Книга: Linux глазами хакера
4.11.1. Фильтр по умолчанию
4.11.1. Фильтр по умолчанию
Исходя из принципа всеобщего запрета, в качестве правила по умолчанию мы должны запретить любые действия. Изначально в Linux все разрешено, а это безопасно только для отдельно стоящего сервера, который даже не подключен к сети. Проверьте ваши настройки по умолчанию, выполнив команду:
ipchains -L
В результате вы должны увидеть на экране примерно следующее:
Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):
Chain icmp (0 references) :
В зависимости от дистрибутива настройки по умолчанию могут отсутствовать, тогда вместо правил вы увидите следующее сообщение об ошибке:
ipchains: Incompatible with this kernel (невозможно для этого ядра).
Такая фраза может появиться, если ipchains отсутствует или запущена неверно. Я уже не раз встречал это сообщение, потому что производители дистрибутивов неверно конфигурируют систему по умолчанию. А ведь лечится эта ошибка достаточно просто, и ядро тут ни при чем.
Просмотрите файл /etc/rc.d/init.d/ipchains с помощью текстового редактора программы МС или команды cat
. Первое будет удобнее. Нужно найти в файле следующую строку:
IPCHAINS_CONFIG=/etс/sysconfig/ipchains
Путь к файлу в директиве IPCHAINS_CONFIG
может быть другим. В современных дистрибутивах в директории /etc/sysconfig/ хранятся файлы конфигурации служб. Для сервиса ipchains это файл ipchains. Проверьте его существование следующей командой:
ls /etc/sysconfig/ipchains
Если файл не существует, то его следует создать. Для этого выполним следующую команду:
cat >> /etc/sysconfig/ipchains
Отныне все команды, вводимые в консоль, будут сохраняться в файле. Для того чтобы сервис ipchains заставить работать, достаточно ввести:
:input ACCEPT
Теперь нажмите клавиши <Ctrl>+<D> и перезапустите сервис ipchains следующей командой:
/etc/rc.d/init.d/ipchains restart
Обратите внимание, что нужно указать полный путь. Если этого не сделать, то будет запущена утилита ipchains, а не сценарий запуска из директории /etc/rc.d/init.d/.
Вот теперь команда должна выполниться успешно.
Для начала давайте запретим любой трафик. Но прежде, чем мы перейдем к созданию правил, сделаю еще одно замечание. Любую систему нужно начинать конфигурировать с чистого листа, потому что настройки по умолчанию могут оказаться не слишком эффективными и небезопасными. Выполните команду ipchains -F
, чтобы обнулить текущие настройки. Сетевой экран — это сердце защиты, поэтому в данном случае очистка является наиболее важной.
Теперь зададим политику по умолчанию. Для этого нужно выполнить команду ipchains
с параметром -P
для каждой цепочки и указать политику безопасности:
ipchains -Р input DENY
ipchains -Р output REJECT
ipchains -P forward DENY
Обратите внимание, что для входящих (input) и проходящих (forward) пакетов я установил полный запрет, поэтому они будут удаляться без каких-либо предупреждений. Для исходящей информации можно поставить в правило REJECT
, чтобы внутренние клиенты при попытке подключения к серверу могли получить сообщение об ошибке.
Теперь ваш компьютер невиден и недоступен в сети. Попробуйте проскандировать порты или выполнить команду ping
к серверу. Оба действия не дадут результата, как будто компьютера вообще не существует для окружающих.
- Фильтрация
- Выражения фильтров и их значения
- 1.3 Вкладка «Фильтры»
- Фильтры, поставляемые в составе Flash
- 14.7. Фильтры
- Ответный файл, используемый по умолчанию (csc.rsp)
- Выражения в значениях по умолчанию для доменов
- Значения переменных по умолчанию
- 3. Значения по умолчанию
- Фильтры и поиск
- Параметры по умолчанию
- 7.3.1. Активные фильтры на ОУ