>>># ipfw show
>>>ipfw: getsockopt(IP_FW_GET): Protocol not available
>>А кто сказал что он у тебя вообще есть? :)
>>М.б. ты уже давно в chroot кем-то посажен? Или нечто подобное.
>
>ну не знаю...
>#man ipfw
>по крайне мере пишет...
>А что? Как проверить то? А то может его установить нужна...
>Везде где не нашел в инете по настройке, везде компелировать ядро нужно...
>я этого никогда не делал... а на боевом тазике, эксперементировать не
>охота... Сейчас вот комп еще один достану, на него поставлю все
>сам и потренируюсь, тогда уже буду на боевой машине делать... а
>то вдруг случись что и все - припляли...
н-да...
# ipfw l
если получите тоже сообщение что и раньше, значит у вас:
1) отсутствует FIREWALL в ядре
2) и не подгружен модуль FIREWALL (kldstat)
можно собрать монолитное ядро с FIREWALL'ом, а можно подгружать модулем
вместо пересборки ядра.
В первом случае - встраивание в ядро, есть два варианта:
- by default fireewall - открыт всем
- закрыт всем
далее при загрузке можно выбрать тип, например open, или client или
построить всем, понято что порядок правил будет разный при открытом и закрытом - это нужно иметь ввиду.
Правильно использовать открытый файервол и потом накладывать ограничения,
в этом случае если администрируешь удаленную машину, не промахнешься
с перезагрузкой.
Точное руководство найдешь в Handbook'е.
запуск openssh который идет с системой:
[alone]~ > grep sshd /etc/rc.conf
sshd_enable="YES"
[alone]~ >
Дефолтный конфиг SSHD нужно обязательно поправить под себя:
/etc/ssh/sshd_config
Если нужно установить более свежий OpenSSH, это можно сделать из портов:
# cd /usr/ports/security/openssh-portable
Последнее, вероятно тебя сканируют по SSH с перебором паролей, варианты:
воспользоваться tcpwrapper'ом: less /etc/hosts.allow
можно и нужно ограничить доступ через sshd_config откуда разрешено
ну и банить через ipfw те ip с которых идет перебор с отписыванием
Инцендента официальным лицам которые являются владельцами тех IP
с которых тебя атакуют.
Нельзя разрешать пользователям использовать легкие пароли, ставишь john-ripper и сам себя проверяшь, после чего делаешь disable пользователей
с простеньким паролем который легко подбирается через словари.