GNU/Linux - Hilo general | Página 206

Aziwar #6151 Ene '16 Inocente

#6149 aqui tienes un ejemplo en el que he quitado algunos servicios "extra"

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -X

#Loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Allow ESTABLISHED incoming traffic
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#Allow all outgoing traffic for root
iptables -A OUTPUT -m owner --uid-owner root -j ACCEPT

##################### Basic Services #####################
#DNS
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

#FTP
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT

#HTTP/HTTPS
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

#ICMP
iptables -A OUTPUT -p icmp -j ACCEPT

#NTP
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT

#Samba
iptables -A INPUT -p udp --sport 137:138 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -p tcp --sport 139 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -p tcp --sport 445 -m conntrack --ctstate NEW -j ACCEPT
iptables -A OUTPUT -p udp --dport 137:138 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 139 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 445 -j ACCEPT

#SSH Default Port
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
#SSH Custom Port
iptables -A INPUT -p tcp --dport PON_AQUI_TU_PUERTO -m conntrack --ctstate NEW -j ACCEPT
iptables -A OUTPUT -p tcp --sport PON_AQUI_TU_PUERTO -j ACCEPT

#Whois
iptables -A OUTPUT -p tcp --dport 43 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 4321 -j ACCEPT


##################### Application-based Services ##################### 

#Android Wifi File Transfer
iptables -A OUTPUT -d 192.168.90.0/24 -p tcp -m tcp --dport 8888 -j ACCEPT

#IRC RootedCON
iptables -A OUTPUT -p tcp --dport 9999 -j ACCEPT
#IRC Freenode
iptables -A OUTPUT -p tcp --dport 6697 -j ACCEPT

#Steam
iptables -A OUTPUT -p tcp --dport 27030:27040 -j ACCEPT
iptables -A OUTPUT -p udp --dport 27017:27020 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 27014:27020 -j ACCEPT
#DotA 2
iptables -A OUTPUT -p udp --sport 27005 -j ACCEPT
iptables -A OUTPUT -p udp --dport 27015:28999 -j ACCEPT

#Torrent 
iptables -A INPUT -p tcp --dport PON_AQUI_TU_PUERTO -m conntrack --ctstate NEW -j ACCEPT
iptables -A OUTPUT -p tcp --sport PON_AQUI_TU_PUERTO -j ACCEPT
iptables -A OUTPUT -p udp --sport PON_AQUI_TU_PUERTO -j ACCEPT

##################### LOGGING #####################
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A OUTPUT -j LOGGING
iptables -A LOGGING -j LOG --log-prefix "IPTables-DROP: "
iptables -A LOGGING -j DROP

1 2 respuestas

Diward #6152 Ene '16

#6151 Pero esas iptables las configuras en el router de movistar/conexion que tengas, o tiens tu un router tuyo?

1 respuesta

AikonCWD #6153 Ene '16 Git Gud

#6149 iptables solo lo necesitarás si tienes esa máquina expuesta a internet. Mientras no hagas una DMZ contra ese linux, el simple router hará su trabajo, no necesitas iptables.

3 respuestas

B

[Borrado] #6154 Ene '16

#6153

Sirve para mucho más que eso, es una protección básica para cuando estás en una red no confiable y además te aseguras que ningún servicio se conecte de forma remota a ningún sitio (reverse shells).

1 respuesta

AikonCWD #6155 Ene '16 Git Gud

#6154 Yo toda esa config de trafico outbound lo hago en el router, así no solo securizo un equipo linux, si no toda la red de la casa.

1 respuesta

B

[Borrado] #6156 Ene '16

#6155

Pero vamos a ver, no tiene que ver hay protecciones a nivel de red y de host. Evidentemente si tienes una torre en tu casa o en una oficina puedes/debes establecer la defensa perimetral en el router, pero en un portátil, por ejemplo, es una medida básica tanto un firewall como un hids.

Vamos, que fuera de tu propia red privada yo lo considero necesario.

1 respuesta

Aziwar #6157 Ene '16 Inocente

#6152 en el PC

#6153 te recomiendo que busques información sobre "defense in depth"

2 respuestas

AikonCWD #6158 Ene '16 Git Gud

#6157 are you serious?

#6156 Si es un portatil que va a viajar... sí. Claro

Diward #6159 Ene '16

#6157 Porque haces drop del OUTPUT? Quiero decir, para protegerte no seria suficiente con filtrar INPUT?

1 respuesta

Aziwar #6160 Ene '16 Inocente

#6159 para aislar una hipotética infección, de modo que no se propague al resto de la red

De hecho, a nivel de PC es muuuuhcho más importante controlar el tráfico de salida que el de entrada por esto mismo.

jonathanE #6161 Ene '16

#6055

Para las celdas no sé pero para texto shift+cursor te tendría que sobrar si no quieres quitar las manos del teclado

A propósito, no sé con qué ajustes probaste el Prince of Persia pero con mi dosbox.conf y a 1500 va sin problemas

Hemos pasado de criticar los Mac a criticar distribuciones y arranques duales, en fin xD

B

[Borrado] #6162 Ene '16

#6150 gracias

#6151 buej, con eso voy a empezar. aunque hare alguna que otra modificacion. ya os cuento si me quedo sin red o que jaja.

#6153 es para el portatil que uso fuera de casa, si o si necesito un iptables en la maquina. en casa el router ya lo tengo mas o menos seguro (que luego llega uno y te tumba todo by the face xd)

1 respuesta

AikonCWD #6163 Ene '16 Git Gud

Bug 0-day en kernel de Linux permite escalar privilegios

Se ha detectado una vulnerabilidad en el kernel de Linux que permite escalar privilegios para conseguir acceso root, y que existe en el kernel desde hace 3 años. Algunas plataformas Android también están afectadas por el bug.

http://perception-point.io/2016/01/14/analysis-and-exploitation-of-a-linux-kernel-vulnerability-cve-2016-0728/

1 1 respuesta

HeXaN #6164 Ene '16

#6163 Está parcheado ya [CVE-2016-0728]

Aziwar #6165 Ene '16 Inocente

#6162 siendo en local no pasa nada. Cuando estás configurándolo en un servidor remoto es más aconsejable (al menos mientras no estés seguro) definir las políticas como ACCEPT y al final hacer DROP de todo lo que no haya cuadrado antes, por si acaso la lías en el orden de alguna regla y pierdes el SSH xD

NoixeN #6166 Ene '16

A alguien aquí que use gnome3 + i3wm le ocurre que al abrir un vídeo en vlc, cerrar el vídeo e intentar abrir otro inmediatamente, no se inicia la reproducción quedándose el icono de vlc en el i3bar?

AikonCWD #6167 Ene '16 Git Gud

Pregunta de nivel imbécil, viendo ese output... cuanta RAM tengo disponible? 378Mb o 658Mb?

2 respuestas

maxmalkav #6168 Ene '16

#6167 en caso de necesidad extrema, 658MB

Linux, aparte de la memoria usada por programas, usa memoria RAM "ociosa" como buffer/cache para agilizar operaciones (porque la memoria está para usarse :-) Si el sistema demanda más memoria, liberará memoria usada por esa caché, lo cual no requiere mover nada a swap y por tanto es "indoloro". Si una vez agotada la memoria libre y reclamada la memoria usada para caché sigue haciendo falta más, empezará a paginar a disco con los horrores asociados que conlleva, para finalizar matando procesos para intentar salvar el chiringuito.

1 2 respuestas

Saphyel #6169 Ene '16

#6167 378 + lo que ha dicho #6168

AikonCWD #6170 Ene '16 Git Gud

#6168 Curioso... Estando en Kodi, hay un apartado de info donde se ve el hardware, nivel de CPU en uso y memoria ram disponible. Ahí me marca 658Mb

Todo ésto lo pregunto porque estoy configurando a mano el tamaño del buffer/cache de Kodi. Por defecto es de 20Mb, esos 20Mb necesitarán x3 de espacio en RAM, es decir 60Mb de RAM real serán ocupados por el buffer de 20Mb de Kodi.

Quiero ampliar ese bufffer, 20Mb me parecen poquitos. Para ello hay que coger el free_ram que tienes disponible, dividir entre 3 y pasarlo a bytes. Supongamos que tengo 378Mb de RAM, hago un numero redondo y digo que tengo libres 300Mb. Lo divido entre 3 y me salen 100Mb. Entonces:

(300Mb / 3) * 1024 *1024 = 104857600

Ese sería el tamaño para tener un buffer de 100Mb (que en ram podrá ocuparme 300). Hago el calculo del buffer teniendo en cuenta que tengo 300Mb libres en la RPi o lo hago teniendo en cuenta que tengo libres 600MB?

2 respuestas

maxmalkav #6171 Ene '16

#6170 Se conservador y haz el cálculo con 300MB de RAM para proporcionar un buffer de 100MB para Kodi, que debería ser un tamaño más que decente. Si reservas toda la memoria libre para Kodi, cualquier cosa que lances y necesite RAM tendrá que tirar de swap y eso sería una penalización demasiado grande.

Get #6172 Ene '16

#6147 un clamav, lo tengo en servidor de correo, pero no en un pc,workstation.

jonathanE #6173 Ene '16

#6170

En las "versiones" más recientes del comando free (forma parte del paquete procps-ng según me cuenta pkgfile y en mi caso tengo la versión 3.3.11) se identifica claramente el último dato (658 en tu caso) como available, es decir disponible.

Puedes ver una captura gráfica de lo que te comento aquí (aparte de la explicación)

Red_HMR #6174 Ene '16

Buenas, cuando suspendo mi portail y lo enciendo de nuevo el touchpad no funciona. He leido este post, aplicando la solucion que parece les funciono

cat /etc/pm/sleep.d/0000trackpad
#!/bin/sh
case "$1" in
suspend|hibernate)
modprobe -r psmouse ;;
resume|thaw)
modprobe psmouse ;;
esac

Pero no me funciona. Tengo Mint.

Alguno ha tenido este problema con su portatil ??

EDIT: cuando llegue probare esto tambien

http://forums.linuxmint.com/viewtopic.php?t=152185

B

[Borrado] #6175 Ene '16

Buenas, a ver si me podéis ayudar.
Tengo un teclado mecanico con layout americano.
En windows, para poner la (enie) uso la combinacion ALT + 165, para la e acentuada ALT + 130, etc.

La cosa es que un Linux (ubuntu) estas combinaciones no rulan.

Alguien sabe si se puede poner las mismas combinaciones que en Windows??? En caso negativo, sabéis cuales son en Linux??

Gracias de antemano.

1 respuesta

maxmalkav #6176 Ene '16

#6175 puedes configurar el mapa de teclado como si fuese español, aunque esta solución funciona regular y pierdes la tecla <>, que en el teclado americano no existe físicamente junto al Shift izquierdo. Una alternativa más "elegante" es usar el layout US Intl, viene siendo la distribución americana pero con AltGr para conseguir muchos caracteres de otros idiomas (por ejemplo AltGr+n genera la eñe). Los acentos se consiguen con el quote simple (') que pasa a ser una tecla "muerta" (para escribir quote simple sólo hay que pulsar la barra espaciadora después de pulsarla.

1 respuesta

B

[Borrado] #6177 Ene '16

#6176 Gracias, la solución de US Intl me parece mucho más cómoda que lo de Windows.

Por cierto, ¿no sabras si en Windows también se puede poner cómo en Ubuntu (US Intl)?

1 respuesta

maxmalkav #6178 Ene '16

#6177 sí se puede, US Intl es un layout bastante extendido, Windows, Linux y también Mac OS X lo incluyen de serie.
En linux yo uso la lína de comando
setxkbmap -layout us -variant intl
cuando quiero activarlo por las bravas sin pasar por herramientas de configuración de escritorio.

1 respuesta

B

[Borrado] #6179 Ene '16

#6178 Lo acabo de comprobar y si se puede, sí. Me viene perfecto.
Gracias tio!

Saphyel #6180 Ene '16

los amantes de i3, openbox y mierdas varias posiblmente odies la idea de este tio..: https://www.desktopneo.com/
No se si este tio esta planteando "la solucion", pero va siendo hora que despues de casi medio siglo el sistema de ventanas se jubile...

1 respuesta

GNU/Linux - Hilo general

Usuarios habituales

Tags