Шукати:
Бер 28 2022

USERS \ GROUP \ ПОЛЬЗОВАТЕЛИ \ ГРУППЫ \ ПРАВА

chattr +a file1 – позволить открывать файл на запись только в режиме добавления
chattr +c file1 – позволяет ядру автоматически сжимать/разжимать содержимое файла.
chattr +d file1 – указывает утилите dump игнорировать данный файл во время выполнения backup’а
chattr +i file1 – делает файл недоступным для любых изменений: редактирование, удаление, перемещение, создание линков на него.
chattr +s file1 – позволяет сделать удаление файла безопасным, т.е. выставленный атрибут s говорит о том, что при удалении файла, место, занимаемое файлом на диске заполняется нулями, что предотвращает возможность восстановления данных.
chattr +S file1 – указывает, что, при сохранении изменений, будет произведена синхронизация, как при выполнении команды sync
chattr +u file1 – данный атрибут указывает, что при удалении файла содержимое его будет сохранено и при необходимости пользователь сможет его восстановить
lsattr – показать атрибуты файлов

a.boyko 0 Коментарі
Бер 28 2022

Выставление/изменение полномочий на файлы \ chmod \ chown \

ls -lh – просмотр полномочий на файлы и директории в текущей директории

chmod go-rwx directory1 – отобрать у группы и всех остальных все полномочия на директорию directory1.
chown user1 file1 – назначить владельцем файла file1 пользователя user1
chown -R user1 directory1 – назначить рекурсивно владельцем директории directory1 пользователя user1
chgrp group1 file1 – сменить группу-владельца файла file1 на group1
chown user1:group1 file1 – сменить владельца и группу владельца файла file1

find / -perm -u+s – найти, начиная от корня, все файлы с выставленным SUID

chmod u+s /bin/binary_file – назначить SUID-бит файлу /bin/binary_file. Это даёт возможность любому пользователю запускать на выполнение файл с полномочиями владельца файла.
chmod u-s /bin/binary_file – снять SUID-бит с файла /bin/binary_file.
chmod g+s /home/public – назначить SGID-бит директории /home/public.
chmod g-s /home/public – снять SGID-бит с директории /home/public.
chmod o+t /home/public – назначить STIKY-бит директории /home/public. Позволяет удалять файлы только владельцам
chmod o-t /home/public – снять STIKY-бит с директории /home/public

a.boyko 0 Коментарі
Бер 24 2022
iptables

iptables

Управление iptables
service iptables stop – Остановка
service iptables start – Запуск
service iptables restart – Перезагрузка
service iptables save – Сохранить правила брандмауэра (CentOS / RHEL / Fedora Linux)
iptables-save – Сохранить правила
iptables-save > /root/my.active.firewall.rules – Сохранить правила (в других дистрибутивах)

Включение ip forward (трафик меджу интерфейсами):
echo 1 > /proc/sys/net/ipv4/ip_forward
sysctl -p

tools:
iptables -L – вывести список правил
iptables -S – вывести список правил
iptables -L -n -v – вывести список правил (-n не резолвить IP) (-v Отображение подробной информации)
iptables -L -n -v –line-numbers – просмотр правил с номером строки
iptables -L INPUT -n -v – просмотра INPUT
iptables -L OUTPUT -n -v –line-numbers – просмотра OUTPUT
iptables -L INPUT -n –line-numbers – просмотр правил с номером строки в INPUT
iptables -L OUTPUT -n –line-numbers – просмотр правил с номером строки в OUTPUT
iptables -L OUTPUT -n –line-numbers | less – просмотр правил с номером строки в OUTPUT перенаправив вывод в less
iptables -L OUTPUT -n –line-numbers | grep 8.8.8.8 – просмотр правил с номером строки в OUTPUT грепаем 8.8.8.8

Очистка таблицы filter:
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

Очистка таблицы nat:
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING

Очистка таблицы mangle:
iptables -t mangle -F PREROUTING

Очистка правил подробно:
iptables -F – Удаление всех правил (flushing)
iptables -X – Удаление цепочки
iptables -t nat -F – Выбрать таблицу и удалить правила
iptables -t nat -X – Выбрать таблицу и удалить правила
iptables -t mangle -F – Выбрать таблицу и удалить правила
iptables -t mangle -X – Выбрать таблицу и удалить правила
iptables -P INPUT ACCEPT – Установить политику по умолчанию
iptables -P OUTPUT ACCEPT – Установить политику по умолчанию
iptables -P FORWARD ACCEPT – Установить политику по умолчанию

Чистим ветки логов:
iptables -F undef_in
iptables -F undef_out
iptables -F undef_fw
iptables -X undef_in
iptables -X undef_out
iptables -X undef_fw

Закрываем всё:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Включаем NAT:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Разрешаем принимать трафик на loopback-интерфейсе:
iptables -A INPUT eth2 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i lo -o eth1 -j ACCEPT$IPT -A FORWARD -i eth2 -o lo -j ACCEPT
iptables -A FORWARD -i lo -o eth2 -j ACCEPT$IPT -A FORWARD -i eth1 -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Разрешение исходящего трафика:
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A OUTPUT -o eth2 -j ACCEPT

Разрешить соединения, которые инициированы изнутри
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT

Следующими правилами разрешаем коннекты на наш сервер из вне:
iptables -A INPUT -p udp –dport 33434:33523 -j ACCEPT – Разрешить traceroute
iptables -A INPUT -p tcp –dport 22 -j ACCEPT – Разрешаем SSH
iptables -A INPUT -p tcp –dport 10000 -j ACCEPT – Разрешаем webmin
iptables -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT – Доступ на http

Проброс RDP на сервер терминалов:
iptables -t nat -A PREROUTING -p tcp –dport 3389 -i eth0 -j DNAT –to 192.168.0.100
iptables -A FORWARD -i eth0 -d 192.168.0.100 -p tcp –dport 3389 -j ACCEPT

Выход из локалки на почтовые сервера
iptables -A FORWARD -d smtp.mail.ru -o eth0 -p tcp -m tcp –dport 25 -j ACCEPT
iptables -A FORWARD -d smtp.masterhost.ru -o eth0 -p tcp -m tcp –dport 25 -j ACCEPT

a.boyko 0 Коментарі