Pomoc Pytanie o bezpieczeństwo

Dyskusja w 'Zdalny dostęp oraz sieć komputerowa' rozpoczęta przez użytkownika astonmartin, 6 Wrzesień 2008.

Ładowanie...
  1. astonmartin
    Offline

    astonmartin Passing Basics Beginner

    Dołączył:
    1 Wrzesień 2008
    Wiadomości:
    38
    Oceny:
    +1 / 0 / -0
    Local Time:
    20:39
    Followers:
    0
    QNAP:
    TS-109/209
    Ethernet:
    1 GbE
    TS-109/209 1 GbE
    Dziś sobie zaglądnąłem w logi systemowe i zauważyłem próby logowania na konto root przez SSH (około 50-60 prób) jak również żądania dostępu do zasobów Samby z "obcych" nr IP. Pytanie w zasadzie mam dwa.

    Jak zmienić domyślny port logowania przez SSH z 22 na jakiś inny, i czy cokolwiek w kwesti bezpieczeństwa to zmienia ?

    Co dokładnie zobaczył ten ktoś kto figuruje w logach jako guest, bo w tabelce w pozycji dostęp do zasobów nie ma nic ?

    aimg149.imageshack.us_img149_4191_logss4.
    [Nieprawidłowy link obrazu]:http://img149.imageshack.us/img149/4191/logss4.58b4c1612a.jpg

    //edycja

    Znalazłem opcję pozwalającą zmienic port SSH, wymyślilem sobie nowy i ustawiłem. Reszta pytań aktualna.
     

    Załączone pliki:

  2. Silas Mariusz
    Offline

    Silas Mariusz SysOp Administrator

    Dołączył:
    5 Kwiecień 2008
    Wiadomości:
    5 648
    Miejscowość:
    Nowy Sącz
    Oceny:
    +1 239 / 26 / -5
    Local Time:
    20:39
    Followers:
    22
    QNAP:
    TVS-x63
    Ethernet:
    1 GbE
    TVS-x63 1 GbE
    tak
    najprawdopodobniej ten noob korzystak z skanera portow i tyle
    ktos kto znajdzie SSH na innym porcie juz jest napewno znacznie lepszym hackeram :)
    ponadto kolejnym zaskoczeniem dla uzytkownikow jest to, ze nie ma root'a
    co przeklada sie na jeszcze wieksze bezpieczenstwo

    warto tez uzywac funkcji IP Filter ktora jest dostepna
    1) 'Allow connections from the list only' wprowadz swoja maske sieciowa na ktorej pracuje QNAP - jesli jestes w sieci obok niego
    2) Sprecyzuj adresy IP z ktorych zezwalasz na dostep

    jesli chodzi o sambe, ... ten koles najprawdopodobniej nie zobaczyl nic
    tylko system Windows go domyslnie zalogowa
    1) mogl przegladac otoczenie sieciowe
    2) jest system mogl sie bootowac i poprostu laczyl sie z siecia (Microsot Networking)
    obstawiam to drugie


    u mnie to wyglada tak:

    Kod (Text):
    1.            Internet
    2.                 |
    3.     Dostawca kablowy
    4.     / | | | |     \
    5.    U  U U U U   Ja(Router)
    6.                 | | |  |
    7.                 K K K  QNAP
    gdzie U to kliencie internetu
    Ja mam kilka kompturowe za routerem + QNAP'a
    Czesto mam wlasnie takie logowania po sambie od tych uzytkownikow - ale nikt nic nie przeglada i nie sciaga :) tak przez ponad pol roku
     
  3. astonmartin
    Offline

    astonmartin Passing Basics Beginner

    Dołączył:
    1 Wrzesień 2008
    Wiadomości:
    38
    Oceny:
    +1 / 0 / -0
    Local Time:
    20:39
    Followers:
    0
    QNAP:
    TS-109/209
    Ethernet:
    1 GbE
    TS-109/209 1 GbE
    Ok już rozumiem, tym guest nie należy się przejmować. Spróbowałem się podłączyć do zasobów samby jako guest i mimo odmowy dostępu w logach Qnapa pojawia się wpis "Login OK", czyli być może prawidłowy ale trochę mylący komunikat :) U mnie sieć wygląda dokładnie tak samo jak na twoim schemacie.

    W sprawie bezpieczeństwa jednak ciąg dalszy bo zacząłem trochę drążyć temat, testować i niestety wyniki nie są ciekawe. Otoż jeśli korzystamy z paczki "rtorrent++.qpkg", mamy włączony serwer web i qnapa na zewnętrzym ip lub przekierowany port 80 na routerze lub w DMZ to... cały świat może sobie korzystać z naszego interfejsu webowego do rtorenta. Sprawy nie rozwiązuje nawet wyłączenie serwera web bo trzeci interfejs działa nawet jeśli serwer web na qnapie jest wyłączony.

    Nie muszę chyba uzasadniać czemu takie rozwiązanie jest niedopuszczalne. Co można zrobić żeby ograniczyć dostęp do interfejsów rtorrenta jednocześnie nie rezygnując z Qnapa jako serwera web widocznego z internetu ?
     
  4. slyt
    Offline

    slyt Entry Technician Q Associate

    Dołączył:
    31 Sierpień 2008
    Wiadomości:
    41
    Miejscowość:
    Lublin
    Oceny:
    +1 / 0 / -0
    Local Time:
    20:39
    Followers:
    0
    1. dot. proby polaczen na SSH - to normalna proba logowania brute force (script kidies) na uruchomiona usluge SSH - normalka jak masz port 22 otwarty. Na bardziej "dorosle" dystrybucje linuxa sa skrypty blokujace proby logowania do SSH po n-tej nieudanej probie.

    2. dot. webUI - czy ktos moze mi wyjasnic jak to mozliwe ze dwie odrebne aplikacje dzialaja na tym samym porcie ? do tej pory wydawalo mi sie ze to niemozliwe ...
     
  5. astonmartin
    Offline

    astonmartin Passing Basics Beginner

    Dołączył:
    1 Wrzesień 2008
    Wiadomości:
    38
    Oceny:
    +1 / 0 / -0
    Local Time:
    20:39
    Followers:
    0
    QNAP:
    TS-109/209
    Ethernet:
    1 GbE
    TS-109/209 1 GbE
    Pozwolę sobie na takie luźne dywagacje laika, kto jest lepiej zorientowany niech sprostuje mój tok myślenia.

    Na Qnapie tak naprawdę działają dwa niezależne serwery web, jeden dający nam dostęp do interfejsu obsługi serwera - przecież korzystamy z niego w zwykłej przeglądarce czyli jakiś serwer web musi w systemie działać, a drugi który włączamy lub nie korzystając z tego pierwszego. Wygląda na to, że rtgui i wtorrent korzystają z tego włączanego ręcznie a ten trzeci interfejs wykorzystuje serwer "systemowy" jeżeli można go tak nazwać. Jak to się ma do podzielenia się przez oba serwery bezkonfliktowo jednego portu nie mam pojęcia.

    Możliwe, że wypisałem tu wierutne bzdury bo nie znam się na linuxach i serwerach ale kilka faktów sugeruje właśnie rozwiązanie w tym stylu. Chętnie poczytam jak to jest naprawdę.
     
  6. Silas Mariusz
    Offline

    Silas Mariusz SysOp Administrator

    Dołączył:
    5 Kwiecień 2008
    Wiadomości:
    5 648
    Miejscowość:
    Nowy Sącz
    Oceny:
    +1 239 / 26 / -5
    Local Time:
    20:39
    Followers:
    22
    QNAP:
    TVS-x63
    Ethernet:
    1 GbE
    TVS-x63 1 GbE
    @astonmartin
    zrezygnuj z uslugi DMZ - wlaczenie tej uslugi powoduje ze czesto bedziesz mial smieci wysylane na IP wskazany w DMZ
    proponuje recznie ustawiac porty - bezpieczniejsze
    wiem, ze funkcja DMZ jest bardzo przydatna i wydaje sie rozwiazywac wiele problemow w kilka sekund
    ale jest bardzo niebezpieczna

    QNAP ma w sobie jeden serwer Apache
    pracuje na portach 8080 i porcie ustawiany w Qweb
    port 8080 - zarzadzanie QNAP'em
    port dynamiczny ustalany w Qweb jest przeznaczony na strony internetowe uzytkownika

    rtorrent++ to zupelnie inna bajka
    jest to wersja beta klienta ktorego probuje przygotowac juz od dobyrch kilka miesiecy
    ale z powodow problemow jakie napotykam na dolnej warstwie QNAP'a znalazlem jedno rozwiazanie:
    - 2 gui postawic na serwerze Qweb (apache)
    - 1 gui postawic na dedykowanym serwerze lighttpd (port 8081) ktory wspiera fastcgi (port 5000)

    w wersji finalnej gui wszystkie maja byc albo przeniesione na lighttpd, albo na serwer Qweb - co zalezy od QNAP'a kiedy pokaza nowy firmware 3.0 skompilowany na glib 2.3.6
     
  7. slyt
    Offline

    slyt Entry Technician Q Associate

    Dołączył:
    31 Sierpień 2008
    Wiadomości:
    41
    Miejscowość:
    Lublin
    Oceny:
    +1 / 0 / -0
    Local Time:
    20:39
    Followers:
    0
    No dobrze, dobrze. Co innego praca jednej aplikacji (serwera apache) na dwoch i wiecej różnych portach. Co innego praca dwóch aplikacji na tym samym porcie. Tymczasem z opisu problemu wydaje mi sie ze mowa jest o takim wlasnie przypadku co wydaje mi sie malo mozliwe.
     
  8. astonmartin
    Offline

    astonmartin Passing Basics Beginner

    Dołączył:
    1 Wrzesień 2008
    Wiadomości:
    38
    Oceny:
    +1 / 0 / -0
    Local Time:
    20:39
    Followers:
    0
    QNAP:
    TS-109/209
    Ethernet:
    1 GbE
    TS-109/209 1 GbE
    Z tego co się zdążyłem zorientować to nie występuje tu przypadek pracy dwóch aplikacji na tym samym porcie. Sprawa wygląda tak: serwer Apache pracuje na porcie 80 i na porcie do zarządzania Qnapem (domyślnie 8080), jeśli uruchomimy rtorent++ z zainstalowanej paczki to startuje razem z sama aplikacją serwer lighttpd na porcie 8081. Przy czym z trzech dostępnych GUI dwa siedzą w Qweb i są obsługiwane przez Apache a trzecie GUI jest nam serwowane przy pomocy lighttpd.

    Problemem jest tylko fakt, iż wszystkie GUI są dostępne z internetu bez autoryzacji. Wcześniej prosiłem o radę co z tym zrobić ale, że się nie doczekałem to postanowiłem poszukać i już sobie z tym poradziłem zabezpieczając odpowiednie katalogi hasłem, postaram się napisać krótkie HOWTO do tego.
     
Ładowanie...