Új hozzászólás Aktív témák

• #30145 inf3rno nagyúr Fecogame #30141

  Új Válasz 2020-05-04 15:41:25 #30145

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  inf3rno

  nagyúr

  válasz Fecogame #30141 üzenetére

  Ránézésre ez ennyit csinál, a többi meg körítés:

  iptables port_scanners hash:ip family inet hashsize 32768 maxelem 65536 timeout 600
iptables scanned_ports hash:ip,port family inet hashsize 32768 maxelem 65536 timeout 60
iptables INPUT -m state --state INVALID -j DROP
iptables INPUT -m state --state NEW -m set ! --match-set scanned_ports src,dst -m hashlimit --hashlimit-above 1/hour --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name portscan --hashlimit-htable-expire 10000 -j SET --add-set port_scanners src --exist
iptables INPUT -m state --state NEW -m set --match-set port_scanners src -j DROP
iptables INPUT -m state --state NEW -j SET --add-set scanned_ports src,dst

  Azért én óvatosabb lennék a helyedben az ilyen scriptekkel, mert ezzel gyakorlatilag átadtad az irányítást a géped felett a script írójának [link] Aztán erősen bízol benne, hogy a következő release nem támadókódot tartalmaz.

• #30142 emvy félisten Fecogame #30141

  Új Válasz 2020-05-04 13:48:02 #30142

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  emvy

  félisten

  válasz Fecogame #30141 üzenetére

  Tegyuk fel, hogy en

  - nem valtoztatom meg a portot
  - nem hasznalok fail2ban-t
  - nem hasznalok portscan protectiont
  - csak kulccsal lehet bejonni

  Ez milyen szempontbol kevesbe biztonsagos, mint a te felallasod?

  (Production kornyezetben mondjuk nincs is publikus IP cime azon szervereknek, ahol a cuccok futnak.)

Új hozzászólás Aktív témák