ispookan | God morgon! | 07:22 |
---|---|---|
andol | Mathisen: Nyfiken, vad tror du dig vinna på att disabla icmp ping på din server? | 07:52 |
Mathisen | andol, många attacker börjar med en vanlig ping för att se om hosten lever... | 07:52 |
Mathisen | nu måste de köra nmap för de | 07:52 |
andol | Mathisen: Kör du några publika tjänster, såsom sshd, webbserver, etc? | 07:55 |
Mathisen | andol, mjo apache + seafile | 07:55 |
Mathisen | ssh också | 07:56 |
andol | Mathisen: I sådant fall behöver de ju knappast köra en full nmap mot ip-adressen. Rätt säker på att det är precis lika vanligt att man scannar av ip-ranges genom att försöka etablaera tcp-anslutningar mot vanliga portar, såsom port 80 och port 443. | 07:56 |
Mathisen | andol, du har säkert helt rätt, men jag kan inte se något dåligt med att stänga icmp ? | 07:57 |
andol | Mathisen: Tja, i ditt exempel handlade det ju iofs bara om att stänga av icmp ping (echo), vilket mest försvårar felsökning etc. Att däremot blockera icmp har även potentiell att ställa till annat, såsom korrigering för paketstorlekar, etc. Pratar vi sen IPv6 har du än större beroende på ICMP. | 07:59 |
Mathisen | andol, hmm okej.. tackar för infon, så du menar att det kanske är lika bra att låta det va som det är då i framtiden.. | 08:01 |
bamsefar | Ja, stäng inte av ICMP. Det har inga fördelar. | 08:01 |
andol | Mathisen: Att hålla på att blockera ICMP, utan att veta precis vad man är ute efter, är bara att be om problem, utan att man egentligen uppnår något. | 08:02 |
Mathisen | okej jag ska ta och återställa det då. i helgen och pluggat iptables, så känner mig lite säkrare nu i alla fall :) | 08:02 |
Mathisen | suttit i helgen* | 08:03 |
andol | Mathisen: Notera även att det finns en skillnad på att känna sig säkrare, och att faktiskt vara säkrare. | 08:03 |
Mathisen | sant :) | 08:05 |
Mathisen | nu jag i alla fall gjort så att jag har 80/443/22/8000/8082 de portarna går att nå utåt.. de behövs till de jag kör.. | 08:09 |
Mathisen | sen så borde allt va nyaste versionerna.. så inte borde de finnas så mycket mer att göra eller hur ? | 08:10 |
Mathisen | har också installerat mod_security till apache | 08:11 |
Kira9204 | Arch hade en ok iptables guide har jag för mig | 13:39 |
Kira9204 | Notera att -m state är depricated sedam 2.6 tho, så använd conntrack istället | 13:40 |
Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!