Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita
Riprendo dopo un bel po di anni questo discorso che attualmente è diventato ancora più fondamentale. Il concetto fondamentale resta lo stesso: Un Bastion host è normalmente nelle realtà aziendali la macchina di collegamento tra la/le LAN e Internet. Quindi questa macchina deve essere il più possibile (per quanto questo significhi un qualcosa) sicura e […]
Visto il momento attuale in cui la cyber criminalità la sta facendo da padrona, oltre al “pararsi le terga” in ogni modo possibile ed immaginabile una grossa fetta di lavoro è anche spazzolarsi i log di sistema macchina per macchina per vedere se c’è un qualcosa che non convince, ed è un lavoraccio immane. Guardando […]
A proposito di ZendTo mi sono dovuto riscrivere lo script di firewall per gestire la DMZ. Già in passato avevo fatto un lavoro del genere per un CRM che non è mai decollato veramente, oggi l’ho riscritto per nftables, per dire la verità mi sono detto è inutile e stupido che vai a scoprire di […]
Già in passato avevo parlato qui di portsentry, e nel corso degli anni mi sono reso conto di quanto sia utile e quindi non ne voglio più fare a meno, la questione è che però con nftables la cosa cambia un po quindi mi son dovuto adeguare e cercare una soluzione dato che sicuramente qualcuno […]
Nelle nuove distribuzioni Debian e derivate (ormai è chiaro anche ai sassi che sia a livello personale che aziendale uso Devuan) il programma di default per il packet filtering e’ nftables Quindi un po perché anche se non immediatamente il supporto a iptables diminuirà e quindi cesserà, un po perché stando alla documentazione nftables è […]
I log di nftales sono tanto utili quanto prolissi, anche in questo caso ci sono diversi modi di raccogliere i log, personalmente come al solito preferisco usare il vecchio metodo del file nella directory /var/log. Si tratta di istruire il sistema a salvare in un file diverso da syslog, e in questo ci supporta il […]
Negli ultimi anni si sono diffusi a macchia d’olio i vari criptolocker. Inutile rimarcare quanto siano dannosi e che razza di gentaglia sia quella che li produce e li usa, importante invece cercare di capire come funzionano e quindi metterli in condizione di non poter fare danni o almeno non molti. Dalle analisi fatte dai […]
Questo è lo script vero e proprio che contiene tutte le regole del firewall e che viene invocato da ale401.sh N.B. NON ci sono a capo ogni riga è unica gli a capo qui sono dati dalla formattazione del testo. N.M.B. per poter usare la famiglia inet su nat è obbligatorio, mandatorio, necessario e continuate […]
Allo scopo di rendere facilmente portabile tutto il lavoro ho fatto questo scriptino sciocco che mi scrive ogni volta che viene invocato gli IP delle interfacce di rete in un file di testo. #!/bin/bash EXTIF=”eth0″ ## word interface INTIF=”eth1″ ## lan interface VPNIF=”eth0:0″ ### da scommentare se esiste DMZ ###DMZIF=”eth2″ ###WEBIF=”eth0:1″ rm -rf /usr/local/bin/vars echo […]
In questo file si definiscono le variabili da passare allo script, è un file di testo semplice define EXTIF = “eth0” define INTIF = “eth1” define LO = “lo” define LO_IP = “127.0.0.1” define LAN = { 192.168.2.0/23 } #le graffe per il /23 se no non lo legge define BCAST = “192.168.3.255” define CHIMERA […]