Помогите срочно!

[Просто Царь]

смотря что там крутится, а если и конфиги есть все, то и на новой версии можно все поднять с минимальными усилиями.

[AnrDaemon]

Сказали уже - семерка.

[Просто Царь]

Сказали уже - семерка.

В смысле? Я имею ввиду, какие приложения установлены и какие функции, кроме шлюза, выполняет сервер

[AnrDaemon]

А.

[sherpa51]

Да это так... Но вот случилось - что теперь то об этом...
Работало неубиенно не смотря на все падения питания сети и отключения ее 2,5 года, даже не заглядывал - просто перезагружал или исправлял ошибки винчестера и опять круглосуточно. Поскольку я там не сижу постоянно, только в выходные и по вызову, то вот так и происходит.
 Из старого ничеего не осталось кроме приятных воспоминаний - как быстро все налаживалось и запускалось! На новых весиях так не получается - нужно ВСЕ РУЧКАМИ! Но это позже - сейчас времени нет на это.

[VinnyPooh]

На шлюзе, если он торчит в инет напрямую стоит ставить более свежий софт, имхо, я имею в виду постоянные обновления по безопасности.
Иначе.. есть риск что рано или поздно поимеют из инета.

[sherpa51]

Ну если специально вот сейчас кто-то не займется то нафиг мы кому нужны...

[Просто Царь]

Из старого ничеего не осталось кроме приятных воспоминаний - как быстро все налаживалось и запускалось! На новыз весиях так не получается - нужно ВСЕ РУЧКАМИ!

не понял  Что так легко было в 7.04 и стало плохо в 9.04?

[AnrDaemon]

Ну если специально вот сейчас кто-то не займется то нафиг мы кому нужны...

Знаешь, с таким отношением к безопасности стоит отключить сервер, засунуть его под одеяло и самому туда забраться.

[sherpa51]

Трудно спорить с серьезными людьми...
Тогда подскажите ЧТОБЫ ВЫ сделали в первую очередь? Хотябы названия программ и процессов для этого?
Скажу подробнее.
Если мне для установки дополнительных мер по безопасности нужно уделить время равное тому за которое мне платиться 2-х месячное содержание (причем бесплатно это сделать...), то мне сделать это бесплатно или уговорить начальство о том чтобы мне доплатили? Задача чаще всего маловыполнимая в современных условиях.
А вот когда клюнет петух - то денег не жалеют...
И так ЭТО все за мою долгую жизнь в ИТ отрасли... Так что как бывший наладчик ЭВМ комплексов я ВАС понимаю и с ВАМИ согласен, а как почти пенсионер на предложения которого не всегда обращают внимание - вынужден неторопясь сходить с горы, а не бежать как угорелый при виде любого объекта для спаривания...
Тем не менее - подскажите комплекс МЕР и я постепенно их освою.

[AnrDaemon]

На самом деле всё проще, чем кажется.
1. Определиться с тем, что мы разрешим.
2. Разрешить то, что просто должно быть разрешено (i.e. DNS запросы)
3. В обязательном порядке забанить все входящие на порты < 1024, кроме тех, что разрешены.
4. Забанить 3306/tcp на доступ из внешнего мира (не 127.0.0.0/8).

По выполнении этих четырех пунктов ставить DEFAULT DENY уже не так необходимо.

[sherpa51]

Всем спасибо, скачал по ссылке Винипуха и установил ВСЕ пошло.
Теперь можно подумать о безопасности.

Вопрос к AnrDaemon:

Начет Безопасности, вопрос - все это делаем в iptables?

Или есть варианты -  поставить фаервул и т.д.?

[Просто Царь]

а iptables чем не фаервол?

[AnrDaemon]

IPTABLES и есть фаервол. Единственный и неповторимый. Всякие UFW, FireStarter - не более чем гуёвые морды к нему, родимому.

По сути моего предыдущего поста - это всё делается 5-6 правилами в разделе фильтров (не четырьмя, потому как протоколы разные, и направления тоже могут быть разные для некоторых портов)

[sherpa51]

Спасибо!
Для тех кто делал хотя бы раз - это понятно и несложно.
Попробую, если будут вопросы напишу.
Конечно хорошо бы "рыбу" - заготовку со строками и коментариями (в свое время я пытался подобное сделать), да понятно что ктож ее даст просто так...
Был у меня порыв на старой работе (до кризиса) все это описать, сделали - да вот так срочно увольняли что я переписать все это не успел не до того было...