébként legyen kikommentelve!
#MYSQLServer     127.0.0.1

#Az SQL szerver portja; Unix socket használata esetén ez is maradjon kikommentelve
# MYSQLPort       3306

#Az SQL szervert unix socketen keresztül használjuk; TCP esetén legyen kikommentelve!
MYSQLSocket      /var/run/mysqld/mysqld.sock

#Az SQL felhasználó, amit beállítottunk
MYSQLUser       pureftpd

#Az SQL felhasználóhoz tartozó jelszó
MYSQLPassword   jelszo

#Az adatbázis, ahol a users táblánk van
MYSQLDatabase   pureftpd

#Milyen titkosítással/hash-el tároltuk az SQL táblában a jelszavainkat? Jelen esetben md5. Cleartext-et NE használjuk!
MYSQLCrypt      md5

#Innen jöhetnek az SQL query-k
#A lekérdezésekben a következő változók használhatók:
# \L – Az autentikálni próbáló user
# \I – A szerver IP címe ahova kapcsolódott a felhasználó(több IP esetén érdekes csak)
# \P РA port ahol a user csatlakozott(țbb listening port eset̩n ̩rdekes csak)
# \R – Az autentikálni próbáló user IP címe
# \D – A felhasználó IP-je decimális formában

#A felhasználó jelszava
MYSQLGetPW      SELECT Password FROM users WHERE User=”\L”

#A felhasználó UID-je
MYSQLGetUID     SELECT Uid FROM users WHERE User=”\L”

#Ha ezt beállítjuk, akkor minden felhasználó ezzel a User ID-vel fog dolgozni.
#MYSQLDefaultUID 1000

#A felhasználó GID-je
MYSQLGetGID     SELECT Gid FROM users WHERE User=”\L”

#Ha ezt beállítjuk, akkor minden felhasználó ezzel a Group ID-vel fog dolgozni.
#MYSQLDefaultGID 1000

#Mi a user könyvtára?
MYSQLGetDir     SELECT Dir FROM users WHERE User=”\L”

#A quota beállításokhoz kell a Quota support. A Debian repositoryban lévő verzióban szerencsére van!
#Maximum fájlok száma – 0 = végtelen
MySQLGetQTAFS  SELECT QuotaFiles FROM users WHERE User=”\L”

#Az FTP account maximum mérete MByteban. 0 – Amég a diszk bírja
MySQLGetQTASZ  SELECT QuotaSize FROM users WHERE User=”\L”

#Fel és letöltési sávszélesség korlát. Kbyte/másodpercben értendő!
MySQLGetBandwidthUL SELECT ULBandwidth FROM users WHERE User=”\L”
MySQLGetBandwidthDL SELECT DLBandwidth FROM users WHERE User=”\L”

#Mivel MyISAM tábláz használunk, maradjon ez kikommentelve!
# MySQLTransactions On

Ezt elmentve a nehezén túl is vagyunk. Érdemes szerintem a MySQL autentikációt hagyni egyedülinek:

rm /etc/pure-ftpd/auth/*
ln -s /etc/pure-ftpd/conf/MySQLConfigFile /etc/pure-ftpd/auth/10mysql

Kapcsoljuk be a Chroot opciót, így a felhasználók nem fognak tudni a saját könyvtárukon kívüli könyvtárakhoz hozzáférni:

echo “yes” > /etc/pure-ftpd/conf/ChrootEveryone

Anonymus FTP-t pedig nem szeretnénk, így:

echo “yes” > /etc/pure-ftpd/conf/NoAnonymus

Ha mindent jól csináltunk, akkor nem maradt más hátra, mint újraindítani a szervert és működik is!

/etc/init.d/pure-ftpd-mysql restart

Ezek után az SQL táblába felvett usereknek tudniuk kell loginolni.

Ha ez sikerült, jöhet a TLS bekapcsolása. Ez az előbbinél sokkal egyszerűbben megoldható:

echo 1 > /etc/pure-ftpd/conf/TLS

Ha a TLS file-ba 0-t írunk, akkor a TLS ki lesz kapcsolva, ha 1 kerül bele, akkor TLS-el is lehet autentikálni, ha pedig 2, akkor csak a TLS-el megtámogatott login lesz elérhető. Már csak az SSL tanúsítványt kell megcsinálnunk a TLS-hez:

mkdir -p /etc/ssl/private/
openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Itt kapunk pár kérdést, melyik ország, város, szervezet stb. Ezeket értelem szerűen kitöltjük. Ha mindent jól csináltunk, akkor létrejött a tanúsítványunk. Beállítjuk rá a megfelelő jogosultságokat, hogy ne férjen hozzá akárki és újraindítjuk az FTP szervert. Ezzel Kész az SQL alapú autentikációval és TLS-el megtámogatott pure-ftpd szerverünk:

chmod 600 /etc/ssl/private/pure-ftpd.pem
/etc/init.d/pure-ftpd-mysql restart

A fentiekben lehetnek elírások vagy fogalmazásbeli hülyeségek. Sajnos nem erősségem a magyarázás, de remélem azért sokaknak tudtam ezzel segíteni. Ha találsz benne hibát, jelezd kérlek kommentben és javítom! Mint minden, ez a megoldás sem tökéletes, így lehet rajta még csiszolgatni, javítgatni, de kiindulásnak szerintem nem rossz. ;]

A napokban elég csúnya dologgal találkoztam: egy Windows-os kliensről ügyesen ellopták az FTP jelszavamat és az így megszerzett accountra beloginolva minden index* nevű fájlba hagytak nekem egy kis meglepetés reklámot. Azóta persze megtettem amit meglehetett, többek között bekapcsoltam a TLS lehetőségét is az FTP szerveren. Ennek kapcsán jutott eszembe, hogy a következő postokban egy howto sorozatot csinálok, persze csak ahogy időm és energiám engedi. A következőkre szeretnék kitérni:

• FTPd TLS-el
• Apache2 PHP5-el (és lehet ASP supporttal is, természetesen Linuxon!:))
• Levelezés (SMTP/IMAP és POP Spamszűréssel)
• DNS szerverek (BIND és MyDNS)
• IceCast2
• VPN (Volt már róla szó, most kicsit másképp)

Egyelőre ennyi jutott eszembe, de ha valakit esetleg érdekel más téma jöhetnek a javaslatok kommentben és ha tudok, segítek. A következő post tehát az FTP-é lesz.

Már egy ideje nézegettem a saját oldalamat, hogy nem jó ez így. A szokásos dolog tartott csak vissza a cserétől eddig: a nulla kreativitásom. A napokban azonban megszállt az ihlet és ezt sikerült összekaparnom magamtól a GIMP-el. Úgy gondolom azért lényegesen jobb mint a régi. Tartalmilag még nincs teljesen kész az oldal, de hamarosan teljesen fel lesz töltve anyagokkal is.

Elég rég posztoltam már, de mostanában egyre kevesebb idÅ‘m van, sajnos. Azért ezt a kevés szabadidÅ‘t is szeretem hasznosan tölteni, így java-zgattam kicsit és az ebbÅ‘l született elsÅ‘ “komolyabb” java alkalmazásomat szeretném itt és most megosztani, úgy gondolom sokaknak jól jöhet.

Amiről szó van, az egy WakeOnLan manager, ha létezik ilyen. Adott egy lista, amire fel lehet venni MAC címeket és hozzájuk egy nevet lehet társítani. A listán lévő gépeket lehet felkelteni a belső hálózaton a programocska segítségével. Kilépésnél a lista nem veszik el, hanem ugyan abba a könyvtárba, ahonnan a program fut létrehoz magának egy file-t, amibe lementi a tételeket, amit következő indulásnál persze visszaolvas. Egyelőre egyéni listák kimentésére és visszatöltésére nincs lehetőség, de tervben van az 1.1-ben.

Az alkalmazást letölteni innen lehet. Remélem sokaknak hasznára válik majd. Jó ébresztgetést ;]