1 Тема от golzer (2017-02-24 08:39:01 отредактировано golzer)

  • golzer
  • Пользователь
  • Offline
  • Зарегистрирован: 2015-09-17
  • Сообщений: 85

Привет всем!

Вот сегодня, например, прочитал такое в отчете о безопасности:

Security Warning: change in firewall rules found :
-   Added firewall rules : -N Ifw
-   Added firewall rules : -A INPUT -j Ifw
-   Added firewall rules : -A Ifw -m set --match-set ifw_wl src -j RETURN
-   Added firewall rules : -A Ifw -m set --match-set ifw_bl src -j DROP
-   Added firewall rules : -A Ifw -m conntrack --ctstate INVALID,NEW -m psd--psd-weight-threshold 10 --psd-delay-threshold 10000 --psd-lo-ports-weight 2 --psd-hi-ports-weight 1  -j IFWLOG--log-prefix "SCAN"

И что-то подобное каждый день. Что вообще это значит? Кто-нибудь может подсказать? И можно ли как-то их установить неизменными раз и навсегда?

2 Ответ от Kamrad

  • Kamrad
  • Kamrad
  • Пользователь
  • Offline
  • Откуда: где-то на планете Земля
  • Зарегистрирован: 2012-07-13
  • Сообщений: 803

Навеяло...

"Кто сшил этот костюм?

Я прихожу к директору, я говорю:
- Кто сшил костюм? Кто это сделал? Я ничего не буду делать, не буду кричать, я только хочу в глаза ему посмотреть.
Выходит сто человек. Я говорю:
- Ребята, кто сшил костюм?
Они говорят:
- Мы!
Я говорю:
- Кто это «мы»?
Они говорят:
- У нас узкая специализация. Один пришивает карман, один - проймочку, я лично пришиваю пуговицы. К пуговицам претензии есть?
- Нет! Пришиты насмерть, не оторвёшь! Кто сшил костюм? Кто вместо штанов мне рукава пришил? Кто вместо рукавов мне штаны пришпандорил? Кто это сделал?
Они говорят:
- Скажите спасибо, что мы к гульфику рукав не пришили.
Представляете? Их – сто, а я – один. И все стоят, как пуговицы: насмерть. И я сказал:
- Привет, ребята! Вы хорошо устроились! "

Операционная система - Mageia Linux 7.1, x64, Mate. Конфигурация - AMD FX-8350/ASUS SABERTOOTH 990FX/ASUS GTS-250 1 Gb/16 Gb RAM

3 Ответ от golzer

  • golzer
  • Пользователь
  • Offline
  • Зарегистрирован: 2015-09-17
  • Сообщений: 85

Kamrad,

Идите шутить в другом месте.

To all,

У меня теперь и на форум не получается зайти с обычного браузера, хотя все остальные сайты работают. Только через TOR.

4 Ответ от TopE

  • TopE
  • TopE
  • Пользователь
  • Offline
  • Зарегистрирован: 2015-11-22
  • Сообщений: 2,084

golzer⇓ пишет:

Только через TOR.

доигрался в анонимность))

ROSA Desktop Fresh R11.1 EE 2016.1 Desktop 64-бит

5 Ответ от golzer (2017-02-24 14:12:16 отредактировано golzer)

  • golzer
  • Пользователь
  • Offline
  • Зарегистрирован: 2015-09-17
  • Сообщений: 85

TopE,

Так в чем дело-то? -)
Я посмотрел установленные соединения, есть несколько подозрительных IP (их записал на всякий).
Главное, что сейчас предпринять? Пока не выходить из под своей учетки, думаю, сидеть под гостевой записью?

6 Ответ от TopE

  • TopE
  • TopE
  • Пользователь
  • Offline
  • Зарегистрирован: 2015-11-22
  • Сообщений: 2,084

golzer⇓ пишет:

что сейчас предпринять?

избавиться от паранойи.

ROSA Desktop Fresh R11.1 EE 2016.1 Desktop 64-бит

7 Ответ от golzer

  • golzer
  • Пользователь
  • Offline
  • Зарегистрирован: 2015-09-17
  • Сообщений: 85

Удалю-ка я сейчас все магеевские правила для iptables и установлю свои.
Паранойи у меня нет, но это не значит, что за вами не следят -). Мне не нравится, что без моего ведома что-то в системе постоянно меняется. Или на Дебиан перейти от греха...

8 Ответ от AlexL

  • AlexL
  • AlexL
  • Пользователь
  • Offline
  • Зарегистрирован: 2014-12-28
  • Сообщений: 1,162

msec включен?

Разработчик, мейнтейнер, переводчик, по всем вопросам.

9 Ответ от golzer

  • golzer
  • Пользователь
  • Offline
  • Зарегистрирован: 2015-09-17
  • Сообщений: 85

AlexL,

Да.

10 Ответ от AlexL (2017-02-24 22:21:46 отредактировано AlexL)

  • AlexL
  • AlexL
  • Пользователь
  • Offline
  • Зарегистрирован: 2014-12-28
  • Сообщений: 1,162

его отключить, настроить

Разработчик, мейнтейнер, переводчик, по всем вопросам.

11 Ответ от golzer

  • golzer
  • Пользователь
  • Offline
  • Зарегистрирован: 2015-09-17
  • Сообщений: 85

AlexL,

Спасибо. А в чем суть изменений (которые я выложил)? Хоть кто-то объяснит?

12 Ответ от mozg1986

  • mozg1986
  • Пользователь
  • Offline
  • Откуда: Воронеж
  • Зарегистрирован: 2014-02-15
  • Сообщений: 51

Хм.. А у меня вот в 5 магеии при обновлении периодически слетают настройки shorewall. Благо бекаплю их теперь перед каждым обновлением. Но в первый раз было не весело.

13 Ответ от kvv-vp

  • kvv-vp
  • Пользователь
  • Offline
  • Зарегистрирован: 2012-10-11
  • Сообщений: 1,419

golzer, mozg1986, разбирайтесь с правами, чего-то вы намудрили. Сравните ваши настройки безопасности в МСС с дефолтными. Настройки shorewall и msec в /etc хранятся, и чтоб так вот запросто их менять права рута нужны.

14 Ответ от mozg1986

  • mozg1986
  • Пользователь
  • Offline
  • Откуда: Воронеж
  • Зарегистрирован: 2014-02-15
  • Сообщений: 51

kvv-vp, с правилами там все норм, shorewall работает отлично, MSEC также не влияет (иначе бы правила менялись просто периодически). Проблема возникает только при получении обновления на него. Да и отказался я от настройки файервола в mcc, у меня сейчас определено несколько зон, куча правил, балансировка нагрузки  и так далее. Просто если например приходит обнова на php, mcc предлагает выбрать конфиг новый или старый, а при обновлении shorewall такого не происходит, файл зон молча переписывается

15 Ответ от kvv-vp

  • kvv-vp
  • Пользователь
  • Offline
  • Зарегистрирован: 2012-10-11
  • Сообщений: 1,419

mozg1986⇓ пишет:

правилами там все норм

c ПРАВАМИ.

mozg1986⇓ пишет:

Да и отказался я от настройки файервола в mcc, у

В этом, скорее всего и проблема. В mageia MCC сильно интегрирован в систему. Поэтому система не знает, что включен файрволл и обновляет конфиги, какой смысл их сохранять, если они не используются.

16 Ответ от mimo

  • mimo
  • mimo
  • Пользователь
  • Offline
  • Зарегистрирован: 2012-08-15
  • Сообщений: 1,016

golzer⇓ пишет:

У меня теперь и на форум не получается зайти с обычного браузера

Причина в вышеперечисленных строчках? Вы точно это знаете? Обоснуйте документально пожалуйста.

И ещё  наш коллектив очень заинтересовал обычный браузер. Какие необычные у Вас есть?

17 Ответ от golzer

  • golzer
  • Пользователь
  • Offline
  • Зарегистрирован: 2015-09-17
  • Сообщений: 85

mimo⇓ пишет:

Причина в вышеперечисленных строчках? Вы точно это знаете? Обоснуйте документально пожалуйста.

А где вы прочитали, что я указал это в качестве причины? После этого - не значит по причине этого.
Но совпадение меня заинтересовало. Если более конкретно, то стало не получаться зайти после того, как создал здесь эту тему. Из этого предположил, что меня могли подломать и специально заблокировать доступ. "Необычный" - это TOR (я писал).

mimo⇓ пишет:

И ещё  наш коллектив

Наш коллектив - это кто, позвольте узнать. Если разработчики, то ответьте, пжлст, на заданный вопрос: в чем суть изменений правил и для чего это нужно. Спасибо.

18 Ответ от mimo

  • mimo
  • mimo
  • Пользователь
  • Offline
  • Зарегистрирован: 2012-08-15
  • Сообщений: 1,016

golzer⇓ пишет:

стало не получаться зайти после того, как создал здесь эту тему

И сами же ответили:

golzer⇓ пишет:

После этого - не значит по причине этого

Что касается коллектива, то я имел ввиду наш коллектив обсуждающих.

19 Ответ от jake.s16 (2018-12-16 18:53:09 отредактировано algri14)

  • jake.s16
  • Пользователь
  • Offline
  • Зарегистрирован: 2018-12-16
  • Сообщений: 1

I know this post is nearly 2 years old but in case someone else is looking for a possible answer, I thought I would mention what I have found.
This has occurred in Diffchecks with Mageia 4, 5, and 6 running msec

For me, this always occurs after a power failure or improper shutdown and again the next time I restart

ie after a powercut I see

Я знаю, что этому посту уже почти 2 года, но если кто-то еще ищет ответ, я упомяну о том, что нашел.
После запуска Mageia 4, 5 и 6, msec сообщал об этом, результат сравнивался в Diffchecks

У меня это всегда происходит после сбоя питания или неправильного выключения, далее при следующем запуске

т.е. после отключения питания вижу
(маш-перевод от гугла и от админа форума algri14)

Security Warning: change in firewall rules found :
-   Added firewall rules : -N sha-lh-a41dd0e8c06067f2b750
-   Added firewall rules : -N sha-rh-e3c151cefe3583bee699
- Removed firewall rules : -N sha-lh-175306c96a2c596dad7c
- Removed firewall rules : -N sha-rh-faa6c46faf4cf11eaff8

and then the next time I restart
(а в следующий раз после перезагрузки)

Security Warning: change in firewall rules found :
-   Added firewall rules : -N sha-lh-5cf25c61f39c76749b06
-   Added firewall rules : -N sha-rh-3cb0f91c96823e40f734
- Removed firewall rules : -N sha-lh-a41dd0e8c06067f2b750
- Removed firewall rules : -N sha-rh-e3c151cefe3583bee699

Why? I don't know but it bothered me for years UNTIL I discovered the connection.
Each time I would go looking to try to figure out why my rules would suddenly change and then days or weeks later change back. I would reinstall and it happens again.

Anyone smarter than me, care to test my idea that it occurs after an improper shutdown or even better, try to figure out what is actually happening?

Зачем? Я не знаю, но это беспокоило меня в течение многих лет, пока я не обнаружил связь.
Каждый раз, когда я пытался выяснить, почему мои правила внезапно меняются, а затем через несколько дней или недель меняются обратно. Я бы переустановил, но это происходит снова.

Кто-нибудь умнее меня, хочет проверить мою идею о том, что это происходит после неправильного выключения или даже лучше, попытаться выяснить, что на самом деле происходит?
(маш-перевод от гугла и от админа форума algri14)

20 Ответ от algri14

  • algri14
  • algri14
  • Администратор
  • Offline
  • Откуда: Воронеж
  • Зарегистрирован: 2014-02-13
  • Сообщений: 3,870

jake.s16⇓ пишет:

Anyone smarter than me, care to test my idea that it occurs after an improper shutdown or even better, try to figure out what is actually happening?

AlexL, что скажете? хотя конечно надо настройки msec (ru) - msec (en) сделать правильные, у меня в логах /var/log/msec.log 

2018-12-17 00:01:01,662 INFO: Запрещает X-cерверу слушать TCP-соединения
2018-12-17 00:01:01,664 INFO: Разрешает/Запрещает вывод отчетов syslog в консоль 12
2018-12-17 00:01:01,666 INFO: История паролей не поддерживается в pam_tcb.
2018-12-17 00:01:01,670 INFO: В системных файлах нет изменений

и /var/log/msec.log.1

2018-12-16 19:01:02,253 INFO: Запрещает X-cерверу слушать TCP-соединения
2018-12-16 19:01:02,272 INFO: Разрешает/Запрещает вывод отчетов syslog в консоль 12
2018-12-16 19:01:02,278 INFO: История паролей не поддерживается в pam_tcb.
2018-12-16 19:01:02,281 INFO: В системных файлах нет изменений

но я в этом ничего понимаю
зы: AlexL, я перевод не исказил? посмотрел по ip откуда jake.s16, вроде бы из Австралии, зачем ему русскоязычный форум?

Mageia5.1/8/9x86_64-KDE Как ставить теги "console" и "spoiler" ЧАВО (FAQ) для новичков. Подключение репозиториев.

21 Ответ от ingvaro (2018-12-17 12:57:22 отредактировано ingvaro)

  • ingvaro
  • Пользователь
  • Offline
  • Зарегистрирован: 2014-02-13
  • Сообщений: 1,695

algri14⇓ пишет:

у меня в логах /var/log/msec.log

2018-12-17 00:01:01,662 INFO: Запрещает X-cерверу слушать TCP-соединения
2018-12-17 00:01:01,664 INFO: Разрешает/Запрещает вывод отчетов syslog в консоль 12
2018-12-17 00:01:01,666 INFO: История паролей не поддерживается в pam_tcb.
2018-12-17 00:01:01,670 INFO: В системных файлах нет изменений

В моей модульной Магее логи :

2018-12-14 23:01:02,911 INFO: Запрещает X-cерверу слушать TCP-соединения
2018-12-14 23:01:02,928 INFO: Разрешает/Запрещает вывод отчетов syslog в консоль 12
2018-12-14 23:01:02,953 INFO: В системных файлах нет изменений
2018-12-15 22:01:02,803 INFO: Разрешает/Запрещает автоматический вход в систему
2018-12-15 22:01:02,875 INFO: Разрешает Ctrl-Alt-Del в консоли
2018-12-15 22:01:02,919 INFO: Разрешает вывод списка пользователей в SDDM
2018-12-15 22:01:02,920 INFO: Разрешает экспорт дисплея от root
2018-12-15 22:01:02,994 INFO: Запрещает X-cерверу слушать TCP-соединения
2018-12-15 22:01:03,006 INFO: Разрешает/Запрещает вывод отчетов syslog в консоль 12
2018-12-15 22:01:03,045 INFO: Модифицированные системные файлы: /etc/sysconfig/autologin /etc/inittab /etc/sddm.conf /root/.xauth/export
2018-12-15 23:01:02,481 INFO: Запрещает X-cерверу слушать TCP-соединения
2018-12-15 23:01:02,493 INFO: Разрешает/Запрещает вывод отчетов syslog в консоль 12
2018-12-15 23:01:02,515 INFO: В системных файлах нет изменений

Логов больше, но это зависит от настроек приложений, в частности    file:///etc/sddm.conf
А так даже не задумывался об этом. Магея меняет может быть это так и надо.

algri14⇓ пишет:

/var/log/msec.log.1

Это вроде уже старые логи. Вероятно после обновления

22 Ответ от Zomby

  • Zomby
  • Zomby
  • Пользователь
  • Offline
  • Откуда: Украина, Днепропетровск
  • Зарегистрирован: 2012-06-08
  • Сообщений: 849

ingvaro пишет:

Это вроде уже старые логи. Вероятно после обновления

Для записи логов существуют критерии. Например период или размер.
Для msec лог пишется с периодом в месяц (у меня во всяком случае).
Т.е. msec.log - лог актуальный на данный момент, msec.log.1 - лог месячной давности, msec.log.2.gz - лог двух месячной давности (уже в архиве) и т.д.

Mageia6, KDE, LXQt, x86_64.
Человек человеку - волк, а зомби зомби - зомби!

Сайт Zomby

23 Ответ от algri14

  • algri14
  • algri14
  • Администратор
  • Offline
  • Откуда: Воронеж
  • Зарегистрирован: 2014-02-13
  • Сообщений: 3,870

Zomby⇓ пишет:

Т.е. msec.log - лог актуальный на данный момент, msec.log.1 - лог месячной давности

Посмотри на числа, msec.log - 2018-12-17, а msec.log1 - 2018-12-16, разница в 1 день (это кстати логи из Магеи 5)
Вот что они значат?

Mageia5.1/8/9x86_64-KDE Как ставить теги "console" и "spoiler" ЧАВО (FAQ) для новичков. Подключение репозиториев.

24 Ответ от Zomby

  • Zomby
  • Zomby
  • Пользователь
  • Offline
  • Откуда: Украина, Днепропетровск
  • Зарегистрирован: 2012-06-08
  • Сообщений: 849

algri14 пишет:

msec.log - 2018-12-17, а msec.log1 - 2018-12-16, разница в 1 день

Не могу сказать почему у Вас именно так, но вполне возможно, что критерием разбиения лога на два файла так же выступает и размер лога.
Т.е. большое количество логируемых событий именно в этот день привело к созданию лога предельно допустимого (определённого в системе)
размера (msec.log1), а всё что "не влезло" начало писаться уже во вновь созданный файл (msec.log).

Mageia6, KDE, LXQt, x86_64.
Человек человеку - волк, а зомби зомби - зомби!

Сайт Zomby

25 Ответ от algri14

  • algri14
  • algri14
  • Администратор
  • Offline
  • Откуда: Воронеж
  • Зарегистрирован: 2014-02-13
  • Сообщений: 3,870

Zomby⇓ пишет:

критерием разбиения лога на два файла так же выступает и размер лога.

критерии не совсем понятны, ибо msec.log=8.6КиБ (80 строк) и вначале есть:

Spoiler
1строка)2018-12-16 19:14:05,964 WARNING: Принудительная смена группы для /var/log/security/mail.weekly.today на adm
2018-12-16 19:14:05,964 WARNING: Принудительная смена прав для /var/log/security/mail.weekly.today на 640
2018-12-16 19:14:05,964 WARNING: Принудительная смена группы для /var/log/security/suid_md5.daily.today на adm
2018-12-16 19:14:05,964 WARNING: Принудительная смена прав для /var/log/security/suid_md5.daily.today на 640
2018-12-16 19:21:29,768 INFO: Starting gui..
2018-12-16 19:21:29,793 INFO: загрузка файла исключений /etc/security/msec/exceptions: Нет такого файла или каталога
2018-12-16 19:21:29,794 INFO: Нет загруженных исключений
2018-12-16 19:21:29,794 INFO: Обнаружен базовый уровень msec 'standard'
2018-12-16 19:34:57,745 WARNING: Принудительная смена группы для /var/log/security/mail.daily.today на adm
2018-12-16 19:34:57,746 WARNING: Принудительная смена прав для /var/log/security/mail.daily.today на 640
2018-12-16 19:54:02,157 WARNING: Принудительная смена группы для /var/log/security/mail.weekly.today на adm
2018-12-16 19:54:02,158 WARNING: Принудительная смена прав для /var/log/security/mail.weekly.today на 640
2018-12-16 19:54:02,158 WARNING: Принудительная смена группы для /var/log/security/suid_md5.monthly.today на adm
2018-12-16 19:54:02,158 WARNING: Принудительная смена прав для /var/log/security/suid_md5.monthly.today на 640
2018-12-16 20:01:01,341 INFO: Запрещает X-cерверу слушать TCP-соединения
2018-12-16 20:01:01,343 INFO: Разрешает/Запрещает вывод отчетов syslog в консоль 12
2018-12-16 20:01:01,345 INFO: История паролей не поддерживается в pam_tcb.
2018-12-16 20:01:01,348 INFO: В системных файлах нет изменений

а msec.log1=56.3КиБ (523 строки)

Spoiler
1строка)2018-09-16 16:01:01,806 INFO: Разрешает/Запрещает автоматический вход в систему
2018-09-16 16:01:01,856 INFO: Запрещает X-cерверу слушать TCP-соединения
2018-09-16 16:01:01,858 INFO: Разрешает/Запрещает вывод отчетов syslog в консоль 12
2018-09-16 16:01:01,873 INFO: История паролей не поддерживается в pam_tcb.
2018-09-16 16:01:01,876 INFO: Модифицированные системные файлы: /etc/sysconfig/autologin /etc/fstab
2018-09-16 16:35:32,860 WARNING: Принудительная смена группы для /var/log/security/suid_md5.daily.today на adm
2018-09-16 16:35:32,869 WARNING: Принудительная смена прав для /var/log/security/suid_md5.daily.today на 640
2018-09-16 16:35:32,869 WARNING: Принудительная смена группы для /var/log/msec.log на adm
2018-09-16 16:35:32,870 WARNING: Принудительная смена прав для /var/log/msec.log на 640
2018-09-16 16:35:32,870 WARNING: Принудительная смена группы для /var/log/security.log на adm
2018-09-16 16:35:32,870 WARNING: Принудительная смена прав для /var/log/security.log на 640
2018-09-16 16:59:03,153 WARNING: Принудительная смена группы для /var/log/security/mail.daily.today на adm
2018-09-16 16:59:03,854 WARNING: Принудительная смена прав для /var/log/security/mail.daily.today на 640
2018-09-16 17:01:02,451 INFO: Запрещает X-cерверу слушать TCP-соединения
2018-09-16 17:01:02,471 INFO: Разрешает/Запрещает вывод отчетов syslog в консоль 12
2018-09-16 17:01:02,476 INFO: История паролей не поддерживается в pam_tcb.
2018-09-16 17:01:02,479 INFO: В системных файлах нет изменений

вангую, msec.log обновляется по каким-то дефолтным настройкам, чтобы не переполнять каталог

Mageia5.1/8/9x86_64-KDE Как ставить теги "console" и "spoiler" ЧАВО (FAQ) для новичков. Подключение репозиториев.