[問題] 架server要怎麼避免被當跳板

看板Linux作者 (阿哩顧)時間10年前 (2013/11/27 00:57), 編輯推噓17(17028)
留言45則, 13人參與, 最新討論串1/1
版上各位先進好 小弟不材,對於架設linux server這塊不是很熟 但是boss要我架一台server 用來提供上課的人可以遠端到server來做作業 而每一個人都有一組自己的使用者帳戶 (每一組帳戶都只能下一般指令,不能用sudo之類的指令) boss很擔心這些上課的同學會有人把這台server當跳板 目前的想法是把ssh和telnet對外的端口關掉 但是好像沒辦法這樣做 要就是整個都關掉,似乎不能關掉對外的端口 不知道我這個想法是不是正確的 或是板上先進有更好的方法可以提供給小的我來做嘗試 若有敘述不清楚的地方,請鞭小力一點,我會再做補充,感謝各位先進。 -- 你在幹麻? 我在鋪梗阿 ○   更 /■\ ○/ /\ ╴/▔\ □□□□木更木更木更木更木更木 □□□□ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 111.252.94.245
11/27 01:38, , 1F
iptables 有辦法阻擋特定使用者程序產生的封包
11/27 01:38, 1F
11/27 01:39, , 2F
-m owner --uid-owner
11/27 01:39, 2F
11/27 02:26, , 3F
deny 22, 23 tcp port out
11/27 02:26, 3F
11/27 03:53, , 4F
樓上那樣 in沒做好對應設定 ssh會直接死掉啊XD
11/27 03:53, 4F
11/27 06:50, , 5F
那就做好對應啊....
11/27 06:50, 5F
11/27 07:34, , 6F
把22port弄到好幾萬port, script kid少一半
11/27 07:34, 6F
11/27 07:37, , 7F
2. allow 特定網段的位置 其餘drop掉封包
11/27 07:37, 7F
11/27 07:38, , 8F
http://rms.twnic.net.tw/ 可查台灣ip網段
11/27 07:38, 8F
11/27 07:41, , 9F
其餘只要確定application layer 會不會功擊就好
11/27 07:41, 9F
11/27 07:42, , 10F
攻擊;另外可以在facebook 訂閱一些hacking news
11/27 07:42, 10F
11/27 08:42, , 11F
alog 這邊說的是把機器當跳板跳出去 不是被當殭屍
11/27 08:42, 11F
11/27 08:42, , 12F
hirokofan 問題f大沒提到啊 直接設定下去就哭了XD
11/27 08:42, 12F
11/27 08:44, , 13F
(如果是在console前設的話會更晚才哭XD)
11/27 08:44, 13F
11/27 08:45, , 14F
不就把內對外的port都鎖起來就好啦
11/27 08:45, 14F
11/27 08:46, , 15F
然後開特定網段可以通
11/27 08:46, 15F
11/27 09:29, , 16F
哦,看錯嘍 哈哈
11/27 09:29, 16F
11/27 09:30, , 17F
基本上不要怕人弄跳版耶,防不了 不然就是用chroot
11/27 09:30, 17F
11/27 09:32, , 18F
或掛個外掛kill掉在非使用時段的user or proccess
11/27 09:32, 18F
11/27 09:34, , 19F
另外需要弄份木馬跟攻擊程式的清單,系統掃描到就移除跟回報
11/27 09:34, 19F
11/27 09:37, , 20F
另外一個做法是透過iptables 把所有連線drop掉,只開特定port
11/27 09:37, 20F
11/27 09:38, , 21F
不過iptables需要一點linux經驗
11/27 09:38, 21F
11/27 09:40, , 22F
另外可以限制使用者可以存取的網域或ip位置作為防堵策略
11/27 09:40, 22F
11/27 09:41, , 23F
管理主機可以用python的subprocess module來操作shell
11/27 09:41, 23F
11/27 09:43, , 24F
也可以用python寫好一些腳本塞到crontab定時檢查
11/27 09:43, 24F
11/27 09:51, , 25F
我覺得你這些說完 原PO也沒半個看得懂XD
11/27 09:51, 25F
11/27 09:54, , 26F
我是覺得不用太擔心 擔心意義也不是太大
11/27 09:54, 26F
11/27 09:57, , 27F
使用者也應該沒root權限 所以出問題也還好
11/27 09:57, 27F
11/27 09:58, , 28F
至少有紀錄能查 查到請你BOSS幫個忙就好(笑
11/27 09:58, 28F
謝謝各位熱烈回應 待我消化一下 有問題再上來請教各位 謝謝 ※ 編輯: s20119 來自: 140.134.25.172 (11/27 10:12)
11/27 15:28, , 29F
假設你的作業是指類似c程式作業,上來編輯/編譯,那一個作法
11/27 15:28, 29F
11/27 15:29, , 30F
是改用web提交source code,然後回應編譯及執行結果,找一下
11/27 15:29, 30F
11/27 15:30, , 31F
ICPC的線上程式測驗系統
11/27 15:30, 31F
11/27 16:10, , 32F
1.host.allow host.deny 台灣IP限定
11/27 16:10, 32F
11/27 16:11, , 33F
2.關掉telnet ftp 只開ssh sftp
11/27 16:11, 33F
11/27 16:12, , 34F
3.log檔異地備份 這樣應該可以擋掉90%的攻擊加出事可以追查
11/27 16:12, 34F
11/27 16:16, , 35F
樓上再度搞錯問題XD 不過防攻擊確實也真的要注意啦
11/27 16:16, 35F
11/27 16:58, , 36F
我搞錯了嗎?不然乾脆 ssh , telnet o-x 好了...
11/27 16:58, 36F
11/27 18:53, , 37F
用一樓的方法比較容易
11/27 18:53, 37F
11/27 20:26, , 38F
ssh tunnel
11/27 20:26, 38F
11/27 21:20, , 39F
chmod還要防止用戶自己編譯一份ssh, 擋連接比較幹脆
11/27 21:20, 39F
11/28 13:07, , 40F
撲,我正是這種學生 囧
11/28 13:07, 40F
11/28 14:02, , 41F
偷偷地承認 我也從研究室開了ssh tunnel到外面
11/28 14:02, 41F
12/01 01:50, , 42F
sshd_config AllowTcpForwarding No, kill 掉運作過長的
12/01 01:50, 42F
12/01 01:50, , 43F
進程,我想到這麼多了
12/01 01:50, 43F
12/01 02:44, , 44F
要讓他們登入寫作業,是怎麼個寫法,知道用途跟達成方式,
12/01 02:44, 44F
12/01 02:44, , 45F
才知道怎麼去反限制.
12/01 02:44, 45F
更多 s20119 的文章
文章代碼(AID): #1IbDBSvT (Linux)