D:服务端打开转发
做个nat,但注意一下eth0需要是可以去外网的接口,否则等会数据走不出去,如果肉鸡是单接口的话就不需要担心。
[root@RH9 root]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
再看看转发开了没
net.ipv4.ip_forward = 0
我们把他打开
[root@RH9 root]# sysctl -w net.ipv4.ip_forward=1
5:诊断
VPN一般出问题就只有三个地方,client的防火墙,server的防火墙,和转发开关是否打开,所以我们在服务端抓抓包就完全可以找到出问题的地方。ipsec pptp都可以这么找错。
A:在server的tun0口抓一切包,以检测client-->server是否连通,废话,肯定连通的,否则那图标怎么会是绿色....
[root@RH9 root]# tcpdump -n -i tun0
tcpdump: listening on tun0
B:在server的eth0口抓目标地址包,以检测转发是否有问题。
[root@RH9 root]# tcpdump -n -i eth0 dst host baoz.net
tcpdump: listening on eth0
C:
这个时候我们telnet一下baoz.net看看
C:\>telnet baoz.net
两边都看到有包就对了。如果有一边看不到包,就自己折腾一下好了。看看一路过来是不是都没搞错。
到此为止,我们已经可以通过加密代理上网了。
D:希望你的内网里不要有10的路由,有朋友出过类似的问题,如果你内网是10的,最好把前面的10.8.0.1和10.8.0.2改成192.168.0.1和192.168.0.2以避免路由上的问题。
6:安全
除了使用nobody:nobody跑openvpn之外,我们还可以chroot一下,一开始我以为也要ldd一下然后把库什么的还有配置文件丢到一目录里去,今天一朋友和我说openvpn貌似有remote 1出,不知道真的假的,不过0day exp这东西,还是宁可信其有,不可信其无,他建议我把chroot的办法也写进去,我又把文档看了看,发现原来他本身有chroot的实现,他的配置文件,key什么的,都在chroot之前装载好了,我们只需要加一个参数到服务端的配置文件去就OK
chroot /var/tmp -->等会我们可以通过lsof准确的判断openvpn已经chroot了
[root@RH9 root]# ps aux | grep openvpn
nobody 24066 0.0 0.1 4012 1684 ? S 15:12 0:00 [openvpn]
root 24069 0.0 0.0 3572 624 pts/2 S 15:45 0:00 grep openvpn
[root@RH9 root]# lsof -p 24066 | grep "/var/tmp"
openvpn 24066 nobody cwd DIR 8,1 4096 294337 /var/tmp
openvpn 24066 nobody rtd DIR 8,1 4096 294337 /var/tmp
这回即使别人有remote exp也不怕了,要能进来的话就请看看/var/tmp里的东西好了,呵呵。
五:肉鸡中的隐藏
0:肉鸡哪来?
A:web app漏洞,awstat什么的,没事就留意一下milw0rm.com的webapp部分,出新漏洞了就google hacking一把。
B:ssh or telnet弱口令 没事就找几个A BLOCK扫扫看。推荐xfocus冰河的X-Scan。
C:0day exp ? 这个我就不清楚了。
D:蜜罐,上面三种情况都可能是蜜罐,不过没关系,就做个代理上上网嘛,蜜罐就蜜罐了,只要网速快就行。
1:日志
日志的处理上面在服务端配置部分已经提到了的,小心处理就是,只要你比系统(安全)管理员更XX你就可以玩的下去,其中XX可以用细心,坚韧,不拔等形容词代替。
2:进程、端口和连接
A:sk2一装,用sk2的client进去启动openvpn,动态隐藏进程端口和网络连接
B:adore,貌似要改改才行,不过我暂时没这个需求,sk2已经很爽了。
C:shv5,最近抓到的一个rootkit,替换ELF文件的,很容易被查出来,没啥意思,他的特征是默认有个/usr/lib/libsh目录。
3:ifconfig
这个是最关键的也是最麻烦的,因为一般的人都会ifconfig敲着玩玩的,一不小心就会被发现多了个tun0。。。。呵呵,我想了想办法有两:
A:使用awk or sed脚本替换/sbin/ifconfig,过滤掉tun0相关的输出,但这个比较容易被chkrootkit这样的东西发现,不过即使被人家用 chkrootkit发现了也挺光荣的,至少用chkrootkit的人还稍微比较专业点,总比被人家ifconfig发现了好吧……
B:修改ifconfig的源程序,让他输出的时候不显示tunX设备,这个相对稳妥,因为一般检查ifconfig都是对比那混杂模式而已的,当然还有文件类型。
[root@RH9 root]# rpm -q --whatprovides /sbin/ifconfig
net-tools-1.60-12
查了一下,在这个软件包里,想改的自己可以改改,不想改的就去使用wzt修改的ifconfig程序覆盖掉系统的/sbin/ifconfig文件,这就不会显示出tunX接口了。
这个程序在http://baoz.net或http://xsec.org可以下载。
C:
我们知道rpm是可以自校验的,如果我们换了他的ifconfig,然后我们检查一下,就会发现下面的信息
[root@RH9 root]# rpm -V -f /sbin/ifconfig
S.5....T /sbin/ifconfig
这个结果告诉我们一个事,ifconfig被篡改了,它的文件大小,MD5和时间都改变了。
现在的想法是修改rpm程序,再替换rpm,因为rpm在RH各版本中变化比较大,特别是RH9为界的,涉及到是否支持NTPL等等问题,并且rpm本身就比较庞大而且是系统的主要组件之一,如果替换的话还不知道会不会引发别的问题,关键是有多少人会rpm -V -a ?反正也就肉鸡嘛,丢了就换一个就是。权衡了一下,暂时还是不用替换rpm的办法,我倒是想修改他的md5数据库,不过我rebuilddb和 initdb了一下,发现md5数据库并没变化:( 哪位高人知道怎么对付rpm的校验麻烦指点一二。
本着早睡早起的原则,是时候睡觉了。
- 用Photoshop给漂亮的烫发MM抠图
- Photoshop透明婚纱抠图大法
- Photoshop:让MM做个“变色龙”
- 用Photoshop来制作一款精美的宝宝照片墙
- Photoshop绝色美女通道抠图法
- 用Photoshop教你打造绚丽光芒效果
巧巧读书:http://www.qqread.com/net-saft/d277729.html
更多内容请看加密与解密技术、Linux集群技术、常用软件加密宝典专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 加密与解密技术 (1161篇文章)
- Linux集群技术 (8416篇文章)
- 常用软件加密宝典 (7929篇文章)
- 体验Linux的音影世界 (8088篇文章)
- Linux驱动大全 (8891篇文章)
- Linux下的路由的配置与应用 (11888篇文章)
- Linux命令简介 (9952篇文章)
- Linux防火墙 (9769篇文章)
- Linux日志专题 (8542篇文章)
- Linux服务器的安全性能 (20541篇文章)
- 基础知识 黑客域名劫持攻击详细步骤 (0次浏览)
- CISSP的成长之路(十八):详述网络威胁类型 (0次浏览)
- 个人用户的网络安全防范 (0次浏览)
- 驱逐威胁 六把安全利剑清除僵尸网络 (0次浏览)
- CISSP的成长之路(十九):详述安全威胁控制手 (0次浏览)
- 07年电脑安全大盘点:蠕虫网络威胁Web 2.0 (0次浏览)
- Web应用安全的全新探索 (0次浏览)
- 到底谁需要网络访问控制 (NAC)? (0次浏览)
- 针对性的防御手段 十招应对邮件欺诈 (0次浏览)
- 跨站打印攻击 网络打印机成攻击新途径 (0次浏览)
