[小心] 百密一疏,請注意 ipv6 的逆襲~

這個版面主要討論 debian 在 server 端的應用問題, server 種類繁多..舉凡 Web Server 、 File Server、 DHCP Server..等等。

版主: 阿信

[小心] 百密一疏,請注意 ipv6 的逆襲~

文章Tetralet » 週五 5月 13, 2005 12:37 am

前幾天在看 DVD 時,
偶然發現我的 ppp0 介面正在傳送/接收資料,
流量約為 1K 左右,持續約 5 秒。

我當時是開了一大堆的應用程式沒錯,
但是當時應該不會有什麼應用程式在存取網路呀!

我立即用最快速度開了 netstat 來看,
我的 SSHd 正在連線中。(大驚)
查看了一下 Log,
有不速之客在試我的帳號密碼:
代碼: 選擇全部
May 10 21:33:19 Tetralet sshd[7771]: Illegal user webmaster from ::ffff:220.135.80.159


可是我的所有網路連線應該是用了 iptables 鎖的死死的呀...
為什麼會有人有辨法連線進來呢?

查看了一下,對方是用 ipv6 連線進來的,
而我的 iptables 並沒有鎖 ipv6 的封包;
而更糟的是,
我一直以為所有網路連線已經用 iptables 鎖的死死的了,
所以我的 SSHd 基本上是用 Debian 官方的預設值,
沒什麼進一步的安全設定...

百密一疏... 大失策...

我立即修改 /etc/modprobe.d/aliases 如下:
代碼: 選擇全部
alias net-pf-10 off

把 ipv6 給關了起來,
並且修改 /etc/ssh/sshd_config:
代碼: 選擇全部
PermitRootLogin no
AllowUsers tetralet

應該可以稍微提高一點安全性。

雖然我在 ifconfig -a 裡已經看不到 ipv6 的介面了,
但這樣子設定就算是把 ipv6 給完全關掉了嗎?
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm

文章訪客 » 週五 5月 13, 2005 5:59 am

乾脆自己 compile kernel 把 ipv6 的 support 拿掉,也可以省掉一點點 memory,反正很少人會用到 ipv6
訪客
 

文章Tetralet » 週五 5月 13, 2005 9:24 am

Anonymous 寫:乾脆自己 compile kernel 把 ipv6 的 support 拿掉,也可以省掉一點點 memory,反正很少人會用到 ipv6

比較偷懶的做法是把相關模組刪掉:
代碼: 選擇全部
rm -R /lib/modules/`uname -r`/kernel/net/ipv6
modpod -a

這樣子似乎比重編 Kernel 省事多了...
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm

文章訪客 » 週五 5月 13, 2005 9:53 am

我的印象中 compile 成 module 與 直接 compile 時拿掉相比,還是 compile 時直接拿掉 bzImage size 會比較小。
訪客
 

Re: [小心] 百密一疏,請注意 ipv6 的逆襲~

文章OLS3 » 週五 5月 13, 2005 11:14 am

Tetralet 寫:前幾天在看 DVD 時,
偶然發現我的 ppp0 介面正在傳送/接收資料,
流量約為 1K 左右,持續約 5 秒。

我當時是開了一大堆的應用程式沒錯,
但是當時應該不會有什麼應用程式在存取網路呀!

我立即用最快速度開了 netstat 來看,
我的 SSHd 正在連線中。(大驚)
查看了一下 Log,
有不速之客在試我的帳號密碼:
代碼: 選擇全部
May 10 21:33:19 Tetralet sshd[7771]: Illegal user webmaster from ::ffff:220.135.80.159


可是我的所有網路連線應該是用了 iptables 鎖的死死的呀...
為什麼會有人有辨法連線進來呢?

查看了一下,對方是用 ipv6 連線進來的,
而我的 iptables 並沒有鎖 ipv6 的封包;
而更糟的是,
我一直以為所有網路連線已經用 iptables 鎖的死死的了,
所以我的 SSHd 基本上是用 Debian 官方的預設值,
沒什麼進一步的安全設定...

百密一疏... 大失策...

我立即修改 /etc/modprobe.d/aliases 如下:
代碼: 選擇全部
alias net-pf-10 off

把 ipv6 給關了起來,
並且修改 /etc/ssh/sshd_config:
代碼: 選擇全部
PermitRootLogin no
AllowUsers tetralet

應該可以稍微提高一點安全性。

雖然我在 ifconfig -a 裡已經看不到 ipv6 的介面了,
但這樣子設定就算是把 ipv6 給完全關掉了嗎?


Debian 的 iptables 已內含 ipv6 的支援。

請在您的 iptables script 加上:

ip6tables -A INPUT -i eth0 -p tcp --dport 22 -j DROP

接著用 ip6tables -L -n 即可觀看.

其它變化如法泡製即可。

OLS3
OLS3
可愛的小學生
可愛的小學生
 
文章: 5
註冊時間: 週日 5月 09, 2004 1:20 pm

Re: [小心] 百密一疏,請注意 ipv6 的逆襲~

文章Tetralet » 週五 5月 13, 2005 3:59 pm

OLS3 寫:Debian 的 iptables 已內含 ipv6 的支援。

感謝您的告知...

個人認為,
與其讓 SSHd 監聽 ipv6 再用 ip6tables 把它擋起來,
不如乾脆斧底抽薪,
連 ipv6 都不要用不是更理想嗎?

且編寫 ip6tables 的 Script 也是件十分累人的工作,
所以最後還是決定,用最單純的方案就好了...
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm

文章phantom » 週五 5月 13, 2005 4:04 pm

不過, 未來要用 ipv6 時, 您又要把它掛回去了.
Debian 是可以活很久的. :-)

不過, 我也同意您的說法, 用不到就不要裝. 這是安裝 server 的一個好習慣.

以我來說, ip6table 的 script 不會麻煩呀. 現在反正用不到, 就全 drop 掉就好了. 一行搞定不是嗎? :-D
Linux 非萬能, 沒 Linux 萬萬不能.
root = God
apt-get install ultimate-horsepower
圖檔
頭像
phantom
活潑的高中生
活潑的高中生
 
文章: 306
註冊時間: 週三 8月 18, 2004 10:23 am

Re: [小心] 百密一疏,請注意 ipv6 的逆襲~

文章訪客 » 週日 10月 01, 2006 8:20 pm

Tetralet 寫:我立即修改 /etc/modprobe.d/aliases 如下:
代碼: 選擇全部
alias net-pf-10 off

把 ipv6 給關了起來,
並且修改 /etc/ssh/sshd_config:
代碼: 選擇全部
PermitRootLogin no
AllowUsers tetralet

應該可以稍微提高一點安全性。

雖然我在 ifconfig -a 裡已經看不到 ipv6 的介面了,
但這樣子設定就算是把 ipv6 給完全關掉了嗎?


請問一下, 我試著把 net-pf-10 設為 off
可是 在 ifconfig 底下 依然可以看到
代碼: 選擇全部
 inet6 addr: ab12::382:23cd:cdea:a111/64 Scope:Link


的 訊息.

請問這樣 是不是表示 沒有把 ipv6 關掉呢? 且雖然把 wilress 的 interface mark 起來但還是會看到 sit0. 這又代表什麼意思呢?


另外各位都如何檢查 自己的 network 或是系統安全?

謝謝
訪客
 


回到 debian server

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客