Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita
Riprendo dopo un bel po di anni questo discorso che attualmente è diventato ancora più fondamentale. Il concetto fondamentale resta lo stesso: Un Bastion host è normalmente nelle realtà aziendali la macchina di collegamento tra la/le LAN e Internet. Quindi questa macchina deve essere il più possibile (per quanto questo significhi un qualcosa) sicura e […]
A proposito di ZendTo mi sono dovuto riscrivere lo script di firewall per gestire la DMZ. Già in passato avevo fatto un lavoro del genere per un CRM che non è mai decollato veramente, oggi l’ho riscritto per nftables, per dire la verità mi sono detto è inutile e stupido che vai a scoprire di […]
Visto che su backports di beowulf e’ arrivato nftables 0.9.6 cambiano un po di cose rispetto a qui Fail2ban su Devuan Beowulf e non e’ piu’ necessario copiarsi i files dal repository ufficiale, quindi clono pari pari la vecchia pagina e tolgo quel che non serve lasciando la vecchia soluzione come storico. Fail2ban come noto […]
Già in passato avevo parlato qui di portsentry, e nel corso degli anni mi sono reso conto di quanto sia utile e quindi non ne voglio più fare a meno, la questione è che però con nftables la cosa cambia un po quindi mi son dovuto adeguare e cercare una soluzione dato che sicuramente qualcuno […]
Fail2ban come noto è un programma pensato per prevenire gli attacchi brute force. Scansiona i file di log e blocca quegli indirizzi che hanno troppi fallimenti di password, è scritto in Python e a mio avviso ricade nella categoria IDS/IPS. Questo articoletto sostituisce tutti i precedenti, per due ragioni principali: a) il framework di packet […]
Nelle nuove distribuzioni Debian e derivate (ormai è chiaro anche ai sassi che sia a livello personale che aziendale uso Devuan) il programma di default per il packet filtering e’ nftables Quindi un po perché anche se non immediatamente il supporto a iptables diminuirà e quindi cesserà, un po perché stando alla documentazione nftables è […]
Negli ultimi anni si sono diffusi a macchia d’olio i vari criptolocker. Inutile rimarcare quanto siano dannosi e che razza di gentaglia sia quella che li produce e li usa, importante invece cercare di capire come funzionano e quindi metterli in condizione di non poter fare danni o almeno non molti. Dalle analisi fatte dai […]
Questo è lo script vero e proprio che contiene tutte le regole del firewall e che viene invocato da ale401.sh N.B. NON ci sono a capo ogni riga è unica gli a capo qui sono dati dalla formattazione del testo. N.M.B. per poter usare la famiglia inet su nat è obbligatorio, mandatorio, necessario e continuate […]
Allo scopo di rendere facilmente portabile tutto il lavoro ho fatto questo scriptino sciocco che mi scrive ogni volta che viene invocato gli IP delle interfacce di rete in un file di testo. #!/bin/bash EXTIF=”eth0″ ## word interface INTIF=”eth1″ ## lan interface VPNIF=”eth0:0″ ### da scommentare se esiste DMZ ###DMZIF=”eth2″ ###WEBIF=”eth0:1″ rm -rf /usr/local/bin/vars echo […]
In questo file si definiscono le variabili da passare allo script, è un file di testo semplice define EXTIF = “eth0” define INTIF = “eth1” define LO = “lo” define LO_IP = “127.0.0.1” define LAN = { 192.168.2.0/23 } #le graffe per il /23 se no non lo legge define BCAST = “192.168.3.255” define CHIMERA […]