[Server] ubuntu server 8.0.4 dargli una sicurezza maggiore

alexthemaster

ciao a tutti ho un server ubuntu 8.0.4 e vorrei dargli una sicurezza maggiore. ho installato bind9 postfix apache dovecot e il php con relative librerie dei vari programmi. vorrei sapere se c'è una guida che mi elenca le porte in ascolto nel mio server e mi spieghi come chiuderle in maniera tale da poter abilitare solo l'80 e 79 per l'http poi quella per l'https per l'ftp e per il pop3 in maniera tale che so quali sono le porte aperte e le restanti bloccarle bloccando servizi inutili. poi volevo chiedervi come faccio ad eliminre programmi inutili che partono all'avvio con il server, perchè penso che installando la 8.04 parta anche qualche programma che non sia utile per il webserver che voglio gestire(penso).

grazie

fortran77

Per la prima domanda devi studiarti iptables. Visto che hai intenzione di gestire un server web ti conviene impararlo bene e davvero, senza passare per quelle scorciatoie di gui varie e script prefabbricati.
A seconda di quanto sei scafato potresti impiegarci un tempo variabile tra pochi giorni e qualche settimana, ma è tutto tempo ben speso, tanto le conoscenze che accumuli ti serviranno prima o poi.
In rete c'è tanto materiale, io apprezzo molto lo wiki di gentoo ma dovrai leggerti anche qualche guida seria su iptables (google is your friend).
Se ti interessa una base da cui partire ti posso dare il mio script, che ho fatto a manina e che è molto configurabile, tuttavia devi capire un minimo anche di bash...

Per la seconda installa sysv-rc-conf e configura solo i servizi necessari.

alexthemaster

quindi mi devo studiare iptable, ok va bene tanto in finale tutto torna utile ora o dopo. Mi puoi passare gentilmente il tuo script che almeno momentaneamente uso quello per stare tranquillo per un pò di tempo così spero che in un mesetto imparo discretamente l'iptable da permettermi di stare tranquillo.

grazie mille

p.s. ho messo il programma che mi hai detto e vedo questa tabella

e nella mia insesperienza non mi sembra che ci sia nulla di strano o almeno penso mi sono anche letto una guida al volo e mi sembra tutto ok.

fortran77

Allora, due spiegazioni:
Lo script è pensato per essere facilmente modificabile e definisce alcune funzioni (come ad esempio "p2p()" ) il cui nome viene passato da riga di comando. La funzione "default()" viene chiamata se non viene passato nessun argomento allo script.
Ciascuna funzione chiama altre tre funzioni, "input()", "output()" e "forward()" che contengono le regole che vengono applicate alle rispettive catene (in fondo allo script). In questo modo puoi creare diversi profili e richiamarli in modo seplice (./firewall p2p per applicare le regole p2p).

In realtà questo script è abbastanza inutile (l'unica cosa utile che fa è bannare qualche indirizzo ip e loggare i portscan) e su un desktop non serve a nulla. Una versione più raffinata di questo gira sul mio server ma ora non posso accederci per ricavarla (e non so nemmeno se potrei, non penso che l'admin voglia divulgarlo).
Questa è la versione che tengo sul mio desktop, anche se ti ripeto che su un desktop ne potresti fare tranquillamente a meno.

Codice: Seleziona tutto

#!/bin/bash

#Interfacce
IFACE=eth1 #Interfaccia esterna ethernet
LFACE=eth0 #Interfaccia interna

#Nameservers
NAMESERVER_1=213.205.32.70
NAMESERVER_2=213.205.36.70

#Default gateway
GATEWAY=192.168.0.1

#Group to ban from net access
BAN_GROUP=nonet
#IP to ban from net access (list separated with spaces)
BAN_IP="192.168.0.6-192.168.0.255 206.53.62.206"
#IP to log if connection is detected
LOG_IP="192.168.0.6-192.168.0.255"

#Definizioni delle porte
SSH_PORT=22
P_PORTS=0:1023
UP_PORTS=1024:65535
ML_BITTORRENT=6882
BITTORRENT_PORTS=6881:6889 
BITTORRENT_TRACKER_PORT=6969 
TRANSMISSION_PORT=51413
MLWEB=54300
MLGUI=4001
MLDONKEY_PORT_tcp=54301
MLDONKEY_PORT_udp=54305
OVERNET_PORT=54302
KAD_PORT=54303
GNUTELLA_PORT=6346
GNUTELLA2_PORT=6347
FASTTRACK_PORTS=1214
AMULE_PORT=4672
ICQ_PORT=5190
JABBER_PORT=5222 
GNUNET_PORT=2086
FREENET_PORT=19577 
SKYPE_PORT=2424 
EKIGA_PORTS=5000:5100

#Defininco la posizione degli eseguibili di iptables
IPTABLES=/sbin/iptables
IPTABLESSAVE=/sbin/iptables-save
IPTABLESRESTORE=/sbin/iptables-restore

##########################################################################
#Definisco i set di regole da caricare
##########################################################################
#Queste regole sono definite come funzioni da chiamare al momento di 
#applicare le catene. Ogni funzione definisce le funzioni input, output e
#forward da applicare rispettivamente a INPUT, OUTPUT e FORWARD.
#A seconda dei parametri passati da riga di comando posso chiamare diversi 
#set di regole. Se non specifico niente chiama il set di default.
#Ricordarsi sempre di aggiornare la lista dei parametri accettati.
#Le funzioni devono avere lo stesso nome dei parametri corrispondenti.
LISTA_PARAMETRI="default block p2p forward status stop"

#Lista catene (solo per comodita'): 
# bittorrent_in connessioni_avviate dns_query fasttrack_in ftp_in gnutella2_in
# http_out icmp_in icmp_out ml_bittorrent_in mldonkey_gui mldonkey_in portscan
# rsync_in samba_in smtp_in ssh_in ssh_out syn_flood telnet_in

default() {
  input() {
    echo "Carico set di regole 'default'"
    $IPTABLES -A INPUT -j ssh_in
    $IPTABLES -A INPUT -j bittorrent_in
    return 0
  }
  output() {
#    $IPTABLES -A OUTPUT -d 127.0.0.1 -j ACCEPT
#    $IPTABLES -A OUTPUT -d 10.0.2.2 -j ACCEPT
    $IPTABLES -A OUTPUT -j ban_group
    return 0
  }
  forward() {
    return 0
  }
}

p2p() {
  input() {
    echo "Carico set di regole 'p2p'"
    $IPTABLES -A INPUT -j ssh_in
    $IPTABLES -A INPUT -j mldonkey_in
#    $IPTABLES -A INPUT -j mldonkey_web
    return 0
  }
  output() {
    $IPTABLES -A OUTPUT -j ban_group
    return 0
  }
  forward() {
    return 0
  }
}

forward() {
  input() {
    $IPTABLES -A INPUT -j ssh_in
    return 0
  }
  output() {
    $IPTABLES -A OUTPUT -j ban_group
    return 0
  }
  forward() {
    echo "Forwarding dalla porta $LFACE a $GATEWAY"
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -o $LFACE -j SNAT --to $GATEWAY
    return 0
  }
}

status() {
  echo "-------------- RULES STATUS : --------------"
  echo ""
  $IPTABLES -L -n --line-numbers
  echo ""
  echo "--------------- NAT STATUS : ---------------"
  echo ""
  $IPTABLES -L -n --line-numbers -t nat
  exit 0
}

stop() {
  echo "Arresto del firewall (tutte le regole su ACCEPT)"
  #Clear all chains in all tables
  $IPTABLES -F
  $IPTABLES -F -t mangle
  $IPTABLES -F -t nat
  $IPTABLES -X
  $IPTABLES -X -t mangle
  $IPTABLES -X -t nat
  #Set Defaults to ACCEPT
  $IPTABLES -P INPUT ACCEPT
  $IPTABLES -P OUTPUT ACCEPT
  $IPTABLES -P FORWARD ACCEPT
  exit 0
}

block() {
  echo "blocking all network trafic 'in' and 'out'"
  $IPTABLES -F
  $IPTABLES -F -t mangle
  $IPTABLES -F -t nat
  $IPTABLES -X
  $IPTABLES -X -t mangle
  $IPTABLES -X -t nat
  $IPTABLES -P FORWARD DROP
  $IPTABLES -P INPUT   DROP
  $IPTABLES -P OUTPUT  DROP
  $IPTABLES -A INPUT -i lo -j ACCEPT
  $IPTABLES -A OUTPUT -o lo -j ACCEPT
  exit 0
}

#Definisco quanto specificato da parametro.
if [ ${#@} -gt 0 ]; then
  if [ ${#@} -gt 1 ]; then
    echo "Too many parameters"
    exit 1
  fi
  if [ `echo $LISTA_PARAMETRI|grep -e $1|wc -l` -gt 0 ]; then
    $1
  else
    echo "parametro '$1' sconosciuto"
    echo "Lista dei parametri accettati:"
    echo $LISTA_PARAMETRI
    exit 0
  fi
else
  default
fi

##########################################################################
#Pulisco tutte le regole e ripristino quelle di default (ACCEPT)
##########################################################################
$IPTABLES -F
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t mangle
$IPTABLES -X -t nat
#Set Defaults to ACCEPT
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

##########################################################################
#Definisco la policy di default
##########################################################################
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

##########################################################################
#Definisco le catene per i vari tipi di paccehtti
##########################################################################
#Catena per le connessioni gia' avviate (da mettere in fondo alle regole)
 $IPTABLES -N connessioni_avviate
 $IPTABLES -F connessioni_avviate
 $IPTABLES -A connessioni_avviate -m state --state ESTABLISHED,RELATED -j ACCEPT
# $IPTABLES -A connessioni_avviate -i $IFACE -m limit -j LOG --log-prefix "FW:Bad packet from ${IFACE}:"
 $IPTABLES -A connessioni_avviate -j DROP

#Catena per il ban di un determinato gruppo di utenti dalla rete.
 $IPTABLES -N ban_group
 $IPTABLES -F ban_group
 $IPTABLES -A ban_group -m owner --gid-owner $BAN_GROUP -j LOG --log-prefix "FW:BAN_GROUP:"
 $IPTABLES -A ban_group -m owner --gid-owner $BAN_GROUP -j DROP

#Catena per bloccare uno specifico ip
 $IPTABLES -N ban_ip
 $IPTABLES -F ban_ip
 for i in $BAN_IP; do
     $IPTABLES -A ban_ip -m iprange --src-range $i -j DROP
 done

#Catena per loggare uno specifico ip
 $IPTABLES -N log_ip
 $IPTABLES -F log_ip
 for i in $LOG_IP; do
     $IPTABLES -A log_ip -m iprange --src-range  $i -m limit -j LOG --log-prefix "FW:LOG_IP: "
 done

#Catena per il traffico ICMP in entrata
#ICMP (in entrata) Solo se fanno parte di connessioni preesistenti, cioe' si tratta di una risposta ad un 
#pacchetto inviato dalla nostra rete
 $IPTABLES -N icmp_in
 $IPTABLES -F icmp_in
 $IPTABLES -A icmp_in -p icmp --icmp-type time-exceeded -j ACCEPT
 $IPTABLES -A icmp_in -p icmp --icmp-type destination-unreachable -j ACCEPT
#protezione dai PING-FLOOD
 $IPTABLES -A icmp_in -p icmp --icmp-type ping -m limit --limit 1/s -j ACCEPT
 $IPTABLES -A icmp_in -p icmp -j LOG --log-prefix "FW:Bad ICMP traffic:"

#Protezione dai SYN-FLOOD
# $IPTABLES -N syn_flood
# $IPTABLES -F syn_flood
# $IPTABLES -A syn_flood -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
# $IPTABLES -A syn_flood -p tcp --syn -j DROP

#Catena per il traffico ICMP in uscita
#ICMP (in uscita) Tutti gli icmp
 $IPTABLES -N icmp_out
 $IPTABLES -F icmp_out
 $IPTABLES -A icmp_out -o $IFACE -p icmp -j ACCEPT

#Catena per il DNS query
#DNS (client -> server) Vengono abilitate le query in uscita ai DNS servers
 $IPTABLES -N dns_query
 $IPTABLES -F dns_query
 $IPTABLES -A dns_query -o $IFACE -p udp -s $NAMESERVER_1 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A dns_query -o $IFACE -p udp -s $NAMESERVER_2 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per SSH in entrata
#SSH (in entrata) In entrata abilitato il traffico per la porta $SSH_PORT
#Limtati i pacchetti RST FIN e SYN a 1/second
 $IPTABLES -N ssh_in
 $IPTABLES -F ssh_in
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL RST --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL FIN --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL SYN --dport $SSH_PORT -j ACCEPT
 $IPTABLES -A ssh_in -i $IFACE -p tcp --dport $SSH_PORT -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per SSH in uscita abilita le connessioni ssh alla porta $SSH_PORT e a quella di default (22)
 $IPTABLES -N ssh_out
 $IPTABLES -F ssh_out
 $IPTABLES -A ssh_out -o $IFACE -p tcp --dport $SSH_PORT -m state --state NEW,ESTABLISHED -j ACCEPT  
 $IPTABLES -A ssh_out -o $IFACE -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per il traffico HTTP e HTTPS in uscita
 $IPTABLES -N http_out
 $IPTABLES -F http_out
 $IPTABLES -A http_out -o $IFACE -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A http_out -o $IFACE -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per SAMBA in entrata
 $IPTABLES -N samba_in
 $IPTABLES -F samba_in
 $IPTABLES -A samba_in -i $IFACE -p udp --dport 137 -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A samba_in -i $IFACE -p udp --dport 138 -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A samba_in -i $IFACE -p tcp --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A samba_in -i $IFACE -p tcp --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per FTP in entrata
 $IPTABLES -N ftp_in
 $IPTABLES -F ftp_in
 $IPTABLES -A ftp_in -i $IFACE -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per RSYNC in entrata
 $IPTABLES -N rsync_in
 $IPTABLES -F rsync_in
 $IPTABLES -A rsync_in -i $IFACE -p tcp --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
 
#Catena per BITTORRENT in entrata
 $IPTABLES -N bittorrent_in
 $IPTABLES -F bittorrent_in
 $IPTABLES -A bittorrent_in -i $IFACE -p tcp --dport $TRANSMISSION_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A bittorrent_in -i $IFACE -p tcp --dport $BITTORRENT_PORTS -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per MLDONKEY in entrata
 $IPTABLES -N mldonkey_in
 $IPTABLES -F mldonkey_in
 $IPTABLES -A mldonkey_in -i $IFACE -p tcp --dport $MLDONKEY_PORT_tcp -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A mldonkey_in -i $IFACE -p udp --dport $MLDONKEY_PORT_udp -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A mldonkey_in -i $IFACE -p tcp --dport $KAD_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A mldonkey_in -i $IFACE -p udp --dport $KAD_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A mldonkey_in -i $IFACE -p tcp --dport $OVERNET_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A mldonkey_in -i $IFACE -p udp --dport $OVERNET_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
 
#Catena per l'interfaccia WEB di MLDONKEY in entrata
 $IPTABLES -N mldonkey_web
 $IPTABLES -F mldonkey_web
 $IPTABLES -A mldonkey_web -i $IFACE -p tcp --dport $MLWEB -m state --state NEW,ESTABLISHED -j ACCEPT

#Catena per la GUI di MLDONKEY in entrata
 $IPTABLES -N mldonkey_gui
 $IPTABLES -F mldonkey_gui
 $IPTABLES -A mldonkey_gui -i $IFACE -p tcp --dport $MLGUI -m state --state NEW,ESTABLISHED -j ACCEPT

##########################################################################
#Definisco la catene per intercettare i portscan
##########################################################################
#Catena per loggare i portscan
 $IPTABLES -N portscan
 $IPTABLES -F portscan
 
 #NMAP-XMAS
 $IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "FW:SCAN:NMAP-XMAS:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
 
 #XMAS
 $IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:XMAS:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -j DROP

 #XMAS-PSH
 $IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:XMAS-PSH:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

 #NULL_SCAN 
 $IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:NULL_SCAN:"
 $IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -j DROP

 #SYN/RST
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "FW:SCAN:SYN/RST:"
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

 #SYN/FIN
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "FW:SCAN:SYN/FIN:"
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

##########################################################################
#Variabili SYS-CTL 
##########################################################################
#Abilita o disabilita l'IP FORWARDING
#echo "1" > /proc/sys/net/ipv4/ip_forward
/bin/echo "0" > /proc/sys/net/ipv4/ip_forward

#DYNAMIC ADDRESSING (utile per il forwarding)
#/bin/echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#Disabilita l'IP Spoofing
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#Non rispondere ai PING
#/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#Non rispondere agli ICMP BROADCAST (attacchi smurf)
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Disabilita l'accettazione dei REDIRECT
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects

#Protezione verso i messaggi di errore ICMP malformati
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

#Disabilita i pacchetti source routed (previene dal guardare attraverso il NAT)
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

#Abilita LOG_MARTIANS (effettua il log dei pacchetti strani)
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

#Abilita il  REVERSE PATH FILTERING
for i in /proc/sys/net/ipv4/conf/*; do
  /bin/echo "1" > $i/rp_filter
done

##########################################################################
#Applico le catene a INPUT, OUTPUT e FORWARD
#Scarto i pacchetti INVALID
##########################################################################
#Applico le catene a INPUT
  $IPTABLES -A INPUT -j portscan
  $IPTABLES -A INPUT -m state --state INVALID -j DROP
  $IPTABLES -A INPUT -j log_ip
  $IPTABLES -A INPUT -j ban_ip
  $IPTABLES -A INPUT -j icmp_in
  $IPTABLES -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  input
  $IPTABLES -A INPUT -j connessioni_avviate

#Applico le catene a OUTPUT
#  $IPTABLES -A OUTPUT -m state --state INVALID -j DROP 
  $IPTABLES -A OUTPUT -d 127.0.0.1 -j ACCEPT
  output

#Applico le catene a FORWARD
  $IPTABLES -A FORWARD -m state --state INVALID -j DROP
  $IPTABLES -A FORWARD -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  forward
  $IPTABLES -A FORWARD -j connessioni_avviate

alexthemaster

grazie mille domani gli do un cchiat più approfondita e me lo studio bene.
p.s. il mio è un dedicato only shell

Forum Ubuntu-it