"DoS" z lokalni site

Jan Povolny povolnyj na panelak-net.cz
Pondělí Červenec 16 16:57:43 CEST 2001


> To vite, ohlasit chybu je "uzivatelsky neprivetive". Mnohem lepsi je to
> zkusit znovu, pokud mozno co nejrychleji, a navenek se tvarit, ze se nic
> nedeje. Kdyz uz nic jineho, tak vysledne plytvani kapacitou aspon podpori
> prodej noveho hardwaru, ze ano. To jsou ty moderni trendy v softwarovem
> prumyslu. :)
> 
...

> neidentifikovana mnozina POP3 klientu, ktere nejsou chopny uzivateli
> oznamit, ze zadane jmeno a heslo server neprijima, a proste to zkousi
> znovu, asi co kdyby si to server rozmyslel.)

*** V tom s vami naprosto souhlasim, bohuzel, proti takovemu "pokroku" se 
asi neubranime...


> U vas si smi lidi svevolne nastavovat na svem pocitaci IP adresu? (Po
> pravde receno mam zkusenost s tim, ze kdyz si lidi snazi nastavit IP
> adresu sami, tak to stejne aspon v polovine pripadu udelaji blbe, takze
> je lepsi to obycenym smrtelnikum zakazat.)

*** No oni zas tak moc nemohou, maji IP vazano na MAC adresu a toto IP 
dostavaji od DHCP serveru. Ale nemuzu jim zakazat, aby si pod Win95/98 
nenastavili svoji vlastni IP (jine jim je houby platne) a snazili se opet 
pripojit na sit. Cislo proxy znaji z pameti a mohou to na nej zkouset ikdyz 
vlastne nic jineho na serveru delat nemohou.


> Misto hosts.allow by mozna slo pouzit ipchains nebo neco takoveho.

*** To je ono, samozrejme mam nastaveny firewall, pomoci ipchains, takze 
tam proste dopisu pravidlo, a bude to. Ja si to vubec neuvedomil. To je 
presne smer, kterym jsem potreboval nakopnout. Jednoduche a celkem rychle 
reseni.

Dik vsem za rady, priste ho zarazim na urovni ipchains.


...
> - automaticke rotovani logu v pripade, ze dosahnou urcite velikosti,
>   a la daemontools,
> 
> - automaticke filtrovani logu a odstranovani zjevne nadbytecnych hlasek
>   (napr. syslog dela to, ze kdyz se po sobe objevi nekolik hlaseni, ktera
>   jsou (az na casovy udaj) uplne stejna, tak vypise jen prvni z nich a
>   misto zbytku napise jen "last message repeated N times"...idealni to
>   neni, ale aspon se o neco snazi),
> 
> - prubezne monitorovani systemu a vyhlaseni poplachu v pripade, ze se
>   objevi nebezpecny stav (napr. pokles mista na disku pod urcitou mez)
>   nebo trend (napr. se rychlost zmensovani mista na disku prekroci
>   urcitou mez).

*** Ano ano, toto vsechno je take mozne a vyse zminenemu problemu by to 
zabranilo. Mrknu se na jednotlive body, co by se dalo vylepsit, nektere 
jsou ale bohuzel nemozne...:-).

Zdravi
Jan Povolny


Další informace o konferenci Linux