Pagina 1 di 1
Nuovo Router ==> DMZ
Inviato: gio 10 mar 2005, 15:23
da Nokao
DMZ... ovvero, de-militarized zone.
<BR>Proietta un ip della rete all´esterno, come se quel pc avesse un modem.
<BR>
<BR>Ho ovviamente scelto il mio server slackware, il che mi ha risolto molti problemi... ma come faccio per assicurarmi che non succedano casini?
<BR>
<BR>Non ho mai settato nulla sull´iptables... e questo e´ il risultato di un nmap:
<BR>nmap -p 1-65535 localhost
<BR>
<BR>Starting nmap 3.75 ( <a href="
http://www.insecure.org/nmap/" target="_blank" target="_new">
http://www.insecure.org/nmap/</a> ) at 2005-03-10 15:20 CET
<BR>Interesting ports on localhost (127.0.0.1):
<BR>(The 65519 ports scanned but not shown below are in state: closed)
<BR>PORT STATE SERVICE
<BR>22/tcp open ssh
<BR>37/tcp open time
<BR>80/tcp open http
<BR>113/tcp open auth
<BR>139/tcp open netbios-ssn
<BR>445/tcp open microsoft-ds
<BR>1213/tcp open unknown
<BR>3306/tcp open mysql
<BR>4002/tcp open unknown
<BR>4662/tcp open unknown
<BR>9181/tcp open unknown
<BR>14000/tcp open unknown
<BR>14001/tcp open unknown
<BR>14080/tcp open unknown
<BR>14534/tcp open unknown
<BR>51234/tcp open unknown
<BR>
<BR>Nmap run completed -- 1 IP address (1 host up) scanned in 12.262 seconds
<BR>
<BR>Attendo consigli

<BR>Non conosco la natura di 5 di queste porte aperte, come posso approfondire il problema?
<BR>
<BR>P.S. Vorrei anche eliminare uno a uno gli utenti di default che la slack crea dopo l´installazione, o per lo meno eliminare loro la possibilita´ di loggarsi via ssh.
<BR>Come posso fare?<BR><BR>[ Questo Messaggio è stato Modificato da: Nokao il 10-03-2005 15:25 ]<br>
Nuovo Router ==> DMZ
Inviato: gio 10 mar 2005, 16:45
da manny
<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR> 10-03-2005 alle ore 15:23, Nokao :
<BR>
<BR>P.S. Vorrei anche eliminare uno a uno gli utenti di default che la slack crea dopo l´installazione, o per lo meno eliminare loro la possibilita´ di loggarsi via ssh.
<BR>Come posso fare?[ Questo Messaggio è stato Modificato da: Nokao il 10-03-2005 15:25 ]<br>
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>Devi modificare 2 righe nel file di config di ssh:
<BR>
<BR>pico /etc/ssh/sshd_config
<BR>
<BR>PermitRootLogin no #di serie dovrebbe essere yes
<BR>AllowUsers nome_utente_che_vuoi
<BR>
<BR>Salvi e riavvii ssh (cioè: /etc/rc.d/rc.sshd restart)
<BR>
<BR>Ciao,
<BR>Manny
<BR>
Nuovo Router ==> DMZ
Inviato: ven 11 mar 2005, 0:10
da Nokao
PermitRootLogin no #di serie dovrebbe essere yes
<BR>Io lo voglio yes... altrimenti senza root cosa combino...
<BR>
<BR>AllowUsers nome_utente_che_vuoi
<BR>Non ho nemmeno una riga che comincia con AllowUsers, e´ normale?
<BR>Vuol dire che devo semplicemente inserirle io?
<BR>
<BR>Devo mettere una riga per ogni utente o ci sono dei separatori da rispettare per mettere tutto su una riga?
Nuovo Router ==> DMZ
Inviato: ven 11 mar 2005, 0:45
da useless
puoi vivere con permitrootlogin no, loggandoti come utente e poi facendo "su". questo rende + difficile entrare nel sistema xké non si sa a priori un nome utente valido, e bisogna pure indovinare 2 password.
<BR>
<BR>quanto agli utenti di default, è meglio non eliminarli, se ci sono è xké hanno uno scopo. inoltre è comunque impossibile loggarsi con questi, dato che non hanno una shell o password valida.
Nuovo Router ==> DMZ
Inviato: ven 11 mar 2005, 0:49
da Nokao
<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR>quanto agli utenti di default, è meglio non eliminarli, se ci sono è xké hanno uno scopo. inoltre è comunque impossibile loggarsi con questi, dato che non hanno una shell o password valida.
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>Esatto, volevo proprio sapere questo.
<BR>Come rendo non valida la password o shell di un utente senza eliminarlo?
<BR>
<BR>Grazie per l´idea del SU, tentero´ di abituarmi a farlo. E´ la volta buona che inizio a limitare l´uso del root all´interno del mio server... (uso SEMPRE root e a volte non servirebbe)
Nuovo Router ==> DMZ
Inviato: ven 11 mar 2005, 0:55
da Nokao
Posso crearmi un utente fantoccio che possa solo loggare e non fare nient´altro?
<BR>
<BR>Cosi´ da poterci solo fare "su" ?
<BR>
<BR>O qualsiasi utente creo (anche con i minimi privilegi) potra´ navigare sempre e comunque per l´hd laddove i file sono in read per "all" ?
Nuovo Router ==> DMZ
Inviato: ven 11 mar 2005, 1:00
da Nokao
Che poi per fare la stessa cosa con piu´ stile basta cambiare nome all´utente root.. in teoria su tutti i file dell´hd fa testo l´id di root.. cioe´ 0... non la parola che rappresenta il nome...
<BR>
<BR>In teoria rinominando root in pippo sul passwd pippo diventa il nuovo acc con privilegio di root... giusto?
Nuovo Router ==> DMZ
Inviato: ven 11 mar 2005, 8:18
da manny
<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR> 11-03-2005 alle ore 00:10, Nokao :
<BR>PermitRootLogin no #di serie dovrebbe essere yes
<BR>Io lo voglio yes... altrimenti senza root cosa combino...
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>Ti ha già risposto (perfettamente) useless...
<BR>
<BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR>AllowUsers nome_utente_che_vuoi
<BR>Non ho nemmeno una riga che comincia con AllowUsers, e´ normale?
<BR>Vuol dire che devo semplicemente inserirle io?
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>Si , inserisci pure, se vuoi dare la possibilità a + utenti di loggarsi via ssh, li inserisci sulla stessa riga separati da uno spazio
<BR>
<BR>Ciao,
<BR>Manny
Nuovo Router ==> DMZ
Inviato: ven 11 mar 2005, 10:51
da useless
x non fare loggare un utente basta dargli una shell fittizia, tipo /bin/false o proprio non dargliela.
<BR>
<BR>non farti poi troppo seghe mentale: disabilita il login da root e usa un utente x fare ssh e su quando ti serve.
Nuovo Router ==> DMZ
Inviato: ven 11 mar 2005, 11:30
da Nokao
Come non detto.<BR><BR>[ Questo Messaggio è stato Modificato da: Nokao il 11-03-2005 11:45 ]<br>
Nuovo Router ==> DMZ
Inviato: ven 11 mar 2005, 11:32
da Nokao
Vorrei rinominare l´utente root...
Nuovo Router ==> DMZ
Inviato: ven 11 mar 2005, 11:42
da useless
forse non hai restartato ssh dopo la modifica. rinominare l´utente root non è detto che sia una cosa del tutto indolore.
Inviato: mer 7 feb 2007, 14:31
da Splink
salve a tutti io ho un modem wirless digicom michelangelo wave;
quello che volevo kiedervi è se conviene o no attivare la funzione DMZ (de-militarized-zone)?
il sistema diventa più sicuro attivando questo DMZ
e poi un'altra domanda a che serve sul router il virtual server e l'ip filter

grazie in anticipo

Inviato: mer 7 feb 2007, 17:32
da bloodlust
Splink ha scritto:conviene o no attivare la funzione DMZ (de-militarized-zone)?
mi sa che non hai ben chiaro cosa sia e a cosa serva una dmz.
ti serve per non tenere servizi esposti all'esterno sulla rete privata quindi per una normale rete casalinga non ti serve a nulla anzi aggiunge complessità e quindi aumenta la possibilità di falle di sicurezza (stai sicuro che se ti compromettono un sistema in dmz un bel mitm non te lo toglie nessuno

)
il sistema diventa più sicuro attivando questo DMZ

non serve per mettere in sicurezza il sistema dal quale navighi (almeno non direttamente).
e poi un'altra domanda a che serve sul router il virtual server e l'ip filter
premetto che non conosco il router che dici di possedere.
virtual server ti serve per mappare porte (o intervalli di porte) esterne ad indirizzi/porte interni. ti serve per esempio se devi reggere un server http o ftp pubblici sulla rete privata.
IP filter ti permette di filtrare per ip address l'accesso alla rete (o solamente a internet, questo dipende dal software del tuo router).
Piuttosto che usare IP filtering (se il tuo router lo permette ovviamente) usa un filtro sui MAC address, sicuramente meno semplice da eludere (ma non per questo sicuro).
ciao