/srv/irclogs.ubuntu.com/2016/03/06/#ubuntu-se.txt

ispookanGod morgon!07:22
andolMathisen: Nyfiken, vad tror du dig vinna på att disabla icmp ping på din server?07:52
Mathisenandol, många attacker börjar med en vanlig ping för att se om hosten lever...07:52
Mathisennu måste de köra nmap för de07:52
andolMathisen: Kör du några publika tjänster, såsom sshd, webbserver, etc?07:55
Mathisenandol, mjo apache + seafile07:55
Mathisenssh också07:56
andolMathisen: I sådant fall behöver de ju knappast köra en full nmap mot ip-adressen. Rätt säker på att det är precis lika vanligt att man scannar av ip-ranges genom att försöka etablaera tcp-anslutningar mot vanliga portar, såsom port 80 och port 443.07:56
Mathisenandol, du har säkert helt rätt, men jag kan inte se något dåligt med att stänga icmp ?07:57
andolMathisen: Tja, i ditt exempel handlade det ju iofs bara om att stänga av icmp ping (echo), vilket mest försvårar felsökning etc. Att däremot blockera icmp har även potentiell att ställa till annat, såsom korrigering för paketstorlekar, etc. Pratar vi sen IPv6 har du än större beroende på ICMP.07:59
Mathisenandol, hmm okej.. tackar för infon, så du menar att det kanske är lika bra att låta det va som det är då i framtiden..08:01
bamsefarJa, stäng inte av ICMP. Det har inga fördelar.08:01
andolMathisen: Att hålla på att blockera ICMP, utan att veta precis vad man är ute efter, är bara att be om problem, utan att man egentligen uppnår något.08:02
Mathisenokej jag ska ta och återställa det då. i helgen och pluggat iptables, så känner mig lite säkrare nu i alla fall :)08:02
Mathisensuttit i helgen*08:03
andolMathisen: Notera även att det finns en skillnad på att känna sig säkrare, och att faktiskt vara säkrare.08:03
Mathisensant :)08:05
Mathisennu jag i alla fall gjort så att jag har 80/443/22/8000/8082  de portarna går att nå utåt.. de behövs till de jag kör..08:09
Mathisensen så borde allt va nyaste versionerna.. så inte borde de finnas så mycket mer att göra eller hur ?08:10
Mathisenhar också installerat mod_security till apache08:11
Kira9204Arch hade en ok iptables guide har jag för mig13:39
Kira9204Notera att -m state är depricated sedam 2.6 tho, så använd conntrack istället13:40

Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!