PCDVD數位科技討論區 - 世界最後會不會只剩下兩個 Linux?

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)

- 七嘴八舌異言堂 (https://www.pcdvd.com.tw/forumdisplay.php?f=12)

- - 世界最後會不會只剩下兩個 Linux? (https://www.pcdvd.com.tw/showthread.php?t=1176765)

引用:

作者sparc10

請問，Linux下有那種防火牆能封鎖特定軟體連線？
Ufw最常見，但它在鎖Port、IP。但我不知道WPS office會連到那個IP！

Layer 7 模組可以 , 但......

我相信這東西對各位而言困難度極高!! 困難點如下

1. 重新Compile Kernel 及 install 問題...
2. 你要對netfilter 整個架構很清楚瞭解 , 每一個Chain之間的特性及運作方式...
3. mangle , nat , filter等table的相互關係
4. 你還得要學著些packet pattern for application :stupefy: :stupefy: :stupefy:

能做整體瞭解的人沒幾個 , 不如這樣子吧 , 你把你收集到的IP address 有那些提供給我
我跟你說設定那幾個command , 然後把這command收集起來寫成script ,重開機時再自動執行就好!! 如何 ??

不知道ip address , 那就只能夠用tcpdump 去收集進出的封包資料,儲存成檔案後
再交給我來處理吧!! 我這一方面的能力還不錯 .... :ase :ase :ase

引用:

作者anderson1127

Layer 7 模組可以 , 但......
不知道ip address , 那就只能夠用tcpdump 去收集進出的封包資料,儲存成檔案後，再交給我來處理吧!! 我這一方面的能力還不錯 .... :ase :ase :ase

謝謝你！

我轉貼過來只是留作記錄。
我後來移除WPS office以策安全，且未來會在Linux用德國的Free office來讀寫微軟檔案。

最後，我會持續日常地使用Linux，並多學習。

引用:

作者sparc10

不用客氣啦...我也是看人來提供我能做的事!!

不過iptables真的是越鑽研越有心得 , 我剛剛也才發現原來netfilter真的能夠by user-id來進行過濾
這是我過去完全沒有想到過的事!! 以前要做filter , 都是by ip / port 來做 , 最多就是layer 7 pattern filter
現在在localhost主機裡,可以設定by user-id filter !!

雖然我不大確定這功能有何作用 , 不過先記起來 , 說不定會有妙用!! :ase :ase :ase

PS: 學無止境,我真的體會到了!! :ase :ase :ase

引用:

作者sparc10

請問，Linux下有那種防火牆能封鎖特定軟體連線？
Ufw最常見，但它在鎖Port、IP。但我不知道WPS office會連到那個IP！

我不會用 ufw
所以我只能提供 firewalld 的方法
不過我自己並沒有使用 WPS
所以我不保證可以達到你想要的需求

代碼:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="any" service name="wps" reject type="tcp" uid-owner="1001"'

你最好建立一個新區域( ZONES )來限制，避免影響你原本的規則
如果有用 ipv6 就新增一條改成 ipv6

然後 uid-owner=1001 這是範例，改成你 WPS 的 UID
service name 應該是 wps, 至少我 google 到的是 wps
UID 跟 service name 應該選擇其中一個就可以了

其實封鎖這類行為最好的是 SELinux，只是方法稍微複雜
如果 firewalld 無法達到你的需求再考慮吧

引用:

作者anderson1127

我剛剛也才發現原來netfilter真的能夠by user-id來進行過濾
雖然我不大確定這功能有何作用 , 不過先記起來 , 說不定會有妙用!! :ase :ase :ase

一般的 PC/Server 用途不大 (幾乎沒有這種需求).
不過在 Android 之類的設備, 因為每個 app 是一個 uid, 所以用處就多了.

引用:

作者twu2

不過在 Android 之類的設備, 因為每個 app 是一個 uid, 所以用處就多了.

沒錯！

洪朝貴副教授教人在Linux下放出爬蟲搞股票交易。
https://www.cyut.edu.tw/~ckhung/c/spd229/

好人一世平安!! :laugh: :laugh:

引用:

作者anderson1127

驚 !? 我多年前做某公家機關的駐點工作 , 就曾遇見過一件事 , 當時該機關正在找廠商
來消化處理某筆預算 , 就是資安的預算!! 我印像中記得,他們家的Sales及PM來過我駐點的
地方之後 , 大約半個月到一個月之間 , 就發生DDoS事件 !!

只是, 因為網路架構上的緣故 , 攻擊方原本只是想攤渙一下該公家機關的出口頻寬 ,結果沒想到
導致骨幹網路上的一台老舊的IPS無法負荷流量的異動(該死的趨勢科技產品) 在該段時間裡
卡住了 , 接著就像漣漪一樣 , 很多單位的服務接著一個一個掛點動不了 !!

在那一瞬間,你會搞不清楚到底發生了什麼事 , 只知道伺服器掛了,網路不通了 , 天旋地轉了.... !@#!%^*(GASDE#@!

後來,持續約半個多小時後,慢慢恢復了 , 當時我被主管告知隔天早上7:00上班到場!!

------

早上一早,我就趕忙進入辦公室 , 接著查看流量資料以及那台IPS (其實IPS有好幾台)
因為它就在骨幹那一串設備上!! 當時,真沒想到是DDoS事件的發生 , 只是單純的以為
大概是什麼設備或者主機被攻擊而已!!

查看流量後,順便就開始抓圖抓Log , 當時Firewall Log是外包給SOC (種花拿走了)
我沒得看 , 只好通知種花 , 把晚上23:00-24:00 的記錄截取下來,寄送給我自己分析!!

還好當時有抓取一些流量圖,關鍵點就在那台IPS有記錄到一個詭異的流量出現在WAN端

大約半天以後,我取得FW Log檔 , 查看了裡面記錄的message文字格式,寫了個Script
去專門分析該Log檔 , 這個檔大約2GBytes多 , 丟到網管專用主機去分析後
很快的約15分鐘我就查到一些不大對勁的訊息 .....

有幾個國外的IPv4 address 在那半小時裡(23:00-23:30)瘋狂的丟UDP封包給我們的
官網主機的IP addr. , 搭配流量圖及FW Log確認了DDoS的發生 !!

因為熟悉封包的往來的工程人員就會知道, 你去查這個來源的ip addr 基本上是沒用的
因為UDP封包造假最容易 , 當然來源ip addr要寫那一個ip 都可以!!

重點來了,誰幹的 ?? 又為什麼要這樣做 ??? 去看一下開頭的時後發生了什麼事 ....

我認為啦 , 資安公司為了爭取案子,是有可能犯下這個事件 , 否則我擔任工作的期間
都沒發生過的事,為何只有在該機關有了那一筆資安的預算之後,資安公司來過以後
約1個月內就發生這種無法追蹤的攻擊事件呢 ???

引用:

作者走馬探花

我想到的有幾個方法
一.wireguard vpn
二.Reverse proxy+cloudflare WFA or utm firewall
三.Cloudflare Tunnel +二段式驗證

不知道是不是跟你類似
:laugh:
我已經實踐前兩個了
第三個沒時間試

引用:

作者anderson1127

OK!! 不過,此人要對Linux 相關設定熟悉才有用 ....
因為會用到sudo !! 並做設定來授權給web user (以我的主機,我是授權給apache使用iptables )

利用netfiilter firewall的嚴格設定 , 預設只開443 TCP port (一切走加密) , 其餘都DROP

按照NAS的Samba通訊協定為TCP 445 port 來做iptables rule的設定於INPUT Chain

以上是基本概念!!

開TCP 443 HTTPS主要是要認證, 這部份要自行設計幾個簡單的PHP程式 , 目的也就只是
user client輸入的密碼要正確無誤才會去開iptables rule 讓該client可以順利透過445 port
連線 !!
其餘一律不開 ....

當然,我提供給同學的那一個程式有多設計一個logout功能,就是不用時就刪除iptables rule
這樣就不會那麼容易被access到!!

以上就是我使用多年的簡易方法 .... 反正專利已經被申請了,就簡單公開一下吧!!

這樣一來,這台NAS平常誰都無法access , 安全性就大大提升 , 想access時,只要透過HTTPS 認證,通過開通以後再去access Samba TCP port
就可以順利取得檔案等資料 , 存取完畢後,再登出就OK 了, firewall rule同時也刪除了!!

---------
當然還可以有其它的延申應用 , 種花電信的研就所申請的就是這種延申應用 , 概念上都是相同的
只是這麼多年下來,我沒去申請專利就是了!! 等想要申請,人家已經提前申請了...
所以商業提供上可能會有問題 , 但非商業提供概念應該不會觸到地雷吧??我想.....

引用:

作者anderson1127

通常帳密在這種簡易架構下只會存在文字檔裡 .... SQL Injection 應該沒影響!!

另外,掃網站的技倆在我的web server上也無用武之地 , 因為.....

https://myweb.site/1230294387501209873/login.html

以上是舉例 , 那串數字雖然有機會固定,但一般人要猜到那可是難呀....
更何況,我已經設定apache 只要存在Error access , 都會導向另一個url
這個url 所做的事,就是類似於WAF的動作 , 基本上就是直接把這個ip address 直接給block
(透過iptables設定此IP address 直接DROP)

以我目前的網站設定,只要是非法的access test , 我一律拒絕access 24hr !!
:D :D :D

目前log顯示每天大約有100多個ip address被拒絕連線!! 反正我很習慣了 , 基本上是沒差別....

Nobara Project（更適合家用的Fedora，我已經安裝！）

《轉貼》The Nobara Project, to put it simply, is a modified version of Fedora Linux with user-friendly fixes added to it. Fedora is a very good workstation OS, however, anything involving any kind of 3rd party or proprietary packages is usually absent from a fresh install. A typical point and click user can often struggle with how to get a lot of things working beyond the basic browser and office documents that come with the OS without having to take extra time to search documentation. Some of the important things that are missing from Fedora, especially with regards to gaming include WINE dependencies, obs-studio, 3rd party codec packages such as those for gstreamer, 3rd party drivers such as NVIDIA drivers, and even small package fixes here and there.

This project aims to fix most of those issues and offer a better gaming, streaming, and content creation experience out of the box. More importantly, we want to be more point and click friendly, and avoid the basic user from having to open the terminal. It’s not that the terminal and/or terminal usage are a bad thing by any means, power users are more than welcome to continue with using the terminal, but for new users, point and click ease of use is usually expected.
https://nobaraproject.org/

想請問一下，有沒有那一套Linux有提供完全模仿Windows11的GUI shell？