Chris Lercher's questions

这个问题与此处的问题类似，关于更改 Mac OSX 上的 sshd 端口，但我不想更改端口号，而是想更改我的 Mac 的 ssh 服务器的侦听地址。设置它/etc/sshd_config不起作用（就像它不适用于端口号一样）。

根据man页面SSHD_CONFIG(5)：

在 Mac OS X 上，sshd 由 launchd(8) 按需启动。在 launchd.plist(5) 文件 /System/Library/LaunchDaemons/ssh.plist 中给出了 sshd 将侦听的地址的规范。ListenAddress 和 Port 的值仅在从命令行运行 sshd 时使用。使用 launchctl(1) 卸载和加载 plist 文件。可以通过更改 plist 文件中 SockServiceName 键的值来设置 sshd 监听的端口号。

这个答案显示了如何设置SockServiceName更改端口号，但我不清楚如何更改监听地址。

迪奥有人知道怎么做吗？

注意：这个问题仍未解决 - 答案已被自动接受。

我有一个 Debian Lenny VPS，它运行由 Parallels/Virtuozzo 虚拟化。目前，网络接口没有 IPv6 地址——这很好，因为我没有ip6tables配置。

但我假设，有一天我会醒来，ifconfig 会显示接口的 ipv6 地址——因为我无法控制内核或其模块——它们在托管公司的控制之下。这将使服务器完全容易受到来自 IPv6 地址的攻击。

禁用 IPv6（对于接口或整个主机）的最佳方法是什么？通常我会简单地禁用内核模块，但在这种情况下这是不可能的。

更新

也许我应该补充一点，我可以iptables正常使用一切（我是 VPS 上的 root），但由于 Virtuozzo 的工作方式（共享内核） ，我无法更改内核或加载内核模块。

lsmod总是什么都不返回。

我不能打电话ip6tables -L（它说我需要 insmod，或者必须升级内核）。

我不认为，改变/etc/modprobe.d/aliases会产生任何影响，或者是吗？

网络配置？

我想，也许我可以从 /etc/network/... 关闭 IPv6。这可能吗？

这是我的Encrypting absolute everything...问题的后续行动。

重要提示：这与更常见的 IPSec 设置无关，您希望在其中加密两个 LAN 之间的流量。

我的基本目标是加密小公司局域网内的所有流量。一种解决方案可能是 IPSec。我刚刚开始了解 IPSec，在我决定使用它并更深入地研究之前，我想大致了解一下它的外观。

• 是否有良好的跨平台支持？它必须在 Linux、MacOS X 和 Windows 客户端、Linux 服务器上运行，并且不需要昂贵的网络硬件。

• 我可以为整台机器启用 IPSec（这样就不会有其他流量传入/传出），还是为网络接口启用 IPSec，或者它是否由单个端口的防火墙设置/...决定？

• 我可以轻松禁止非 IPSec IP 数据包吗？还有“Mallory 的邪恶”IPSec 流量，由某个密钥签名，但不是我们的？我的理想构想是使 LAN 上不可能有任何这样的 IP 流量。

• 对于 LAN 内部流量：我会在“传输模式”中选择“带身份验证的 ESP（无 AH）”、AES-256。这是一个合理的决定吗？

• 对于 LAN-Internet 流量：它如何与 Internet 网关一起工作？我会用

  • “隧道模式”创建从每台机器到网关的 IPSec 隧道？或者我也可以使用
  • “传输模式”到网关？我问的原因是，网关必须能够解密来自 LAN 的包，所以它需要密钥才能做到这一点。如果目标地址不是网关地址，这可能吗？还是在这种情况下我必须使用代理？

• 还有什么我应该考虑的吗？

我真的只需要这些东西的快速概览，而不是非常详细的说明。

有没有人尝试过这种方法？我真的在考虑：每个数据包都必须使用由我自己的 CA 颁发的证书启动的加密，而不是依赖基于网络的 IDS 等。

• 每个客户都会获得唯一的客户证书
• 每台服务器都获得一个唯一的服务器证书
• 每项服务还需要登录。

SSL 和 SSH 都可以。对互联网的访问将通过通往网关的 SSL 隧道完成。

可行吗？它会产生实际问题吗？怎么做和执行？你怎么看？

更多细节

我的目标是简化LAN 的安全概念——我还不确定这是不是一个疯狂的想法！但我觉得，保护 HTTPS 或 SSH 服务器免受互联网威胁（如果使用相互身份验证）有时比监控 LAN 的狂野世界中可能发生的一切更容易。

在未加密的 LAN 上，我觉得很难领先于潜在的攻击者，因为以下威胁：

• 低级攻击，如 ARP 欺骗、端口窃取、...
• WLAN 访问（例如，每个开发人员都可以从 (W)LAN 访问 SVN 服务器 - 我认为不会通过 VPN...）

=> 为简单起见，假设局域网中总是存在攻击者不是更容易吗？

=> 我是否可以通过将其视为 WAN 来简化（小公司的）LAN 安全概念？还是我宁愿把它复杂化？

IPSec 和替代方案

IPSec 听起来很有希望，但我也对 IPSec 的替代品感兴趣 - 每个服务单独使用 SSL/SSH 并创建到网关的 Stunnel？也许使用 Kerberos？... IPSec 或其他的优点是什么？

如果您能帮助我更好地掌握 IPSec，请参阅我专门针对 IPSec 的后续问题。

我想解析日志文件。syslogd 的日志文件格式是否对所有系统都相同？在我的系统（Debian Lenny）上，它是：

Mar  7 04:22:40 my-host-name ...

（我对 ... 部分不太感兴趣）

我可以依靠这个吗？是否有一些或多或少的官方描述？的手册页syslogd描述了配置格式，但没有描述日志文件格式。

理想情况下，描述会给字段提供官方名称，例如（日期、时间、主机、条目）或（日期时间、主机名、消息）。也许另外一些正则表达式。我想在我的脚本中使用名称和正则表达式，以避免不必要地偏离标准，并确保脚本到处运行。

谢谢

克里斯

我想在 Linux (Debian) 上以非特权用户身份运行 Glassfish v3，但使其在端口 80 上可用。我目前正在使用 iptables 执行此操作：

iptables -t nat -I PREROUTING -p tcp -d x.x.x.x --dport 80 -j REDIRECT --to-port 8080

这有效，但我想知道：

1. 如果这与直接绑定到端口 80 相比有任何显着的性能影响
2. 如果我可以进行类似的设置也适用于 HTTPS（或者如果必须在 443 上运行）
3. 如果有办法避免其他用户绑定到端口 8080（以防我的服务器崩溃） - 也许以某种方式永久阻止该端口对其他用户？

...或者如果我应该使用 authbind/privbind 代替？问题：到目前为止，我无法使其与 authbind 或 privbind 一起使用。

对于authbind，我将 asadmin 的最后一行编辑为：

exec authbind --deep "$JAVA" -Djava.net.preferIPv4Stack=true -jar ...

对于privbind：

exec privbind -u glassfish "$JAVA" -Djava.net.preferIPv4Stack=true -jar ...

（仅）通过这些设置，我可以成功执行create-domain --domainport 80. 这证明，authbind 和 privbind 确实有效（脚本的 authbind 版本由 glassfish 用户调用；privbind 版本当然由 root 调用）。但是，在这两种情况下，在启动域 ( ) 时，我都会遇到以下异常start-domain：

[#|2010-03-20T13:25:21.925+0100|SEVERE|glassfishv3.0|javax.enterprise.system.core.com.sun.enterprise.v3.server|_ThreadID=11;_ThreadName=FelixStartLevel;|Shutting down v3 due to startup exception : Permission denied: 80=com.sun.enterprise.v3.services.impl.monitor.MonitorableSelectorHandler@1fc25e5|#]

我还没有找到解决方案（在网上搜索之后，这似乎不是那么容易？）但也许，使用 iptables 的解决方案已经足够好了 - 你觉得呢？

谢谢，

克里斯

笔记：

在我的情况下，将 Apache 放在前面并不是一个好的解决方案——我计划使用 Comet，而 Comet 在没有代理的情况下工作得更好。

我正在/etc/network/if-pre-up.d/iptables使用 iptables-restore 通过初始化我的 iptables 规则。这很好用，但我有点担心如果该脚本由于某种原因失败（可能保存的 iptables 文件已损坏或其他原因）会发生什么。

如果脚本失败，我想：

• 在没有任何 iptables 规则的情况下启动我的网络接口
• 启动 OpenSSH 服务器
• 但不是任何其他服务，如 Web 服务器，......（并且可能停止运行实例）

有没有一个很好的规范方法来做到这一点？进入较低init阶段？- 我已经很久没有这样做了，而且我认为近年来关于 init 发生了很多变化（？） - 我应该降到哪个阶段，OpenSSH 服务器和我的网络接口仍然运行吗？

谢谢

克里斯

（在 Debian Lenny 上）

让我们看看这两个经常用于允许传出 DNS 的 iptables 规则：

iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 
   -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p udp --sport 53 --dport 1024:65535
   -m state --state ESTABLISHED -j ACCEPT

我的问题是：我应该如何理解 UDP 中的 ESTABLISHED 状态？UDP 是无状态的。

这是我的直觉-我想知道这是否不正确或在哪里不正确：

手册页告诉我：

状态

该模块与连接跟踪结合使用时，允许访问
此数据包的连接跟踪状态。

  - 状态 ...

所以，iptables 基本上会记住用于传出数据包的端口号（它还能记住什么用于 UDP 数据包？），然后允许在短时间内发回的第一个传入数据包？攻击者必须猜测端口号（这真的太难了吗？）

关于避免冲突：

内核会跟踪哪些端口被阻塞（被其他服务或以前的传出 UDP 数据包），以便这些端口不会在时间范围内用于新的传出 DNS 数据包？（如果我不小心在该时间范围内尝试在该端口上启动服务，会发生什么 - 该尝试会被拒绝/阻止吗？）

请找出以上文本中的所有错误 :-) 谢谢，

克里斯

我正在考虑租用虚拟服务器（对我个人而言）。我目前正在查看的产品提供了 IMO 公平的定价、非常好的硬件等。唯一的问题是，我无法升级到比 2.6.9 更新的内核（运行 Debian Etch）。另外，我无法安装自己的内核模块。（服务器使用 Virtuozzo 运行，据我了解，它只是执行一些 chroot 而不是真正的虚拟化（？））

我想在上面运行 GlassFish、Postgres、Subversion、Trac 和其他一些东西。它还必须使用防火墙，并为 https 提供 OpenSSL。理想情况下，它还可以进行 AIO（异步 IO），这可以加快某些服务器 I/O。

我是否应该预期旧内核版本与我要安装的软件一起出现问题（我想使用该软件的当前版本）？我已经发现的一件事是，你不能用 iptables 做所有事情，因为一些内核模块丢失/东西没有内置到内核中。GlassFish v3 乍一看似乎运行良好。

我能够测试服务器几个小时。在那个时候安装我的整个设置是不可行的，但我可以说的是，它对于入门级虚拟服务器来说非常快，尤其是硬盘和网络性能（平均大约 400MBit/s）。因此，如果内核不会成为问题，我真的很想接受它。

谢谢，克里斯

PS 确切内核版本：2.6.9-023stab051.3-smp

编辑：

我可以期待重要的安全补丁被反向移植到该内核版本吗？

我个人喜欢 Ubuntu 的默认 sudo 行为： - 无法 root 登录 - 授予“admin”组“ALL=(ALL) ALL” - 使用时要求“admin”组中的用户输入用户密码（不是 root 密码）须藤。

[我喜欢它，因为这样，几个人之间就没有root密码了。其他意见也可能有充分的理由——但这不应该是这个问题的主题。]

现在我正在尝试在 Debian Etch 中重新创建这种行为。它基本上可以工作，但有一个重要区别：Debian 不要求输入密码。它应该询问用户的密码。

我将 sudoers 文件编辑为与 Ubuntu 中完全相同，并将用户添加到新创建的“admin”组。我还需要做什么才能在 Debian（和其他 Linux）中获得 Ubuntu 行为？

谢谢克里斯