Установлен ли в SL8 файрвол?

[Сомов]

Вы хотели бы чтобы провайдеры или вообще непонятно кто лазили к вам в систему?

Странный вопрос... Если настолько бояться взлома по SSH (назовите хоть один такой случай в истории!), то нужно отключить компьютер от сети, или  выключить его вообще, а еще лучше спрятать в сейф.

нечего по умолчанию включать этот сервис, кому нужно,

Этот сервис нужен ВСЕГДА! И RedHat правильно делает, что включает его  по умолчанию.
Хотя у них гораздо  более ответственые хосты - сервера в агрессивном Интернете, а не десктопы, обычно спрятанные за роутером.

Лично я такого не опасаюсь - всегда 24-символьный цифро-буквенно-символьный пароль, порт в районе 50-60 тыс. и fail2ban.
А вообще... если не знаешь как настроить sshd чтобы не взломали - нечего садится за Linux.

[squire]

Этот сервис нужен ВСЕГДА! И RedHat правильно делает, что включает его  по умолчанию.

Лично я такого не опасаюсь - всегда 24-символьный цифро-буквенно-символьный пароль, порт в районе 50-60 тыс. и fail2ban.
А вообще... если не знаешь как настроить sshd чтобы не взломали - нечего садится за Linux.

А зачем по умолчанию выставлять наружу лишний порт? Кому надо – включит.
А тут больше половины пользователей чайники, и ненастроенный включенный sshd им совсем не нужен.

[Сомов]

Ладно. Если принять во внимание интересы чайников, то может оно и правильно.
Но уж непривычно очень...

[mvk]

Так я про что и говорю - нужен был доступ, но бегать в соседнею комнату дело не веселое, был настроен ssh за несколько минут. Прошлый год - p8 выходит был.

[Сомов]

А что, Gufw в  Альтах не используется? Печально... 
Очень простой файрвол, для десктопов самое то.

[asy]

Получается, кто-то из вас ошибся. Предположим (не у обиду будь сказано), что они.
И тогда поясните, плиз, почему в дистрибутивной политике выбрана именно такая предустановка?

На самом деле дистрибутивы имеют разное предназначение. В десктопных, наверное, отключен по-умолчанию. В серверных должен быть включен. Но это на усмотрение изготовителя конкретного дистрибутива всё равно. Дистрибутивов из репозиториев ALT собирается много разных.

Делать надо так: поставил, перезагрузил, посмотрел ps ax|grep ssh. Поступил по ситуации. А не ориентироваться а общее мнение в данном случае. Тем более, что секундное дело и ps дёрнуть, и chkconfig/sysctl.

[asy]

Установлен ли на SL8 файрвол?

Что это такое - "файрвол" ? Если имеется ввиду штука для фильтрации пакетов, то называется она netfilter и она просто есть всегда, так как это часть ядра. Её в ядре Linux может не быть только в том случае, если ядро собрано без netfilter, чего в ядрах ALT нет, на сколько я знаю (по крайней мере std-def и un-def всегда с netfilter). Или речь про пользовательские утилиты для управления ею, а-ля iptables, ip6tables ? Это надо смотреть, могут и не быть установлены. Или надстройка ещё более высокого уровня, с галочками и крыжиками ?

[asy]

Если настолько бояться взлома по SSH (назовите хоть один такой случай в истории!),

Этих случаев с подбором пароля по ssh тьма. А кто понимает, что надо ограничивать количество попыток, ставить нормальный пароль, или, вовсе, доступ по паролю отклюяать, а оставлять только ключ, те вполне и сервис запустить должны быть в состоянии.

Беда в том, что сейчас много пользоваетелей, которые про пароли не думают, а про ssh вовсе не в курсе: популяризация попёрла десктопная...

[asy]

А что, Gufw в  Альтах не используется? Печально... 
Очень простой файрвол, для десктопов самое то.

Он сам по себе, или на заботу в связке с классическим конфигом iptables рассчитан ? Дело в том, что в ALT используется etcnet. В принципе, конфигуратор netfilter от etcnet можно и не использовать, а пользоваться классикой, но как бы вот. Есть alterator-net-iptables, который с etcnet работает. Есть ещё shorewall, он, в принципе, тоже не с etcnet работает, так что, может, и можно бы было Gufw собрать, но никто не заинтересовался пока.

[Сомов]

Это всего лишь простой и удобный фронт-енд к консольному ufw. В Альте не вижу - ни того, ни другого.
И если в нем используется etcnet, то какой для него есть фронт-енд? Похоже нет такого.
Логичнее, конечно, иметь его в Центре управления системой, но и там такого не наблюдается.

Это упущение. Каждый десктоп должен иметь простой инструментарий для настройки правил фильтрации, без копания в конфигах.

Може все-таки сделаете?

[Skull]

Давно сделали. alterator-net-iptables.

[Сомов]

alterator-net-iptables

Так он по умолчанию даже не включен в систему - почему?
Может, потому что он консольный и поэтому малоинтересен широкому кругу чайников пользователей?

Мне он тоже не понравился, потому что правка дефолтвого конфига iptables гораздо проще, но тут такого конфига не нашел.
Поэтому снес  этот неудобный файрвольный альтератор...

[Сомов]

Потом поразмыслил, и прикинул, что раз вы из соображений безопасности по дефолту даже sshd отключаете от работы, то работа без файрвола тем более будет плохим решением.

Поэтому установил только один iptables и предложил ему такой многократно провереный в боях с хакерами простенький конфиг:

Код: [Выделить]

#
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 5900 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
Запускаю файрвол.
Но не тут то было - он ругается  -

Код: [Выделить]

service iptables start

Job for iptables.service failed because the control process exited with error code.
See "systemctl status iptables.service" and "journalctl -xe" for details.

Иду смотреть, что ему не нравится -

Спойлер

Код: [Выделить]

systemctl status iptables.service

● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Вт 2017-09-26 02:27:56 EEST; 41s ago
  Process: 4520 ExecStart=/etc/init.d/iptables start (code=exited, status=1/FAILURE)
 Main PID: 4520 (code=exited, status=1/FAILURE)

сен 26 02:27:56 host-122.localdomain systemd[1]: Starting IPv4 firewall with iptables...
сен 26 02:27:56 host-122.localdomain iptables-restore[4529]: iptables-restore: line 1 failed
сен 26 02:27:56 host-122.localdomain iptables[4520]: Applying iptables firewall rules: iptables-rest
сен 26 02:27:56 host-122.localdomain iptables[4531]: Applying iptables firewall rules: failed
сен 26 02:27:56 host-122.localdomain iptables[4520]: [FAILED]
сен 26 02:27:56 host-122.localdomain systemd[1]: iptables.service: Main process exited, code=exited,
сен 26 02:27:56 host-122.localdomain systemd[1]: Failed to start IPv4 firewall with iptables.
сен 26 02:27:56 host-122.localdomain systemd[1]: iptables.service: Unit entered failed state.
сен 26 02:27:56 host-122.localdomain systemd[1]: iptables.service: Failed with result 'exit-code'.

и

Спойлер

Код: [Выделить]

journalctl -xe

-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- Произошел сбой юнита iptables.service.
--
-- Результат: failed.
сен 26 02:25:05 host-122.localdomain systemd[1]: iptables.service: Unit entered failed state.
сен 26 02:25:05 host-122.localdomain systemd[1]: iptables.service: Failed with result 'exit-code'.
сен 26 02:25:17 host-122.localdomain ntpd[537]: reply from 193.25.222.240: offset -0.040139 delay 0.
сен 26 02:25:18 host-122.localdomain ntpd[537]: reply from 66.135.44.92: offset -0.034575 delay 0.17
сен 26 02:25:20 host-122.localdomain ntpd[537]: reply from 80.240.216.155: offset -0.041541 delay 0.
сен 26 02:25:44 host-122.localdomain ntpd[537]: reply from 83.162.251.163: offset -0.035472 delay 0.
сен 26 02:27:49 host-122.localdomain ntpd[537]: reply from 66.135.44.92: offset -0.035497 delay 0.17
сен 26 02:27:56 host-122.localdomain systemd[1]: Starting IPv4 firewall with iptables...
-- Subject: Начинается запуск юнита iptables.service
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- Начат процесс запуска юнита iptables.service.
сен 26 02:27:56 host-122.localdomain iptables-restore[4529]: iptables-restore: line 1 failed
сен 26 02:27:56 host-122.localdomain iptables[4520]: Applying iptables firewall rules: iptables-rest
сен 26 02:27:56 host-122.localdomain iptables[4531]: Applying iptables firewall rules: failed
сен 26 02:27:56 host-122.localdomain iptables[4520]: [FAILED]
сен 26 02:27:56 host-122.localdomain systemd[1]: iptables.service: Main process exited, code=exited,
сен 26 02:27:56 host-122.localdomain systemd[1]: Failed to start IPv4 firewall with iptables.
-- Subject: Ошибка юнита iptables.service
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- Произошел сбой юнита iptables.service.
--
-- Результат: failed.
сен 26 02:27:56 host-122.localdomain systemd[1]: iptables.service: Unit entered failed state.
сен 26 02:27:56 host-122.localdomain systemd[1]: iptables.service: Failed with result 'exit-code'.
сен 26 02:27:59 host-122.localdomain ntpd[537]: reply from 80.240.216.155: offset -0.041290 delay 0.
сен 26 02:28:00 host-122.localdomain ntpd[537]: reply from 193.25.222.240: offset -0.036514 delay 0.
сен 26 02:28:23 host-122.localdomain ntpd[537]: reply from 83.162.251.163: offset -0.036524 delay 0.
сен 26 02:29:39 host-122.localdomain su[4290]: pam_tcb(su:session): Session closed for root
сен 26 02:29:43 host-122.localdomain su[4541]: pam_tcb(su:auth): Authentication passed for root from
сен 26 02:29:43 host-122.localdomain su[4541]: pam_tcb(su:session): Session opened for root by somov(


Сдается мне, это уже не по моей линии, а разработчиков, не?

[Skull]

Нет. Вы путаете с обычным iptables. Читайте внимательно.

[Сомов]

Не понял вас. Разве iptables делится на обычный и необычный?
Такого еще не слышал, поясните, пожалуйста.