Niczego co zdalne mi nie trzeba
- Harpagon
- Piegowaty Guziec
- Posty: 25
- Rejestracja: 08 cze 2023, 12:14
- Płeć: Mężczyzna
- Wersja Ubuntu: 22.04
- Środowisko graficzne: LXQt
- Architektura: x86_64
Niczego co zdalne mi nie trzeba
Mam takie pytanko: jak upewnić się czy nikt mi się nie może włamać zdalnie do systemu?
No bo jednak serwery są zwykle na Pingwinach a i tak są włamy.
A w moim przypadku chodzi po prostu o domowy pecet.
Tzn. co wyłączyć /usunąć/ustawić żeby jaka-kolwiek możliwość zdalnego dostępu do Linuxa była nie możliwa?
Oczywiście poza odłączeniem kabelka od internetu
No bo jednak serwery są zwykle na Pingwinach a i tak są włamy.
A w moim przypadku chodzi po prostu o domowy pecet.
Tzn. co wyłączyć /usunąć/ustawić żeby jaka-kolwiek możliwość zdalnego dostępu do Linuxa była nie możliwa?
Oczywiście poza odłączeniem kabelka od internetu
-
- Piegowaty Guziec
- Posty: 6
- Rejestracja: 27 lis 2022, 20:16
- Wersja Ubuntu: 22.04
- Środowisko graficzne: Xfce
- Architektura: x86_64
Re: Niczego co zdalne mi nie trzeba
Najważniejsze jest kilka rzeczy - bo podejrzewam, że nie masz bezpośredniego podłączenia pod sieć "światową". No więc dużo zależy do twojego dostawcy i warunków przyłącza (najczęściej tu nie ma zbytnich ograniczeń/zabezpieczeń typu jakiś filtr na wejściu, blokowanie portów). Kolejna kwestia to typ adresu - najczęściej jest to bezpieczniejszy adres zmienny, ale możesz mieć równie dobrze statyczny (w uproszczeniu - dzisiaj jesteś jako 12.12.12.12, jutro jako 12.12.12.13 itp. jest bezpieczniejsze pod tym względem niż jestem 12.12.12.12 cały czas). Potem już "twoja działka" - jeśli od punktu dostępowego do urządzenia końcowego coś jest no to robi nam się łańcuch. Na routerze możesz zablokować dostęp z zewnątrz dla np. wybranego portu - przykładowo :80 odpowiedzialny za http, 20/21 za FTP - ogólnie najlepiej zablokować wszystko i odblokowywać tylko to, co ci potrzebne - w razie zbyt dużej liczby "chętnych" używać niestandardowych numerów portów i ustawić sobie przekierowanie lokalnie. Na samym komputerze - no tu też wypada zablokować, ale nie wiem co dokładnie, bo mam tylko na routerze ustawione i co jakiś czas w logach tylko, że jakieś Google, M$ i inne boty szpiegujące próbowały się dostać, ale nie wyszło i dostały bana od routera
- kobrawerde
- Gibki Gibbon
- Posty: 2048
- Rejestracja: 10 wrz 2006, 16:00
- Płeć: Mężczyzna
- Wersja Ubuntu: 22.04
- Środowisko graficzne: Cinnamon
- Architektura: x86_64
- Kontakt:
Re: Niczego co zdalne mi nie trzeba
Może zainstaluj firewall : ufw jeśli jeszcze nie masz w systemie ...jeśli jest to uruchom i nie przepuszczaj żadnych usług i portów.
https://www.digitalocean.com/community/ ... untu-20-04
https://www.digitalocean.com/community/ ... untu-20-04
- 320
- Wytworny Kaczor
- Posty: 293
- Rejestracja: 20 lis 2020, 00:03
- Wersja Ubuntu: inny OS
- Środowisko graficzne: Xfce
- Architektura: x86_64
Re: Niczego co zdalne mi nie trzeba [ufw] [gufw]
Na ufw jest graficzna nakładka gufw.
- jacekalex
- Gibki Gibbon
- Posty: 4679
- Rejestracja: 17 cze 2007, 02:54
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: MATE
- Architektura: x86_64
Re: Niczego co zdalne mi nie trzeba
Co dokładnie robi ten ufw/gufw?kobrawerde pisze: ↑09 lip 2023, 18:44 Może zainstaluj firewall : ufw jeśli jeszcze nie masz w systemie ...jeśli jest to uruchom i nie przepuszczaj żadnych usług i portów.
https://www.digitalocean.com/community/ ... untu-20-04
Pytam, bo kiedy ostatnio instalowałem nftables, to mi od razu się pojawił się w pliku:
Kod: Zaznacz cały
/usr/share/doc/nftables/examples/workstation.nft
Więc wystarczy zrobić:
Kod: Zaznacz cały
cat /usr/share/doc/nftables/examples/workstation.nft >/etc/nftables.conf
Kod: Zaznacz cały
systemctl enable nftables.service
systemctl start nftables.service
Ten sam efekt w starszym iptables robi się tak:
wskakujemy na konto root w terminalu (lub konsoli TTY):
Kod: Zaznacz cały
sudo su
Kod: Zaznacz cały
nano /etc/network/if-pre-up.d/iptables.sh
Kod: Zaznacz cały
#!/bin/sh
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
potem
Kod: Zaznacz cały
chmod 700 /etc/network/if-pre-up.d/iptables.sh
Prosto, szybko i względnie "ekologicznie".
Pozdro
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości