| Autore |
 Discussione  |
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 29/07/2003 : 23:51:39
|
Ori, o qualcun altro, mi sapresti dire come hai fatto ad avere una schermata di console aperta con l'output di tail -f /var/log/messages?
Io ho provato ad aggiungere questo nella tab Esegui di KPPP, da eseguire prima della connessione:
konsole --noclose --notoolbar --nomenubar -e tail -f /var/log/messages.
Il problema è che KPPP non ci connette, sta ad aspettare che finisca l'esecuzione del comando, ma chiaramente non finisce se non lo killo io, cosa che chiaramente è in conflitto col mio scopo  .
Se aggiungo & per mandarlo in background KPPP mi informa che il modem è lockato e non si connette.
Ho cancellato la riga da KPPP e l'ho aggiunta in /etc/ppp/ip-up.local, ma non viene neppure eseguito.
Cosa devo fare per avere uno straccio di idea dei pacchetti droppati?
Mi sono liberato di Firestarter, mi aveva rotto con i continui segfault e ho installato KMyFirewall, meno invasivo, ma senza la GUI con il log dei pacchetti, quindi voglio sostituirla con la konsole.
Qualche idea?
Gimli
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 30/07/2003 : 08:50:25
|
Operare con /var/log/messages non e` il caso, troppo traffico su quel file. Innanzitutto non faccio tail -f sotto kppp ma da una console a parte. Comunque, la riga di codice che hai indicato l'avevi messa in quale parte del tab Execute? Quella di "Before connect" o "Upon connect". Il posto corretto e` il secondo (era qui che lanciavo iplog, quando funzionava). Questo per quanto riguarda kppp. Per la visione dei pacchetti droppati, io ho fatto cosi`: per prima cosa ho creato il file /var/log/kernel/iptables (almeno non devo cercare i pacchetti negli altri file, anche se qualche sporcizia ci finisce dentro lo stesso. Attenzione ai permessi di creazione e soprattutto al fatto che periodicamente vengono modificati da 644 in 640, impedendo la lettura da parte degli altri utenti. Ho provato a usare drakperm per mantenere i permessi a 644, ma al momento non mi sembra che funzioni. Provero` a spostare il file in /var/log/ e modificare syslog.conf per vedere se mi mantiene i permessi a 644), ho modificato il file /etc/syslog.conf aggiungendo la riga (senza virgolette) "kernel.=debug /var/log/kernel/iptables", ho lanciato un kill -1 su syslogd (in modo che ricaricasse le configurazioni) e poi ho modificato le regole di iptables aggiungendo prima di ogni regola di DROP una regola identica in cui -j DROP e` sostituito con -j LOG a cui seguono le seguenti opzioni: --log-ip-options --log-level debug --log-prefix "quello che vuoi" --log-tcp-options (solamente per i pacchetti tcp). Ad esempio, per droppare una richiesta di connessione, ho la seguente coppia di regole:
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --syn -j LOG --log-ip-options --log-level debug --log-prefix "Connection attempt: " --log-tcp-options
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --syn -j DROP
Edited by - ori on 30/07/2003 09:37:55 |
 |
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 30/07/2003 : 08:58:12
|
Ho trovato delle regole interessanti da usare:
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
che bloccano, rispettivamente, scan di tipo: xmas, null, syn/rst, syn/fin
|
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 30/07/2003 : 11:31:57
|
L'idea era di fare una pipe su grep in modo da eliminare tutto ciò che non ha a che fare con iptables:
tail -f /var/log/messages | grep KMF
visto che KMyFirewall inserisce nelle righe di log di iptables la stringa KMF, così è più facile filtrare la roba interessante.
La cosa fastidiosa sono appunto i permessi dei file di log, non leggibili da utente. Avevo pensato di aggiungermi al gruppo adm, ma non so cosa potrebbe comportare in termini di sicurezza. Proverò con mansyslogd, ci sarà pure un modo.
Quanto alle regole per gli scan le proverò non appena mi procuro una scheda ethernet di recupero, così mi faccio una rete col vecchio pc desktop e faccio gli esperimenti in tutta sicurezza con nessus e compagnia bella.
Riguardo ai pacchetti con flag multipli c'era un articolo su H&C e parlava delle regole di iptables, ma non ho approfondito il discorso.
Grazie, ciao
Gimli |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 30/07/2003 : 12:23:15
|
Per fare i test puoi sempre usare l'interfaccia di loopback (sempre che la prima regola del firewall non sia iptables -A INPUT -i lo -j ACCEPT, in tal caso conviene eliminarla). Aggiungerti al gruppo adm non credo sia una buona cosa, c'e` sempre il rischio di fare danni seri al sistema senza volerlo. A parer mio, o si risolve con i permessi via drakperm, eventualmente spostando il file, oppure si puo` usare il comando "su -c tail -f /var/log/messages", oppure, prima di lanciare tail, fare "su -c chmod o+r /var/log/messages"
Edited by - ori on 30/07/2003 12:37:02 |
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 30/07/2003 : 13:15:14
|
Sì, ma su richiede la password. A quel punto userei sudo, ma è una palla aggiungere tutta la stringa a sudoers, che tra l'altro richiede una sintassi piuttosto oscura.
Potrei provare ad aggiungere chmod a+r /var/log/messages a rc.local, ma mi pare un po' grezza come soluzione. In fondo però non vedo perché su un pc personale io comune mortale non possa leggere i log, tanto non ci sono esigenze di privacy o che, poi con una connessione dial-up 56k sono a basso rischio di intrusioni, ergo...
Per il loopback ho bisogno che sia aperta perché ci faccio girare leafnode per avere le news offline, quindi devo accettare le connessioni da localhost, sennò Sylpheed si incazza (giustamente).
BTW, quanto può costare una scheduzza ethernet PCI? Così almeno riutilizzo il glorioso P200 MMX, con Win95 è sprecato poverino
Gimli |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 30/07/2003 : 13:21:36
|
| Penso che il discorso della lettura dei file di log sia vincolato dal livello di sicurezza impostato durante l'installazione (credo che si possa cambiare, ma non ho ancora provato). Aggiungere in rc.local chmod a+r /var/log/messages non so quanto possa essere utile: dipende da quando msec (il processo che gestisce la sicurezza) passa e rimette a posto le cose, in base alle sue impostazioni. Fra le prossime cose che dovro` guardare c'e` appunto msec (forse e` con i suoi file di configurazione che bisogna prendersela, per dirgli di lasciar stare i permessi di certi file). Su quanto costa una scheda di rete non ne ho la piu` pallida idea |
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 30/07/2003 : 18:28:23
|
Mmmm, mi studierò bene gli script di avvio, così almeno imparo un po' di shell scripting serio.
Sto msec sarà un'invenzione di MDK o c'è in tutte le distro? Fortuna che non ho impostato "paranoico" come livello di sicurezza...
Gimli |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 31/07/2003 : 08:15:23
|
|
No, penso che sia solo di mandrake. Sulla redhat non lo avevo visto |
|
|
| |
Discussione |
|
|
|
Log di iptables
Forum Bloccato
