All posts tagged 'security'

Tạo ssh tunneling trên linux

Đăng vào ngày 12 Tháng Tám 2013 lúc 09:36 bởi Duy Khánh Mục: IT, Unix/Linux  ||  Tags: , , ,    Bình luận (0)

Debian/Ubuntu:

# apt-get instal autossh

# /usr/bin/autossh -L 192.168.1.110:25:localhost:25 khanh@remoteserver.com -p 22 -N -f

 

Centos/RHEL:

# yum install autossh

# /usr/bin/autossh -M29001 -f -N -L192.168.1.110:25:localhost:25 khanh@remoteserver.com -p 22

 

Usage: autossh [-V] [-M monitor_port[:echo_port]] [-f] [SSH_OPTIONS]

Cấu hình Proxmox server sử dụng một Public IP cho tất cả VM

Đăng vào ngày 2 Tháng Sáu 2013 lúc 12:41 bởi Duy Khánh Mục: IT, Unix/Linux, Virtualization  ||  Tags: , ,    Bình luận (0)

I - Cài đặt và cấu hình Proxmox:

- Download file ISO tại trang chủ: http://www.proxmox.com

- Sau khi cài đặt thành công proxmox, chúng ta có thể truy cập vào giao diện web tại địa chỉ https://<ip-server>:8006

- Mặc định sau khi cài đặt xong Proxmox địa chỉ IP public sẽ được gán trên card vmbr0, card này được bridge với card eth0 của server. Chúng ta cần thay đổi một số thông tin tại đây.

/etc/network/interfaces

Địa chỉ IP public của server sẽ được gán trên card eth0. Đối với card vmbr0 chúng ta sẽ chuyển bridge_ports sang none (thay vì eth0) trước đó. Cấu hình mẫu như bên dưới

# network interface settings
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address  192.168.100.115
        netmask  255.255.255.0
        gateway  192.168.100.2
        dns-nameservers 8.8.8.8

auto vmbr0
iface vmbr0 inet static
        address  10.10.10.1
        netmask  255.255.255.0
        bridge_ports none
        bridge_stp off
        bridge_fd 0

Giả sử ở cấu hình trên, địa chỉ public của server sẽ là 192.168.100.115 được gán lên card eth0, còn địa chỉ 10.10.10.1 được gán trên card vmbr0 sẽ giao tiếp với các VM bên trong.

Trên giao diện web của Proxmox, thẻ network ta sẽ có thông tin như sau

Chúng ta cũng sẽ setup một VM để test. VM này sẽ có địa chỉ IP là 10.10.10.10.

 

II - Cài đặt và cấu hình shorewall

- Cài đặt shorewall bằng lệnh: apt-get install shorewall

- Kích hoạt Ip forwarding trên shorewall bằng cách mở file /etc/shorewall/shorewall.conf

Đổi

IP_FORWARDING=Off

Thành

IP_FORWARDING=On

- Cấu hình Zone trong file /etc/shorewall/zones. Chúng ta sẽ có 3 Zone fw, net, và dmz. Trong đó net là zone giao tiếp từ môi trường internet, dmz là zone nội bộ bên trong.

#ZONE   TYPE            OPTIONS         IN                      OUT
#                                       OPTIONS                 OPTIONS
fw      firewall
net     ipv4
dmz     ipv4

- Cho biết các zone được kết nối thông qua interface nào. Tạo file /etc/shorewall/interfaces

#ZONE   INTERFACE       BROADCAST       OPTIONS
net     eth0            detect          blacklist,nosmurfs
dmz     venet0          detect          routeback
dmz     vmbr0           detect          routeback,bridge

- Tiếp tục, chúng ta cấu hình các policy mặc định giữa các zone. Tạo file /etc/shorewall/policy

#SOURCE DEST    POLICY          LOG     LIMIT:          CONNLIMIT:
#                               LEVEL   BURST           MASK

# From Firewall Policy
fw      fw      ACCEPT
fw      net     ACCEPT
fw      dmz     ACCEPT

# From DMZ Policy

dmz     dmz     ACCEPT
dmz     net     ACCEPT
dmz     fw      DROP            info

# From Net Policy
net     fw      DROP            info
net     dmz     DROP            info 

# THE FOLLOWING POLICY MUST BE LAST
#
all     all     REJECT          info

- Thiết lập rules cho shorewall tại /etc/shorewall/rules

#ACTION          SOURCE     DEST       PROTO   DEST        SOURCE     ORIGINAL    RATE

# Permit access to SSH
SSH/ACCEPT       net        fw         -       -            -          -          6/min:5

# Permit access to Proxmox Manager and Console
ACCEPT           net        fw                        tcp     8006,5900:5999
# VM access rules DNAT net dmz:10.10.10.10:22 tcp 1022 # PING Rules Ping/ACCEPT all all # LAST LINE -- DO NOT REMOVE

Trong ví dụ về cấu hình rule ở trên, chúng ta cho phép SSH và ping tới Proxmox server. Ngoài ra, chúng ta còn thực hiện việc NAT port 22 trên VM. Với cấu hình này, nếu chúng ta muốn SSH tới VM từ bên ngoài internet, chúng ta có thể SSH thông qua public IP với port là 1022 (Cấu hình cho các dịch vụ khác tương tự).

- Thiết lập cho phép kết nối từ VM ra ngoài internet thông qua tệp tin /etc/shorewall/masq

#INTERFACE      SOURCE          ADDRESS         PROTO   PORT(S) IPSEC   MARK
eth0            10.10.10.0/24

# LAST LINE -- DO NOT REMOVE

- Kiểm tra cấu hình của shorewall đã đúng hay chưa

shorewall check
- Nếu mọi cấu hình đều OK, chúng ta kích hoạt cho phép Shorewall được khởi động
/etc/default/shorewall
- Khởi động Shorewall
service shorewall start
Chú ý: Nếu bạn SSH tới Proxmox server từ xa. Việc cấu hình sai shorewall có thể làm bạn bị mất kết nối khi khởi động dịch vụ shorewall. Để tránh tình trạng này, chúng ta có thể sử dụng lệnh sau để kiểm tra trước. Với lệnh này, shorewall sẽ chỉ apply cấu hình trong vòng 60 giây, sau thời gian đó, nó sẽ tự động khôi phục lại trạng thái trước đó.
shorewall try /etc/shorewall 60
Mọi cấu hình đã xong, bây giờ chúng ta có thể truy xất SSH tới VM bên trong thông qua ip public của Proxmox Server.

Debian Linux Stop Iptables Firewall

Đăng vào ngày 8 Tháng Tám 2012 lúc 10:14 bởi Duy Khánh Mục: IT, Unix/Linux  ||  Tags: ,    Bình luận (0)

You need to login as root user.
If it is remote server login over ssh session.
Type the following command to save existing iptables configuration.

iptables-save > /root/working.iptables.rules

Now, to stop firewall type the following commands:

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
 
 

How to Set up VNC on Debian

Đăng vào ngày 8 Tháng Tám 2012 lúc 10:11 bởi Duy Khánh Mục: IT, Unix/Linux  ||  Tags: , , ,    Bình luận (1)

You've just installed Debian, but your wife wants her monitor back. That's OK, you were planning on running it headless, anyway. But, wouldn't it be nice to check out some of those groovy GUI apps? Don't fret, VNC will let you interact with a desktop environment from just about any platform available.

Install vncserver (as root):

apt-get install vncserver

Choose your desired window size and color depth, then, as an ordinary user, open a terminal and type:

vncserver -geometry 1024x768 -depth 24

This will prompt you to create a password:

You will require a password to access your desktops.
Password:
Verify:

The server will start and tell you where to access it:

New 'X' desktop is foobar:1
Starting applications specified in /etc/X11/Xsession
Log file is /home/jorey/.vnc/foobar:1.log

Open the VNC viewer on your remote machine, enter the hostname:screen and password (use a hostname or IP that your client machine understands), and your Linux desktop will open in a window! Network speed and processor power will affect performance, but it's amazing how many apps will run fine under VNC. You might not be able to play Frozen Bubble, but you can use productivity applications without any trouble.

To kill the server enter a command similar to this, using the appropriate settings:

vncserver -kill :1

netstat -atpn | grep vnc
You should see a tcp port 5900 + n (when n is the display number) opened.

Tối ưu hóa Nginx và PHP-FPM

Đăng vào ngày 11 Tháng Giêng 2012 lúc 20:10 bởi Duy Khánh Mục: IT, Network Solution, Unix/Linux, Web Design  ||  Tags: , , , , , ,    Bình luận (6)

Trong bài viết “Cài đặt Nginx và PHP-FPM trên CentOS 6” mình đã trình về những bước cài đặt và cấu hình cơ bản của Nginx + PHP-FPM. Trong bài viết tiếp theo này mình sẽ trình bày về một số cách tối ưu, giúp chúng ta dễ dàng hơn trong việc quản lý, cũng như duy trì hệ thống Web Server trên nền Nginx.

Đọc tiếp...

Ngắt kết nối TCP trong Solaris bằng tiện ích tcpdrop

Đăng vào ngày 30 Tháng Mười 2011 lúc 16:02 bởi Duy Khánh Mục: IT, Oracle, Unix/Linux  ||  Tags: , , ,    Bình luận (0)

Tcpdrop là một công cụ miễn phí trong Solaris giúp chúng ta thực hiện DROP các kết nối TCP đã được thiết lập tới Server. Chỉ với một dòng lệnh, ta có thể DROP kết nối một cách nhanh chóng. tcpdrop hoạt động tốt ở các phiên bản Solaris 8, 9, 10.

Chúng ta có thể download miễn phí gói cái đặt của tcpdrop tại www.sunfreeware.com có các phiên bản dành cho x86 lẫn SPARC
Đọc tiếp...

Bảo mật web server Apache với mod Security - Phần 3

Đăng vào ngày 3 Tháng Mười 2011 lúc 14:42 bởi Duy Khánh Mục: IT, Security, Unix/Linux, Web Design  ||  Tags: , , , , , ,    Bình luận (1)

PHẦN 3. NGĂN CHẶN MỘT SỐ HÌNH THỨC TẤN CÔNG THƯỜNG GẶP VỚI MODSECURITY

Chương này sẽ trình bày một số hình thức tấn công phổ biến nhất vào web application và web server. Tiếp theo là ngăn chặn các hình thức tấn công đó với ModSecurity. Để thực hiện ngăn chặn được, đầu tiên chúng ta phải hiểu rõ đặc điểm của các hình thức tấn công này.

Web application có thể bị tấn công từ nhiều góc độ khác nhau, vì vậy việc ngăn chặn các cuộc tấn công dưới phương diện web application không hề dễ dàng.

Đối với web server, việc phục vụ các request cũng rất dễ bị khai thác, ngay trong cả web server Apache – một trình web server được đánh giá là bảo mật. Ban đầu, web server chỉ phục vụ yêu cầu các trang HTML. Theo thời gian, các ngôn ngữ khác ra đời như JavaScript, PHP… đi kèm theo các nguy cơ bảo mật. Chẳng hạn như mod_php được sử dụng để chạy các script PHP, có thể bị lỗ hổng bảo mật ở chính ngôn ngữ PHP.

Đọc tiếp...

Bảo mật web server Apache với mod Security - Phần 2

Đăng vào ngày 1 Tháng Mười 2011 lúc 20:41 bởi Duy Khánh Mục: IT, Security, Unix/Linux, Web Design  ||  Tags: , , , , ,    Bình luận (2)

PHẦN 2: MODSECURITY

 

2.1. GIỚI THIỆU MODSECURITY

ModSecurity là một Opensource web application firewall được Ivan Ristic phát triển dành cho Web Server Apache. Ivan Ristic cũng là tác giả quyển sách “Mod Security Handbook”. Ông là một người có rất nhiều kinh nghiệm trong bảo vệ Web Server Apache. Ông đã có nhiều thời gian nghiên cứu Web Application Security, Web Intrusion Detection, và Security Patterns. Trước khi chuyển sang lĩnh vực security, Ivan đã có nhiều năm làm việc như một Developer, System Architect, Technical Director trong phát triển phần mềm. Ông là người sáng lập ra công ty ThinkingStone làm các dịch vụ liên quan đến web application security.

Hiện tại ModSecurity sử dụng giấy phép GPL, hoàn toàn miễn phí.

Đọc tiếp...

Bảo mật web server Apache với mod Security - Phần 1

Đăng vào ngày 1 Tháng Mười 2011 lúc 12:19 bởi Duy Khánh Mục: IT, Unix/Linux, Web Design, Security  ||  Tags: , , , , ,    Bình luận (4)

PHẦN 1: CƠ BẢN VỀ GIAO THỨC HTTP

Phần này chỉ giới thiệu sơ lược các kiến thức cơ bản về giao thức HTTP, tạo tiền đề để phần 2 trình bày về MODSECURITY. Vì vậy, nếu bạn nào cần tìm hiểu sâu hơn, hãy tham khảo RFC hoặc cuốn HTTP Essentials

1.1. Giới thiệu chung

1.1.1. Lớp của giao thức HTTP

HTTP (Hypertext Transfer Protocol) là giao thức thuộc lớp ứng dụng trong mô hình tham chiếu OSI. Hoạt động thông thường ở port 80 và là giao thức hướng kết nối. Nói cách khác, trước khi thực hiện phiên làm việc, giao thức HTTP sẽ thực hiện bắt tay ba bước.

Đọc tiếp...

Cấu hình Web Proxy và Content Filter trong ClearOS 5.2

Đăng vào ngày 13 Tháng Chín 2011 lúc 14:57 bởi Duy Khánh Mục: IT, Security, Unix/Linux  ||  Tags: , ,    Bình luận (1)

Trong bài trước, mình có trình bày về cấu hình Rules Incoming và NAT trong ClearOS, trong bài này mình sẽ tiếp tục với nội dung cấu hình Web Proxy và Content Filter. Đây là một tính năng quan trọng mà hầu hết các Gateway cần phải có nhằm quản lý truy xuất từ Client trong mạng nội bộ tới các website ngoài Internet.

Mô hình:

proxy_filter_clearOS_00


Thực hiện:

Đọc tiếp...

Nghe nhạc cho vui

Ghi Chú

+ command "netstat -ano": IPs access

+ Restore dữ liệu trên SQLServer bằng dòng lệnh

RESTORE DATABASE db_name
FROM DISK = 'E:\db.BAK'
WITH REPLACE

+ Cover từ VB.NET sang C#

http://developerfusion.com/tools/convert/vb-to-csharp/

Certifications