226
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
227
Server / Re:Firefox využití CPU na 100% a moc procesů
« kdy: 13. 03. 2018, 00:54:57 »
Já sem tušil, že to bez toho nepůjde. :-D
Tedy nové screenshoty v příloze. Procesor zaměstává c++.
Děkuji, že se mi snažíš pomoct.
Tedy nové screenshoty v příloze. Procesor zaměstává c++.
Děkuji, že se mi snažíš pomoct.
228
Server / Re:Firefox využití CPU na 100% a moc procesů
« kdy: 12. 03. 2018, 22:07:21 »
Jinak nahrávání výkonu běželo při zapnuté jedné instanci firefoxu, ještě dodávám screenshot, kde firefox používá CPU na 117%, zahlédl sem tam i 135% :-D
229
Server / Re:Firefox využití CPU na 100% a moc procesů
« kdy: 12. 03. 2018, 21:28:09 »
Snad jsem nascreenoval cos mi radil. Dokážeš mě podle toho nějak nasměrovat dál nebo poznat v čem je problém? Jestli to dobře chápu, tak většinu času CPU zaměstnává přímo GECKO?
Viz přílohy.
Viz přílohy.
230
Server / Re:Jak zavřít porty na firewallu
« kdy: 12. 03. 2018, 10:35:08 »
Uf:
Děkuji ti za další nové informace, my ten seznam pravidel snad dáme do kupy. :-)
> ##### Povolení ICMP packetu pro ping
> INPUT -p icmp --icmp-type ping -j ACCEP
Když nepovolíš odchod odpovědi, stejně ti ping fungovat nebude.
Správně by to mělo být tedy, mohlo mi dojít, že musím povolit o odpověď na ten ICMP request.. To je přesně to, když máte vysokou školu IT, ale v praxi Vám to prostě hned nedojde.
iptables -A INPUT -p icmp --icmp-type ping -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type ping -j ACCEPT
>##### cokoliv na localhostu bude fungovat, například můj web, který chci vidět jen já ze svého serveru
>iptables -A INPUT -i lo -j ACCEPT
Zas: bez povolení odpovědí nemá smysl.
Takže loopback odešle požadevek na http a ta mu ho zase vrátí, chápu. Takže správně by to bylo zase:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT
> ##### pouze OUTPUT, jelikož můj web, který tam běží je určen pouze pro prohlížení na localhostu, asi běží na
> TCP i UDP, zcela jistě OUTPUT, příkazy směrem ze serveru do jiných serverů
>-A OUTPUT -p udp --dport 80 -j ACCEPT
>-A OUTPUT -p tcp --dport 80 -j ACCEPT
>...
Špatně.tzn. je Odchozí paket se vrací do portu (pro něj --dport) port klientského počítače, ze kterého přišla žádost. Port 80 je v tomto případě zdrojový.
Web používá TCP, ne UDP.
Z obdobných důvodů ti nepojedou ani tvé další služby.
Zmátla mě wikipedie, na stránce https://cs.wikipedia.org/wiki/Seznam_%C4%8D%C3%ADsel_port%C5%AF_TCP_a_UDP se v tabulce píše, že http používá oboje, tcp i udp. Teď to chápu, že na všech pravidlech pro output musí být místo cílového portu specifikovaná zdrojový port.
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
Tedy takhle je to už správně?:
##### zahazovat libovolné pakety vstupující do/z mého serveru libovolným portem
iptables -P INPUT DROP
iptables -P OUTPUT DROP
##### Nějaké standardní nezbytnosti, které nechápu k čemu slouží
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
##### Povolení ICMP packetu pro ping
iptables -A INPUT -p icmp --icmp-type ping -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type ping -j ACCEPT
##### cokoliv na localhostu bude fungovat, například můj web, který chci vidět jen já ze svého serveru
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT
##### mám web, který je určen jen pro localhost, ale chci mít možnost prohlížet si jiné weby z jiných serverů
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 443-j ACCEPT
iptables -A INPUT -p tcp --dport 443-j ACCEPT
iptables -A OUTPUT -p udp --sport 443-j ACCEPT
iptables -A OUTPUT -p tcp --sport 443-j ACCEPT
##### SNMP démon pro monitorovací aplikaci
iptables -A INPUT -p udp --dport 161 -j ACCEPT
iptables -A INPUT -p tcp --dport 161 -j ACCEPT
iptables -A OUTPUT -p udp --sport 161 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 161 -j ACCEPT
##### SSH démon, asi běží na TCP i UDP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p udp --sport 22 -j ACCEPT
Děkuji ti za další nové informace, my ten seznam pravidel snad dáme do kupy. :-)
> INPUT -p icmp --icmp-type ping -j ACCEP
Když nepovolíš odchod odpovědi, stejně ti ping fungovat nebude.
Správně by to mělo být tedy, mohlo mi dojít, že musím povolit o odpověď na ten ICMP request.. To je přesně to, když máte vysokou školu IT, ale v praxi Vám to prostě hned nedojde.
iptables -A INPUT -p icmp --icmp-type ping -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type ping -j ACCEPT
>iptables -A INPUT -i lo -j ACCEPT
Zas: bez povolení odpovědí nemá smysl.
Takže loopback odešle požadevek na http a ta mu ho zase vrátí, chápu. Takže správně by to bylo zase:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT
> TCP i UDP, zcela jistě OUTPUT, příkazy směrem ze serveru do jiných serverů
>-A OUTPUT -p udp --dport 80 -j ACCEPT
>-A OUTPUT -p tcp --dport 80 -j ACCEPT
>...
Špatně.tzn. je Odchozí paket se vrací do portu (pro něj --dport) port klientského počítače, ze kterého přišla žádost. Port 80 je v tomto případě zdrojový.
Web používá TCP, ne UDP.
Z obdobných důvodů ti nepojedou ani tvé další služby.
Zmátla mě wikipedie, na stránce https://cs.wikipedia.org/wiki/Seznam_%C4%8D%C3%ADsel_port%C5%AF_TCP_a_UDP se v tabulce píše, že http používá oboje, tcp i udp. Teď to chápu, že na všech pravidlech pro output musí být místo cílového portu specifikovaná zdrojový port.
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
Tedy takhle je to už správně?:
##### zahazovat libovolné pakety vstupující do/z mého serveru libovolným portem
iptables -P INPUT DROP
iptables -P OUTPUT DROP
##### Nějaké standardní nezbytnosti, které nechápu k čemu slouží
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
##### Povolení ICMP packetu pro ping
iptables -A INPUT -p icmp --icmp-type ping -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type ping -j ACCEPT
##### cokoliv na localhostu bude fungovat, například můj web, který chci vidět jen já ze svého serveru
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT
##### mám web, který je určen jen pro localhost, ale chci mít možnost prohlížet si jiné weby z jiných serverů
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 443-j ACCEPT
iptables -A INPUT -p tcp --dport 443-j ACCEPT
iptables -A OUTPUT -p udp --sport 443-j ACCEPT
iptables -A OUTPUT -p tcp --sport 443-j ACCEPT
##### SNMP démon pro monitorovací aplikaci
iptables -A INPUT -p udp --dport 161 -j ACCEPT
iptables -A INPUT -p tcp --dport 161 -j ACCEPT
iptables -A OUTPUT -p udp --sport 161 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 161 -j ACCEPT
##### SSH démon, asi běží na TCP i UDP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p udp --sport 22 -j ACCEPT
231
Server / Re:Jak zavřít porty na firewallu
« kdy: 11. 03. 2018, 23:59:16 »
Wau, si vylepšujete karmu, fakt mi až překvapivě skvěle pomáháte, moc děkuji.
Takže fail2ban ani nemá význam instalovat, chápu, není tak důležitý, jak si uživatel, co mi to napsal myslel, akorát mě popletl. No pravidelnou aktualizací se ty známe přehmaty (díry) eliminují, nebo se pletu? Já fakt nepoužívám moc služeb, fakt jen SNMP, SSH, HTTP, HTTPS nic víc mě nenapadá, tam doufám známé díry ve stable verzích nejsou. Dobře, souhlasím se změnou z firewalld -> iptables.
Každá služba má svůj síťový port a běží na určitém protokolu TCP/UDP, případně na obou. Pokud chci otevřít port např 80 a nemohu na internetu najít, jestli běží na TCP nebo UDP, mohu pro jistotu otevřít raději oba a ono si to už nějak poradí?
Jestli to dobře chápu, měl by můj iptables konfigurační soubor vypadat nějak takhle, určitě tam mám nějaké chyby?:
iptables -P INPUT DROP # zahazovat pakety vstupující do mého serveru libovolným portem
iptables -P OUTPUT DROP # zahazovat pakety vystupujících z mého serveru libovolným portem
##### Nějaké standardní nezbytnosti, většině z nich ani nerozumím a rozumět nechci
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
##### Povolení ICMP packetu pro ping
INPUT -p icmp --icmp-type ping -j ACCEP
##### cokoliv na localhostu bude fungovat, například můj web, který chci vidět jen já ze svého serveru
-A INPUT -i lo -j ACCEPT
##### pouze OUTPUT, jelikož můj web, který tam běží je určen pouze pro prohlížení na localhostu, asi běží na TCP i UDP, zcela jistě OUTPUT, příkazy směrem ze serveru do jiných serverů
-A OUTPUT -p udp --dport 80 -j ACCEPT
-A OUTPUT -p tcp --dport 80 -j ACCEPT
-A OUTPUT -p udp --dport 443-j ACCEPT
-A OUTPUT -p tcp --dport 443-j ACCEPT
##### SNMP démon pro monitorovací aplikaci, která je na jiném serveru, asi OUTPUT
-A OUTPUT -p udp --dport 161 -j ACCEPT
-A OUTPUT -p tcp --dport 161 -j ACCEPT
##### SSH démon, asi běží na TCP i UDP, zcela jistě INPUT, příkazy směrem do serveru
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p udp --dport 22 -j ACCEPT
##### Done. Snad jsem na nic nezapomněl, ale to poznám podle toho zda mi nějaká služba přestane fungovat. :-D
Takže fail2ban ani nemá význam instalovat, chápu, není tak důležitý, jak si uživatel, co mi to napsal myslel, akorát mě popletl. No pravidelnou aktualizací se ty známe přehmaty (díry) eliminují, nebo se pletu? Já fakt nepoužívám moc služeb, fakt jen SNMP, SSH, HTTP, HTTPS nic víc mě nenapadá, tam doufám známé díry ve stable verzích nejsou. Dobře, souhlasím se změnou z firewalld -> iptables.
Každá služba má svůj síťový port a běží na určitém protokolu TCP/UDP, případně na obou. Pokud chci otevřít port např 80 a nemohu na internetu najít, jestli běží na TCP nebo UDP, mohu pro jistotu otevřít raději oba a ono si to už nějak poradí?
Jestli to dobře chápu, měl by můj iptables konfigurační soubor vypadat nějak takhle, určitě tam mám nějaké chyby?:
iptables -P INPUT DROP # zahazovat pakety vstupující do mého serveru libovolným portem
iptables -P OUTPUT DROP # zahazovat pakety vystupujících z mého serveru libovolným portem
##### Nějaké standardní nezbytnosti, většině z nich ani nerozumím a rozumět nechci
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
##### Povolení ICMP packetu pro ping
INPUT -p icmp --icmp-type ping -j ACCEP
##### cokoliv na localhostu bude fungovat, například můj web, který chci vidět jen já ze svého serveru
-A INPUT -i lo -j ACCEPT
##### pouze OUTPUT, jelikož můj web, který tam běží je určen pouze pro prohlížení na localhostu, asi běží na TCP i UDP, zcela jistě OUTPUT, příkazy směrem ze serveru do jiných serverů
-A OUTPUT -p udp --dport 80 -j ACCEPT
-A OUTPUT -p tcp --dport 80 -j ACCEPT
-A OUTPUT -p udp --dport 443-j ACCEPT
-A OUTPUT -p tcp --dport 443-j ACCEPT
##### SNMP démon pro monitorovací aplikaci, která je na jiném serveru, asi OUTPUT
-A OUTPUT -p udp --dport 161 -j ACCEPT
-A OUTPUT -p tcp --dport 161 -j ACCEPT
##### SSH démon, asi běží na TCP i UDP, zcela jistě INPUT, příkazy směrem do serveru
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p udp --dport 22 -j ACCEPT
##### Done. Snad jsem na nic nezapomněl, ale to poznám podle toho zda mi nějaká služba přestane fungovat. :-D
232
Server / Re:Jak zavřít porty na firewallu
« kdy: 11. 03. 2018, 20:00:22 »
ZAJDAN:
Toho jsem si plně vědom, proto se také pídím po tom, jak toho docílit. Jen mi přijde, že někteří se hodně diví, proč to chci udělat. Krom toho opakovaně jsem zmínil, že weby mi na serveru neběží a když už, tak ne pro veřejný přístup.
phpkral:
Považuji za naprosto jasné, že port není zdrojem vysokého trafficu, ale služba. To ale nemění nic na tom, že zavřením portů které nechci používat, například pormapper 111 UDP budu mít od vysokého trafficu pokoj. Ale chápu, že Vám to přijde jako hodně šílené řešení, že tak by se to dělat nemělo, ale mě je to fuk, nehodlám se živit jako linux admin, ani nemám budget pro najmutí linux admina a správu serveru, jen chci, aby věci co potřebuji "nějak" běžely a já nemusel řešit, že mi píše DC a CSIRT. CentOS bez zajištění bezpečnosti je použitelný? Jestli to dobře chápu, tak u každého CentOS je jen otázka času, než někdo hackne server útokem brute force útokem. Nikdy jsem se nevyjádřil, že očekávám, že se na linuxu nemusí nikdy nic konfigurovat, jen, že doufám, že u fail2ban bude v pořádku a použitelná defaultní konfigurace.
Miroslav Šilhavý:
No něco mi říká, že Debian by určitě bez předinstalované fail2ban určitě nevyšel, právě vzhledem k zásadám distribuce.
Obecně:
Z této vlny odpovědí jsem se nedozvěděl nic nového. Pořád to chápu tak, že co mám v plánu udělat je v pořádku. Tedy zavřít všechny porty a na následujících řádkách povolit jen ty porty, které mé služby potřebují. Nehodlám řešit hloubkovou analýzu a tím, že zaříznu veškerou komunikaci si prostě pomůžu.
1. Zavřít všechny síťové porty
2. Nainstalovat fail2ban
3. Možná ještě zkusím změnit defaultní port pro SSH
Toho jsem si plně vědom, proto se také pídím po tom, jak toho docílit. Jen mi přijde, že někteří se hodně diví, proč to chci udělat. Krom toho opakovaně jsem zmínil, že weby mi na serveru neběží a když už, tak ne pro veřejný přístup.
phpkral:
Považuji za naprosto jasné, že port není zdrojem vysokého trafficu, ale služba. To ale nemění nic na tom, že zavřením portů které nechci používat, například pormapper 111 UDP budu mít od vysokého trafficu pokoj. Ale chápu, že Vám to přijde jako hodně šílené řešení, že tak by se to dělat nemělo, ale mě je to fuk, nehodlám se živit jako linux admin, ani nemám budget pro najmutí linux admina a správu serveru, jen chci, aby věci co potřebuji "nějak" běžely a já nemusel řešit, že mi píše DC a CSIRT. CentOS bez zajištění bezpečnosti je použitelný? Jestli to dobře chápu, tak u každého CentOS je jen otázka času, než někdo hackne server útokem brute force útokem. Nikdy jsem se nevyjádřil, že očekávám, že se na linuxu nemusí nikdy nic konfigurovat, jen, že doufám, že u fail2ban bude v pořádku a použitelná defaultní konfigurace.
Miroslav Šilhavý:
No něco mi říká, že Debian by určitě bez předinstalované fail2ban určitě nevyšel, právě vzhledem k zásadám distribuce.
Obecně:
Z této vlny odpovědí jsem se nedozvěděl nic nového. Pořád to chápu tak, že co mám v plánu udělat je v pořádku. Tedy zavřít všechny porty a na následujících řádkách povolit jen ty porty, které mé služby potřebují. Nehodlám řešit hloubkovou analýzu a tím, že zaříznu veškerou komunikaci si prostě pomůžu.
1. Zavřít všechny síťové porty
2. Nainstalovat fail2ban
3. Možná ještě zkusím změnit defaultní port pro SSH
233
Server / Re:Jak zavřít porty na firewallu
« kdy: 10. 03. 2018, 21:52:49 »
František Ryšánek
Děkuji moc, za informace, jistě jste si s tím dal dost práce. Vypnu tedy firewalld a nainstaluji iptables, abych mohl použít, co jste mi sepsal. Nějaké loopback rozhraní na serveru definované je, tak snad to bude fungovat. "default pro chain "output" by mohl být accept?" Jestli to dobře, chápu, tak právě, že nemohl. Jde mi o to, aby můj server nemohl být zneužit pro generování vysokého trafficu, v minulosti sem měl problém s port mapperem, který byl zneužit a můj server generoval převysoký traffic, chtěl bych se tomu pro příště vyhnout tak, že zakážu především output, aby nemohl být generován TX přenos. Jinak to chápu, děkuji moc. Tedy stačí tam dát taktéž DROP a potom porty, které potřebuji aby komunikovali na OUTPUTU, tak pravidla budou vypadat stejně jako ty pro INPUT.
Fail2ban znám a najivně jsem si myslel, že tuto službu má centos už v sobě. Pokud nemá, tak centos je přece úplně nepoužitelný, když kdokoliv může beztrestně napadnou můj server přes SSH hrubou silou... :-(
Takže plán je jasný, doinstalovat fail2ban (doufám, že nebude třeba nic konfigurovat a postačí defaultní nastavení) + nasazení iptables s Vámi odeslanými pravidly a bude to tak, jak jsem požadoval.
Případně je ještě něco kromě povolení icmp pingu, co by mělo být povolené, jako standardně bývá otevřené, nerad bych něco opomněl.
Držte mi palce, ať se mi podaří správný efekt. Ještě jednou děkuji moc.
Děkuji moc, za informace, jistě jste si s tím dal dost práce. Vypnu tedy firewalld a nainstaluji iptables, abych mohl použít, co jste mi sepsal. Nějaké loopback rozhraní na serveru definované je, tak snad to bude fungovat. "default pro chain "output" by mohl být accept?" Jestli to dobře, chápu, tak právě, že nemohl. Jde mi o to, aby můj server nemohl být zneužit pro generování vysokého trafficu, v minulosti sem měl problém s port mapperem, který byl zneužit a můj server generoval převysoký traffic, chtěl bych se tomu pro příště vyhnout tak, že zakážu především output, aby nemohl být generován TX přenos. Jinak to chápu, děkuji moc. Tedy stačí tam dát taktéž DROP a potom porty, které potřebuji aby komunikovali na OUTPUTU, tak pravidla budou vypadat stejně jako ty pro INPUT.
Fail2ban znám a najivně jsem si myslel, že tuto službu má centos už v sobě. Pokud nemá, tak centos je přece úplně nepoužitelný, když kdokoliv může beztrestně napadnou můj server přes SSH hrubou silou... :-(
Takže plán je jasný, doinstalovat fail2ban (doufám, že nebude třeba nic konfigurovat a postačí defaultní nastavení) + nasazení iptables s Vámi odeslanými pravidly a bude to tak, jak jsem požadoval.
Případně je ještě něco kromě povolení icmp pingu, co by mělo být povolené, jako standardně bývá otevřené, nerad bych něco opomněl.
Držte mi palce, ať se mi podaří správný efekt. Ještě jednou děkuji moc.
234
Server / Re:Jak zavřít porty na firewallu
« kdy: 10. 03. 2018, 20:55:06 »
j:
No já bych raději fakt zakázal všechno a povolil jen to co používám. Je mi jasné, že se nedostanu na web, když nepovolím porty 80 a 443, mám server, kde nic jiného než pouze 80,443 a SSH a 161(SNMP), nic víc mě nenapadá, tak bych všechno zakázal a povolil jen tohle. Pak mám druhý server a tam mi kde mi stačí jen SSH, SNMP a custom port. Zablokoval bych všechno jak příchozí tak odchozí, nějak mi nedošlo, proč bych tak neměl učinit.
phpkral:
To těžko, WP nemám rád a navíc, weby mám na sdíleném webhostingu, ty si nehostuji sám, jak je vidět, nemám na webhosting ještě skill. Co je síťový port vím, nějaké podrobnosti mi jsou už jedno. Nejde ani tak o hacknutí serveru, to by mi nevadilo, horší je, že ten můj server je používán např skenování a tímhle to podchytím. Tak nějak nemám skill zabývat se tím, jak se to hacknutí stane, páč na serveru je pouze aplikace, kterou nijak nevyvíjím já a i kdybych měl, stejně na to nepřijdu. :-) Vím, že mi chceš pomoct, abych to podchytil lépe, ale to je na dlouho, na tyhle věci musím přijít sám postupem času. Momentálně mi jde opravdu jen o to, aby bylo povoleno opravdu jen a pouze pár portů, které mé démoni opravdu používají.
Popravdě bych byl rád, kdyby někdo zkušený co to už dává z hlavy mi napsal dva řádky, které vložím do konfiguračního souboru, aby výsledkem byl:
1. Řádek - Zablokování všeho
2. Řádek - Povolení SSH
3. Řádek - Už si povolím jen porty na kterých chci aby server komunikoval
V podstatě potřebuji neco takovéhleho, akorát aby to bylo napsané správně (nikde v těch příkazech nevidím jestli je to input nebo output) a taky asi ne všechny ty služby komunikují:
firewall-cmd --zone=public --del-port=0-65535/udp --permanent #zablokuje vše
firewall-cmd --zone=public --del-port=0-65535/tcp --permanent # zablokuje vše
firewall-cmd --zone=public --add-port=22/tcp --permanent # následně povolí SSH, které hádám běží jen na TCP
firewall-cmd --zone=public --add-port=80/udp --permanent
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/udp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --zone=public --add-port=161/udp --permanent
firewall-cmd --zone=public --add-port=161/tcp --permanent
No já bych raději fakt zakázal všechno a povolil jen to co používám. Je mi jasné, že se nedostanu na web, když nepovolím porty 80 a 443, mám server, kde nic jiného než pouze 80,443 a SSH a 161(SNMP), nic víc mě nenapadá, tak bych všechno zakázal a povolil jen tohle. Pak mám druhý server a tam mi kde mi stačí jen SSH, SNMP a custom port. Zablokoval bych všechno jak příchozí tak odchozí, nějak mi nedošlo, proč bych tak neměl učinit.
phpkral:
To těžko, WP nemám rád a navíc, weby mám na sdíleném webhostingu, ty si nehostuji sám, jak je vidět, nemám na webhosting ještě skill. Co je síťový port vím, nějaké podrobnosti mi jsou už jedno. Nejde ani tak o hacknutí serveru, to by mi nevadilo, horší je, že ten můj server je používán např skenování a tímhle to podchytím. Tak nějak nemám skill zabývat se tím, jak se to hacknutí stane, páč na serveru je pouze aplikace, kterou nijak nevyvíjím já a i kdybych měl, stejně na to nepřijdu. :-) Vím, že mi chceš pomoct, abych to podchytil lépe, ale to je na dlouho, na tyhle věci musím přijít sám postupem času. Momentálně mi jde opravdu jen o to, aby bylo povoleno opravdu jen a pouze pár portů, které mé démoni opravdu používají.
Popravdě bych byl rád, kdyby někdo zkušený co to už dává z hlavy mi napsal dva řádky, které vložím do konfiguračního souboru, aby výsledkem byl:
1. Řádek - Zablokování všeho
2. Řádek - Povolení SSH
3. Řádek - Už si povolím jen porty na kterých chci aby server komunikoval
V podstatě potřebuji neco takovéhleho, akorát aby to bylo napsané správně (nikde v těch příkazech nevidím jestli je to input nebo output) a taky asi ne všechny ty služby komunikují:
firewall-cmd --zone=public --del-port=0-65535/udp --permanent #zablokuje vše
firewall-cmd --zone=public --del-port=0-65535/tcp --permanent # zablokuje vše
firewall-cmd --zone=public --add-port=22/tcp --permanent # následně povolí SSH, které hádám běží jen na TCP
firewall-cmd --zone=public --add-port=80/udp --permanent
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/udp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --zone=public --add-port=161/udp --permanent
firewall-cmd --zone=public --add-port=161/tcp --permanent
235
Server / Re:Jak zavřít porty na firewallu
« kdy: 09. 03. 2018, 20:49:43 »
Rhinox: No to nevím iptables vůbec nemám nainstalovaný, ale to co mi radíš mi přijde logické, takhle funguje většina accesslistů apod, ACL se v tom mém firewallu asi říká zóna. Už asi tuším jak na to. Prostě tam dám na začátek ořezané pravidlo bez specifického portu.
Miroslav: Psal jsem, že CentOS, no asi příchozí i odchozí, proč by to mělo být otevřené, když ty porty prostě nebudu používat. Reverzní proxy neznám, znám jen reverzní DNS, občas na serveru mám jednoduché webové aplikace no, přečtu si nekde něco o reverzní proxy, ale už mi to někdo také říkal, tohle, asi na tom něco bude. :-D Však já se bavím o SW firewallu uvnitř linuxové distribuce. A ano, věřím, že většinou byl server hacknutý přes web server, teď už dávám deny from all a povolím si jen svou IP, většinou co mám na webserveru, tak nepotřebuji veřejně, jen pro sebe.
Oběma děkuji za rady a nové zkušenosti.
Miroslav: Psal jsem, že CentOS, no asi příchozí i odchozí, proč by to mělo být otevřené, když ty porty prostě nebudu používat. Reverzní proxy neznám, znám jen reverzní DNS, občas na serveru mám jednoduché webové aplikace no, přečtu si nekde něco o reverzní proxy, ale už mi to někdo také říkal, tohle, asi na tom něco bude. :-D Však já se bavím o SW firewallu uvnitř linuxové distribuce. A ano, věřím, že většinou byl server hacknutý přes web server, teď už dávám deny from all a povolím si jen svou IP, většinou co mám na webserveru, tak nepotřebuji veřejně, jen pro sebe.
Oběma děkuji za rady a nové zkušenosti.
236
Server / Re:Firefox využití CPU na 100% a moc procesů
« kdy: 09. 03. 2018, 20:36:44 »
hawran, ok, tedy děkuji
f: bohužel to to vypadá, že veškeré CPU žere hlavní vlákno firefoxu, nikoliv ty vlákna o úroveň níž. JS helpery zamstnávají CPU na pár procent, přestože JS mám povolený jen pár zdrojů jako google analytics, bootsrap apod. Viz screenshot.
f: bohužel to to vypadá, že veškeré CPU žere hlavní vlákno firefoxu, nikoliv ty vlákna o úroveň níž. JS helpery zamstnávají CPU na pár procent, přestože JS mám povolený jen pár zdrojů jako google analytics, bootsrap apod. Viz screenshot.
237
Server / Re:Jak zavřít porty na firewallu
« kdy: 09. 03. 2018, 19:12:35 »
Napadlo mě něco jako:
firewall-cmd --zone=public --del-port=0-65535/udp --permanent
firewall-cmd --zone=public --del-port=0-65535/tcp --permanent
Omlouvám se za doublepost, nemám tu ikonku na editaci prvního postu, ale nevím či by to fungovalo takhle určené rozsahem.
firewall-cmd --zone=public --del-port=0-65535/udp --permanent
firewall-cmd --zone=public --del-port=0-65535/tcp --permanent
Omlouvám se za doublepost, nemám tu ikonku na editaci prvního postu, ale nevím či by to fungovalo takhle určené rozsahem.
238
Server / Jak zavřít porty na firewallu
« kdy: 09. 03. 2018, 18:54:54 »
Hezký večer,
prosím si od Vás radu, jak vypnout všechny porty na firewallu. Vždycky mi server někdo hackne a generuje velký traffic a co hůř do transitu, nedávno portmaper.
Tak sem se naštval a řekl sem si, že prostě zakážu komunikaci na všech portech a postupně budu případně povolovat jen ty porty, které mám v plánu používat.
Chvilku sem se snažil googlit, ale moc mi google nepomohl, našel sem nějaký návod pro iptables, jenže já na CentOSu nemám iptables, ale "firewalld".
Děkuji za rady, jak na to.
prosím si od Vás radu, jak vypnout všechny porty na firewallu. Vždycky mi server někdo hackne a generuje velký traffic a co hůř do transitu, nedávno portmaper.
Tak sem se naštval a řekl sem si, že prostě zakážu komunikaci na všech portech a postupně budu případně povolovat jen ty porty, které mám v plánu používat.
Chvilku sem se snažil googlit, ale moc mi google nepomohl, našel sem nějaký návod pro iptables, jenže já na CentOSu nemám iptables, ale "firewalld".
Děkuji za rady, jak na to.
239
Server / Re:Firefox využití CPU na 100% a moc procesů
« kdy: 09. 03. 2018, 18:48:22 »
1. Prohlížeč měnit nechci máme už nakonfigurované svoje profily s firefoxem umíme apod. Nechceme jiný.
2. AdBlock jsem zavrhnul, páč při našem stylu používání brutálně zvyšoval RAM, ale tak to bych přežil, pokud by odlehčil CPU, zkusím mu tedy dát ještě šanci, děkuji.
2. AdBlock jsem zavrhnul, páč při našem stylu používání brutálně zvyšoval RAM, ale tak to bych přežil, pokud by odlehčil CPU, zkusím mu tedy dát ještě šanci, děkuji.
240
Server / Re:Firefox využití CPU na 100% a moc procesů
« kdy: 08. 03. 2018, 11:21:50 »
To jsme vlastně vyřešily jen RAM. Nějak jsem zapomněl, že mi šlo primárně o CPU usage.
Zkusil jsem nainstalovat noScript, doplněk, myslel jsem, že vysoké CPU způsobuje zpracovávání javascriptu, ale nepomohl sem si nijak.
Mám server s 3x CPU, i když kažá instance firefoxu má svoje vlastní vlákno (3x CPU = 3x Instance firefoxu), stejně běží CPU average 95% až 100% všechny tři. Viz screenshot.
Nemáte prosím pro mě nějaký typ kam se mrknout, co kde nastavit, abych odlehčil CPU?
Zkusil jsem nainstalovat noScript, doplněk, myslel jsem, že vysoké CPU způsobuje zpracovávání javascriptu, ale nepomohl sem si nijak.
Mám server s 3x CPU, i když kažá instance firefoxu má svoje vlastní vlákno (3x CPU = 3x Instance firefoxu), stejně běží CPU average 95% až 100% všechny tři. Viz screenshot.
Nemáte prosím pro mě nějaký typ kam se mrknout, co kde nastavit, abych odlehčil CPU?
