Régóta gondolkozom, hogy mi a legpraktikusabb megoldás az ssh-n keresztül próbálkozó script kiddiek ellen. Nyilvánvaló, hogy nem engedek rootot ssh-n keresztül belépni, s nincsenek triviális userek se engedélyezve. Ami a dologban legjobban zavar, hogy teleszemetelik a logokat, meg feleslegesen dolgoztatják a gépet.
Még régen találtam ezt a jó kis wikit. Többször végigfutottam már, s eljátszottam mindegyik megoldással.
Végül amellett az egyszerű megoldás mellett döntöttem (amit egyébként sok más helyen is alkalmazok), hogy átpakolom az ssh-t a 22-es portról máshova.
A port knocking szintén dobogós megoldás volt, de körülményes volta miatt, végül a második helyen végzett. Ugyanez a kör, hogy csak bizonyos hostokról engedélyezzem az ssh-t. Jó, de lehet, hogy ezzel saját magamat szivatnám meg.
A BlockHosts, DenyHosts, fail2ban és hasonló szolgáltatásokat azért is vetettem el, mert mi van, ha valakinek feltörték a gépét, s onnan próbálkoztak. Mi van, ha én kapom majd azt az ip-t, amit esetleg letiltottam? (egy időben tiltottam ip-ket, de nem éri meg)
Amit még csináltam, hogy korlatoztam a fickokat, akik probalkoznak:
iptables -A INPUT -p TCP -s fehérlistázandó_IP_cím --syn --dport ssh -j ACCEPT
iptables -A INPUT -p TCP --syn --dport ssh -m recent --update --seconds 60 --hitcount 3 -j DROP
iptables -A INPUT -p TCP --syn --dport ssh -m recent --set -j ACCEPT
Így már remélem minden OK lesz. :-)
Források a fent említetteken kívül: hup és megint hup. Végül pedig debian-administration.
2006. 03. 25. @ 14:14 | debuntu, gephaz, linux, net, opensource and tech | 0 Komment | Edit
Juhhu, régóta várt dolog látszik megvalósulni. Volt már petíció, telefon, levélváltás... mostanra pedig eljutott odáig a linuxos közösség, hogy az abev linuxos béta verziója tesztelhető.
forrás: hup
2006. 03. 20. @ 19:44 | debuntu, hírek, linux, opensource and tech | 0 Komment | Edit
Lipileenél olvastam, hogy az Arch milyen gyorsan bootol a gépén. Kommentek között olvasható az én kis 500 Mhz-es PIII-mam igencsak lassú bootolásának ideje.
Gondoltam ezért egyet, s kicsit kipucoltam az init scripteket, és most fordul az új kernel. Meglátjuk mennyit sikerül javítani a sebességen...
Persze fontos megjegyezni, hogy ez a gép csak itthoni file/nyomtató szerver...magyarul "játékgép". Ha (csak) azon dolgoznék, akkor azért előbb léptem volna a sebességnövekedés érdekében. (az iBook 20 mp alatt grafikus felülettel bootol)
Ennek ellenére lehet, hogy az ubuntu helyére (debian sid, ubuntu breezy dual boot van rajta) felteszek egy archlinux-ot.
2006. 03. 19. @ 19:12 | debuntu, linux, opensource and tech | 0 Komment | Edit
Nemrég írtam a lighttpd-ről. Akkor még csak szerettem volna kipróbálni. Most már lassan egy hete használom. Tényleg nagyon gyors és alig van "igénye". Nálam itthon fut tesztüzemben egy 500mhz-es p3-on.
Nem csináltam teszteket, benchmarkokat, mert nem érdekel. A lényeg, hogy megbízhatóan fut. Ennek ellenére nem tenném fel éles szerverre még. Annyira nem ismerem.
Összelőttem php5-tel, meg mysql-lel. A php-t cgi-ként eszi meg, tehát be kell kapcsolni a cgi támogatást a webszerverben. A debian (unstable) verzióban ezt a lighty-enable-mod cgi parancs segítségével könnyen meg lehet tenni (azt hiszem ez egyébként nem debian specifikus, de mivel nem próbáltam mást, nem tudom).
Támogat még virtualis hostokat (itthon nem próbáltam, meg nincs is rá szükségem), ssl-t (még nem próbáltam, de ki fogom próbálni), userdirt (szintén nem érdekel).
Nem is olyan régóta része a debian testing ágának is, nem csak az unstable-nek. Ubuntu dapperben szintén benne lesz majd, ha jól tudom.
Mindenképpen érdemes lesz szemmel tartani a projektet. Nem trónkövetelő, de kisebb feladatokra, gyengébb gépekre kiváló választás.
2006. 03. 14. @ 20:19 | debuntu, linux, net, opensource and tech | 0 Komment | Edit
Az ubuntu dapper drake (=gácsér) kiadása úgy tűnik nem fog áprilisban megjelenni. A fejlesztése azonban halad gőzerővel tovább. Ma kiadták a filght 5-öt (fejlesztői változat, tesztelésre). Majd meglátjuk mi lesz. Shuttleworth javaslata, hogy a végleges kiadás hat hetet csússzon.
update:Érdekes adalék a hírhez, hogy az ubuntu kiadásai azonkívül, hogy "vicces" alliteráló (állat)neveket viselnek (warty warthog, breezy badger, dapper drake), rendelkeznek egy számmal. A szám a megjelenés éve és hónapja. A jelenlegi verzió a 5.10-es, mert 2005 októberében jelent meg. A warty az 5.04 -es volt, a dapper pedig a 6.04-es. Azonban, ha csúszik a kiadás, akkor kérdés, hogy mi lesz a verziószámmal.
(források: hup, /., osnews)
2006. 03. 12. @ 00:21 | debuntu and linux | 0 Komment | Edit
