Linux

架server要怎麼避免被當跳板 - Linux

Rachel avatarRachel · 2013-11-27

Table of Contents


版上各位先進好
小弟不材,對於架設linux server這塊不是很熟
但是boss要我架一台server
用來提供上課的人可以遠端到server來做作業
而每一個人都有一組自己的使用者帳戶
(每一組帳戶都只能下一般指令,不能用sudo之類的指令)

boss很擔心這些上課的同學會有人把這台server當跳板

目前的想法是把ssh和telnet對外的端口關掉
但是好像沒辦法這樣做
要就是整個都關掉,似乎不能關掉對外的端口

不知道我這個想法是不是正確的
或是板上先進有更好的方法可以提供給小的我來做嘗試

若有敘述不清楚的地方,請鞭小力一點,我會再做補充,感謝各位先進。

--
你在幹麻? 我在鋪梗阿
○   更
/■\ ○/
/\ ╴/▔\
□□□□木更木更木更木更木更木 □□□□

--
Linux

All Comments

Olivia avatarOlivia2013-11-29
iptables 有辦法阻擋特定使用者程序產生的封包
Brianna avatarBrianna2013-12-01
-m owner --uid-owner
Mason avatarMason2013-12-03
deny 22, 23 tcp port out
David avatarDavid2013-12-06
樓上那樣 in沒做好對應設定 ssh會直接死掉啊XD
Queena avatarQueena2013-12-10
那就做好對應啊....
Tristan Cohan avatarTristan Cohan2013-12-12
把22port弄到好幾萬port, script kid少一半
Tristan Cohan avatarTristan Cohan2013-12-17
2. allow 特定網段的位置 其餘drop掉封包
Agatha avatarAgatha2013-12-19
http://rms.twnic.net.tw/ 可查台灣ip網段
Vanessa avatarVanessa2013-12-21
其餘只要確定application layer 會不會功擊就好
Leila avatarLeila2013-12-22
攻擊;另外可以在facebook 訂閱一些hacking news
Elizabeth avatarElizabeth2013-12-22
alog 這邊說的是把機器當跳板跳出去 不是被當殭屍
hirokofan 問題f大沒提到啊 直接設定下去就哭了XD
Megan avatarMegan2013-12-25
(如果是在console前設的話會更晚才哭XD)
Una avatarUna2013-12-29
不就把內對外的port都鎖起來就好啦
Rosalind avatarRosalind2014-01-01
然後開特定網段可以通
Rosalind avatarRosalind2014-01-02
哦,看錯嘍 哈哈
Aaliyah avatarAaliyah2014-01-03
基本上不要怕人弄跳版耶,防不了 不然就是用chroot
Donna avatarDonna2014-01-04
或掛個外掛kill掉在非使用時段的user or proccess
Hamiltion avatarHamiltion2014-01-08
另外需要弄份木馬跟攻擊程式的清單,系統掃描到就移除跟回報
Sandy avatarSandy2014-01-09
另外一個做法是透過iptables 把所有連線drop掉,只開特定port
James avatarJames2014-01-09
不過iptables需要一點linux經驗
Edwina avatarEdwina2014-01-13
另外可以限制使用者可以存取的網域或ip位置作為防堵策略
Valerie avatarValerie2014-01-17
管理主機可以用python的subprocess module來操作shell
Aaliyah avatarAaliyah2014-01-21
也可以用python寫好一些腳本塞到crontab定時檢查
Valerie avatarValerie2014-01-24
我覺得你這些說完 原PO也沒半個看得懂XD
Andrew avatarAndrew2014-01-29
我是覺得不用太擔心 擔心意義也不是太大
Rae avatarRae2014-01-29
使用者也應該沒root權限 所以出問題也還好
Lily avatarLily2014-01-30
至少有紀錄能查 查到請你BOSS幫個忙就好(笑
Queena avatarQueena2014-01-30
假設你的作業是指類似c程式作業,上來編輯/編譯,那一個作法
Ingrid avatarIngrid2014-01-31
是改用web提交source code,然後回應編譯及執行結果,找一下
Andy avatarAndy2014-02-04
ICPC的線上程式測驗系統
Rae avatarRae2014-02-07
1.host.allow host.deny 台灣IP限定
Agnes avatarAgnes2014-02-11
2.關掉telnet ftp 只開ssh sftp
Zora avatarZora2014-02-13
3.log檔異地備份 這樣應該可以擋掉90%的攻擊加出事可以追查
Zanna avatarZanna2014-02-15
樓上再度搞錯問題XD 不過防攻擊確實也真的要注意啦
Sierra Rose avatarSierra Rose2014-02-20
我搞錯了嗎?不然乾脆 ssh , telnet o-x 好了...
Ophelia avatarOphelia2014-02-21
用一樓的方法比較容易
Kristin avatarKristin2014-02-25
ssh tunnel
Kumar avatarKumar2014-02-27
chmod還要防止用戶自己編譯一份ssh, 擋連接比較幹脆
George avatarGeorge2014-03-04
撲,我正是這種學生 囧
Joseph avatarJoseph2014-03-06
偷偷地承認 我也從研究室開了ssh tunnel到外面
Tracy avatarTracy2014-03-10
sshd_config AllowTcpForwarding No, kill 掉運作過長的
進程,我想到這麼多了
Yuri avatarYuri2014-03-13
要讓他們登入寫作業,是怎麼個寫法,知道用途跟達成方式,
才知道怎麼去反限制.