Messages posted by: pnco

Đối với các quản trị viên hệ thống linux thì "Làm thế nào để bảo mật hệ thống?" luôn là một câu hỏi dai dẳng. Bất kể bạn là một người mới bắt đầu đến với linux hay là một quản trị viên có một ít kinh nghiệm câu trả lời chính vẫn là firewall. Tuy rằng công tác bảo mật liên quan đến rất nhiều khiá cạnh, nhưng việc nắm rõ cánh cổng - nơi từng gói tin dữ liệu ra vào hàng ngày sẽ mang đến cho bạn cái nhìn tổng thể về các hoạt động cuả hệ thống mình. Xin trân trọng giới thiệu đến quý vị khán giả quyển sách Linux Firewalls, nguồn tham khảo đầy đủ và toàn diện nhất về firewall trên hệ thống linux. Điểm thú vị nhất cuả quyển sách là giới thiệu các loại tấn công phổ biến ở các layer khác nhau cũng như cách phòng thủ trước những loại tấn công này. Ngoài ra cuốn sách cũng giới thiệu một số công cụ bổ sung nhằm phát hiện, ngăn ngừa những cuộc tấn công đang hay sắp diễn ra giúp cho firewall cuả bạn hoạt động một cách trên cả tuyệt vời. Quyển sách đã được Richard Bejtlich đánh giá top những quyển sách hay nhất năm 2007 còn tôi thì đánh giá là một trong quyển sách đáng được download nhất smilie

Linux Firewalls

System administrators need to stay ahead of new security vulnerabilities that leave their networks exposed every day. A firewall and an intrusion detection systems (IDS) are two important weapons in that fight, enabling you to proactively deny access and monitor network traffic for signs of an attack.

Linux Firewalls discusses the technical details of the iptables firewall and the Netfilter framework that are built into the Linux kernel, and it explains how they provide strong filtering, Network Address Translation (NAT), state tracking, and application layer inspection capabilities that rival many commercial tools. You'll learn how to deploy iptables as an IDS with psad and fwsnort and how to build a strong, passive authentication layer around iptables with fwknop.

Concrete examples illustrate concepts such as firewall log analysis and policies, passive network authentication and authorization, exploit packet traces, Snort ruleset emulation, and more with coverage of these topics:

Passive network authentication and OS fingerprinting
iptables log analysis and policies
Application layer attack detection with the iptables string match extension
Building an iptables ruleset that emulates a Snort ruleset
Port knocking vs. Single Packet Authorization (SPA)
Tools for visualizing iptables logs
Perl and C code snippets offer practical examples that will help you to maximize your deployment of Linux firewalls. If you're responsible for keeping a network secure, you'll find Linux Firewalls invaluable in your attempt to understand attacks and use iptables—along with psad and fwsnort—to detect and even prevent compromises.

URL:
Code:

http://www.amazon.com/Linux-Firewalls-Detection-Response-iptables/dp/1593271417/ref=pd_bbs_sr_1?ie=UTF8&s=books&qid=1202451579&sr=8-1

Download
Code:

http://rapidshare.com/files/90059638/Linux.Firewall.pdf.html

vivashadow wrote:

Xin ngoài l 1 chút.
Trong chủ đề rất nhiều người sử dụng sai khái niệm Modem, theo định nghĩa thì modem là tbị có chức năng modulate và demodulate để chuyển đổi tính hiệu analog-digital giữa 2 môi trường tín hiệu khác loại (điện thoại, cable, optical, sóng đt,...).
Ngày nay nhờ công nghệ phát triển người ta thường tích hợp nhiều module vào trong 1 package nên 1 tbị thường được gọi tùy theo phương diện đề cập vấn đề chính điều này nên rất dễ nhầm lẫn các khái niệm và thiết bị.
Hiện tại hầu hết modem ADSL đều có modun router kết hợp, nhưng đừng nhầm lẫn hay ngầm định 2 thứ với nhau, vì vẫn có modem không có router và ngược lại. Những modem ADSL + router thường nên gọi là router ADSL còn không có thì nên gọi là modem ADSL.
Với modem/router ASDL có nhầm cũng không sao, nhưng dùng chữ modem (modem lớn, modem nhỏ) để chỉ router là không đúng.
Và khái niệm NAT thường gắn với router chớ không phải modem, không vì NAT nên gọi là modem.

Hì, mấy cái khái niệm này ai học mạng chắc cũng nắm, chỉ là vấn đề từ ngữ thôi. Nếu muốn gọi chính xác thì nên gọi theo lớp (layer). Như tôi có cái http://www.linksys.com/servlet/Satellite?c=L_Product_C2&childpagename=US%2FLayout&cid=1159294549006&pagename=Linksys%2FCommon%2FVisitorWrapper có NAT có routing nhưng hãng sản xuất vẫn gọi là modem đấy thôi smilie

281 wrote:

Hình như là không. Đối với Fedora, Ubuntu và một số Distro khác thì khi update phải cài đặt lại từ đầu.

Bậy nà.

Việc upgrade OS bây giờ hầu như là trào lưu rồi nên mình thấy OS nào cũng cho phép upgrade. Có chăng thì việc này đối với 1 số OS thì tương đối dễ dàng như Ubuntu, FreeBSD smilie

số khác thì khó khăn hơn 1 tí như Fedora, Gentoo smilie

Về câu hỏi đầu tiên của bạn bluecell thử tham khảo link sau xem:
http://www.brandonhutchinson.com/Upgrading_Red_Hat_Linux_with_yum.html

Lần sau bạn không cần phải reboot, chỉ cần logoff và login trở lại thì được smilie

Em thử:
Code:

$scp -2 -P 2244 server:/file client

PS: Cái em đưa anh là sshd_config mà smilie

Hello quanta!
Anh thì chưa gặp trường hợp này. Em thử cho anh xem file ssh_config trên client và lệnh scp em dùng thử xem.
PS: Cái thông tin em google được là từ client đến SSH2 server (1 phiên bản ssh thương mại). Trong TH của em thì nó không đúng vì em dùng OpenSSH.

Cám ơn anh Mai. Quả thực rất lý thú. Em đang nóng lòng chờ phần tiếp theo của anh. Còn cái vụ kia anh làm em mắc cỡ quá smilie

father_nghia_den wrote:

Theo tớ nghĩ dí do anh PXMMRF muốn đặt webserver phía trong LAN, sau đó trên router sẽ PAT cổng 80 vào WEB SErver đó.

Như vậy WEB Server này sẽ ít bị ảnh hưởng của những cuộc tấn công trực tiếp từ ngoài Internet.

Nhưng như vậy cũng có nhược điểm là WEB SERVER này sẽ bị phụ thuộc vào bẳng PAT trên Router.

Nếu như webserver phục vụ 1 lượng lớn các request từ Client sẽ sẽ làm tốc độ bị giảm đi đáng kể.

Đặt webserver trong LAN?
Ái chà nếu vậy thì có nhiều mối nguy hơn nữa. Ngoài vấn đề hiệu năng như bạn đã nói thì nếu webserver bị thỏa hiệp nguy cơ bảo mật sẽ ảnh hưởng đến toàn bộ các host trong LAN. Bạn nên xem lại lý do phải thiết kế vùng DMZ.

PXMMRF wrote:

Một webserver thì không nên bao giờ đặt trong một vùng DMZ. Máy chơi game thì được.

Chào anh Mai!
Vấn đề này anh đặt ra rất lý thú, tiếc rằng em chưa hiểu rõ lắm. Anh có thể nói qua một chút.

Bro StarGhost đọc không kỹ rồi, không phải router xuất hiện ở giữa mà là router được nối vào 1 cái switch.

@kenji: vấn đề này cũng được bàn khá nhiều rồi, để chống lại thì 1 là dùng ARP tĩnh, 2 là dùng VLAN, còn tại sao "MAC của router bị biến thành MAC của cái máy giả đó" thì google với từ khóa "ARP poison" nó ra 1 rổ smilie

Edit: chủ đề này đã bàn rất kỹ, kenji hình như chưa đọc, tui mới vừa đọc smilie

nguyendinhtuat wrote:

Golden Autumn nói vắn tắc quá. Hình như chỉ giải quyết được 1 cái AD

Vậy bạn cần giải quyết vấn đề gì nữa? Thông tin GA đưa ra hơi vắn tắt nhưng khá đầy đủ rồi. Linux nói chung không phải là... windows smilie

nên đừng hy vọng linux sẽ thay thế windows 100%. Tuy nhiên với những yêu cầu cơ bản như chia sẻ tập tin và in ấn thì linux và OSS đã làm rất tốt rồi. Vấn đề của bạn là chỉ hỏi mà chưa làm, tôi nghĩ bạn nên bắt tay vào thực hiện và khi có vướng mắc cụ thể nào thì lại hỏi tiếp.

huan_ng wrote:

TÔi chưa hiểu ý của bạn là tốt chưa trong môi trường nào?

À là vì yêu cầu của bạn là gửi mail từ user@outside đến user@xyz.net nên câu hỏi của tôi sẽ có nghĩa là từ user@outside đến user@home.dyndns.org có tốt chưa. Tôi hỏi câu này để loại bỏ những sai sót trong cấu hình ở phía máy chủ của bạn và

huan_ng wrote:

Chiều nay thử gởi mail tới user@home.dyndns.org thì nhận OK

vậy là tốt rồi, vấn đề chỉ còn nằm ở việc chỉ trỏ từ xyz.net đến home.dyndns.org.

huan_ng wrote:

Bây giờ tôi chỉ muốn hỏi với ~ điều kiện tôi đang có thì có thể làm EX mail server online được kô mà thôi? Để từ đó tôi có thể định hướng ~ gì mình làm là đúng đường, chứ kô cứ loay hoay mà ko có kết quả gì.

Rất tiếc là tôi cũng chưa từng làm việc này nên không thể khẳng định điều gì nhưng tôi đã từng thấy 1 server chạy 1 tên miền global trỏ về 1 tên miền dynamic dns.

huan_ng wrote:

2.Tôi cứ nghĩ chỉ cần tạo MX record rồi trỏ về home.dyndns.org là việc cấu hình cho xyz.net là DONE, vì local domain của tôi đã MAP với home.dyndns.org rồi. Suy nghĩ của tôi sai vì cần phải tạo ra A record nếu muốn làm mail server nữa ah?

Bạn phải có ít nhất 1 service SMTP lắng nghe tại xyz.net thì bạn mới có thể gửi nhận mail. Vì vậy ở post đầu bạn nói "Thử telnet xyz.net bằng port 25/110: đều ko được?" nên bạn không thể nhận mail được.

huan_ng wrote:

Mặc nhiên khi cài EX thì nó đã lấy SMTP service của Win làm SMTP cho nó rồi. Bây giờ cài lại lần nữa Win SMTP virtual server ah? Sorry! Có lẽ tôi chưa nắm được ý của bạn, nên nothing to do.

Ý của No.13 là bạn setup 1 cái SMTP server khác và gửi đến @xyz.net và dựa vào log để chủ động hơn trong việc chẩn đoán sự cố (vì bạn đã nói là "Gởi/nhận mail trong LAN: OK, kể cả gởi mail ra outside: OK").

huan_ng wrote:

2. Thử telnet xyz.net bằng port 25/110: đều không được

Bạn cho hỏi vậy A record của xyz.net trỏ tới đâu? Bạn đã thử gửi nhận mail với home.dyndns.org tốt chưa?

Vậy thì đúng rồi IP:123.23.24.182 chính là ip của bạn (được ISP cấp cho). Cái ip kia thì có thể là của caching proxy. Chúng ta đều biết rằng traffic HTTP của thuê bao ADSL đều đi qua proxy, các dịch vụ khác thì không bị như vậy (chính xác là không có proxy cho các dịch vụ khác). Vậy bạn hãy cấu hình cho DUC update ip qua tcp port 8245, khi đó nó sẽ update đúng ip của bạn.

DLKC wrote:

Bạn nào giải thích dùm mình là trong trường hợp của mình thì cái nào là IP thật sự đây:

Trong Modem status:

IP Address: 123.23.24.182
Default gateway: 222.253219.1

Trong DUC (No-ip.info): 123.23.23.132

NO-IP DUC của bạn cấu hình dùng để update IP qua tcp port 80 hay tcp port 8245?

Lao nong wrote:

Theo Lý thuyết(cơ bản) lunix có thể chạy được chỉ với cần dùng 2 phân vùng cơ bản.

Có phải / và swap?
Còn theo mình thì chỉ cần / là đủ vì swap nếu cần có thể dùng swap file. Tuy nhiên đối với người dùng có kinh nghiệm thì họ sẽ phân ra các phân vùng riêng. Lý do: bảo mật và hiệu năng.

Xin giới thiệu thêm một open source firewall chất lượng cao từ http://force.coresecurity.com/. Nó được port sang Windows từ http://www.openbsd.org/faq/pf/.

CORE FORCE provides inbound and outbound stateful packet filtering for TCP/IP protocols using a Windows port of OpenBSD's PF firewall, granular file system and registry access control and programs' integrity validation. These capabilities can be configured and enforced system-wide or on a per-application basis for specific programs such as email readers, Web browsers, media players, messaging software, etc.

http://force.coresecurity.com/download/latest.
http://force.coresecurity.com/download/CoreForceUserGuide.pdf.

toantoet wrote:

E đang gặp một vấn đề cần các anh giúp đỡ.
Số là em phải install Oracle trên 1 con remote server. Khi chạy ./runInstaller thì nó ra giao diện GUI, e dùng ssh để forward về máy client của mình để điền thông tin config cho Oracle, nhưng tốc độ rất chậm e ko thể nào nhập dữ liệu vào được.
Các bác có cách nào khả thi để em giải quyết vụ này không ạ?

Nếu bạn đang sử dụng ssh X11 forward thì hãy thử dùng http://freenx.berlios.de/ xem sao. Thấy được quảng cáo là tốc độ rất tốt kể cả với dial-up, nhưng mình chưa thử smilie

còn linux thì tham khảo http://www.faqs.org/docs/Linux-mini/IP-Alias.html.

Vậy thì cứ add thêm ip, nếu server chạy *nix thì dùng alias. Tuy vậy nên chú ý cái post trước của lQ.