Вопрос по сетевой безопасности.

[Shwed]

есть сервер, стоит Ubuntu 8,04
стоит на ней squid, apache2, почта настроена ну и в принципе все
ах да,еще как шлюз он используется

тут пришло письмо..

"День добрый, хочу уведомить вас о возможной ошибке. Пройдя по некой
ссылки можно выяснить список ваших сотрудников, по каким страницам они
ходят, версию сервера, версию прокси сервера squid + версию ПО sarge.
Ссылку кидать не буду, ибо возможно ваш спам фильтр посчитает мое письмо
за спам. Ссылку могу прислать, в след. письме, после вашего ответа. Пишу
вам (системному администратору) как коллеге, ибо сам работаю на
аналогичной должности. Если же системного администратора нет (письмо
прочитает кто-то другой), могу помочь в удаленной настройке вашей
системы прокси и не только."

кто что может сказать7 я в сетевой безопасности не знаток.. как это можно определить и можно ли этому вообще верить?

кстати. sarge у меня не установлен ))) я не захотел им пользоваться ))

[burgui]

Первое что приходит на ум, это обратится к несуществующей странице на веб-сайте, вот на ней все и можно прочитать. Версия Апача, сквида, MySQL. Само письмо похоже на шантаж, если есть подозрения лучше дать денег сторонней фирме что сделала аудит безопасности, если денег нет почитать мануалы и все сделать самому. Позакрывать все порты на сервере, кроме нужных, поменять пароли и тд.

[Karl500]

Если squid открыт наружу - думаю, возможно. Решение - прикрыть его, сделав доступным только изнутри.
Вообще говоря (чисто мое мнение) - выставлять наружу сервер (любой) без защиты файрволлом (не встроенным!) несколько самонадеянно.

[Tokh]

Версию операционной системы умеют определять сканеры портов, в отношении версий чудес нет, это возможно.
Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics.

Любопытно бывает иногда посмотреть штуки типа
sudo lsof -i
sudo netstat с разными ключами.
Может сервер слушает лишнего снаружи.
Один известный дистрибутив, две версии тому назад, при установке webmin вывешивал эту вебмин наружу, без пароля, с именем пользователя root. Если не знать или не задуматься, то можно было так и жить с дверью нараспашку.

[warlock]

....
Один известный дистрибутив, две версии тому назад, при установке webmin вывешивал эту вебмин наружу, без пароля, с именем пользователя root. Если не знать или не задуматься, то можно было так и жить с дверью нараспашку.

а по подробнее можно??
что то насторожил покуда я сам это штуку юзаю(

[Tokh]

....
Один известный дистрибутив, две версии тому назад, при установке webmin вывешивал эту вебмин наружу, без пароля, с именем пользователя root. Если не знать или не задуматься, то можно было так и жить с дверью нараспашку.

а по подробнее можно??

Подробнее трудно, т.к. я её фактически не использовал и сразу снёс. 
Проверить просто - на другом компьютере в браузере надо набрать http://ip-адрес:порт и посмотреть на результат. Смутно припоминаю, что вроде порт у неё 10000. У меня она при дефолтной беспарольной конфигурации откликалась на внешнем ip шлюза, без пароля. Дистриб, вроде, тогда был Fedora Core 4.
В принципе, от имени рута
lsof -i
должна показать все слушаемые порты, и на каких интерфейсах система их слушает.

[Jetta]

А в squid, apache, postfix, samba стоят ограничения?

Например в Samba:

interfaces = 127.0.0.0/8 192.168.0.0/24
bind interfaces only = true


в squid свои, в apache также есть и т.д.

[Strangertlt]

  Юзаю аналогичный сервак, что касается безопасности то конечно лучше не жить с дверью на распашку и настроить файрвол, мне нравится родной ufw, на нём нужно задать политику блокировки всех входящих соединений и разрешить соединения только нужным диапазонам адресов по определённым портам, если нужно чтобы веб-сервер был публичным то открой только порт 80 для всех входящих. Команды настройки ufw здесь приводить нет смысла так как на ubuntu.ru в разделе Документация они есть, кину только ещё пару ссылок http://ubuntueasy.com/administrirovanie/ufw-firewall-dlja-ubuntu и http://www.f0x.ru/2008/06/ufw-ubuntu.html
  Что касается webmin то его нужно обновить, если для параноиков то можно и сменить номер порта вместо стандартного 10000 но после настройки файрвола я в этом смысла не вижу, и ещё в его настройках есть пункт "Управление доступом по IP", туда и впиши адреса которым разрешен доступ а остальным отрежь. Это базовая настройка безопасности и в принципе её хватит.
  Что касается отдельного софта то старайся не использовать стандартные порты если приходится программе открывать доступ в мир (например squid) чтобы такие умники не писали + корректно выставляй права доступа на фалы и папки в подобных прогах (например apache) а не 777 как советуют некоторые новички в блогах под предлогом "что б не парится". Далее уже можно говорить о настройках безопасности конкретной программы отдельно.

[shame]

Темже nmapоп просканируй свой сервак из дома и посмотри что да как, и внутресетевые сервисы лучше закрыть снаружи... вв iptables это не сложно сделать

[Jetta]

Темже nmapоп просканируй свой сервак из дома и посмотри что да как, и внутресетевые сервисы лучше закрыть снаружи... вв iptables это не сложно сделать

http://2ip.ru/

[shame]

http://2ip.ru/

это немножко не то будет, к тому же с работы нада заходить на него, а не из дома 

[Shwed]

ну на несуществующей страничке выдается версия апача и все ))

сквид доступен только изнутри, файерволл, естественно, настроен (iptables)
webmin стоит, но снаружи недоступен. вообще, все то ПО, что имеет веб-интерфейсы - доступ открыт только изнутри.
с правами на файлы тоже вроде порядок, но проверить действительно стоит.

в общем подумал-подумал, ничего ценного мне этот товарищ не сообщил своим письмом. расплывчатые фразы ни о чем.
разве что насторожило упоминание про пользователей домена (squid как раз и использует авторизацию пользователей из домена)
но, насколько я понимаю, у себя он их нигде не хранит, а запрашивает при необходимости на DC.

В общем, покопаюсь еще, по любому полезно будет, но вообще пока всерьез это не воспринял.