Tomsk Sysadmins Forum
Unix => Разное => Topic started by: Vtec on July 07, 2007, 18:29:49
-
Люди как мне отследить, каким макаром мне накапывает входящий трафик каждый день около 50 мегов?
Я уже запарился, это выливается не в малые деньги. Раньше такого не было, был трафик, но около 5-7 мегабайт.
Сервак стоит во внехе как http.
-
Любая попытка поломать твой сайт оборачивается соответствующим трафиком, за который ты же и заплатишь. Анализируй логи (access_log апача, secure для ssh, telnet, rlogin и т.п.).
Убедись, что все лишние сервисы (демоны) выключены, а файервол правильно настроен.
Если на этой же машине стоит почтовик, проверь не является ли он открытым релеем, если здесь же стоит прокси, не обслуживает ли он внешних "клиентов" помимо внутренних. И т.д. и т.п.
Уточни у провайдера метод тарификации. Некоторые считают все, что поступает на их(!) внешний порт в адрес твоего(!) хоста, а значит независимо от его <твоего хоста> работоспособности любые пакеты на твой адрес будут отзываться тебе звонкой монетой.
-
telnet, rlogin у меня нет. ssh есть. Лог показал, что пытались с разных апи под рутом зайти. Как мне ограничеть доступ? Например в sco можно прописать что под рутом можно входить только с первой консоли.
Сервисы вроде более менее отстроены. С фаерволом разбераюсь (в другой ветке ).
Почтовик стоит. Если я попытался на 25 порт подключится значит релей не работает?
Если мне память не изменяет вроде какой то паразитный трафик не берется, хотя могу ошибаться.
-
Вот что еще надыбал, что за демон висит на 10000 порту - Имя сервера : MiniServ/0.01
Что это такое и нафиг оно нужно?
-
SSH, если на внешнем интерфейсе тебе не нужен, убери в конфиге с этого интерфейса или прикрой файерволом. Если нужен, поставь надежный пароль, поставь ограничение на количество неудачных входов в конфиге и особо не парься. Долбится будут всегда, если пароль нормальный и есть ограничение, то не пролезут.
Про почтовик. Если подключился с внешнего интерфейса и смог отправить письмо внешнему адресату, то это и есть открытый релей, т.е. твоим почтовиком могут пользоваться спамеры для рассылки через твой почтовик. Правь конфиги, читай документацию.
если не знаешь, что у тебя висит на каком-то порту закрывай от внешнего доступа - если этот сервис нужен тебе, ты до него "достучишься", если он - потенциальная дыра - будет недоступен "злодеям".
А лучше выключи и посмотри, что произойдет. На 10000 порту ничего ценного не должно быть.
-
Вот что еще надыбал, что за демон висит на 10000 порту - Имя сервера : MiniServ/0.01
Что это такое и нафиг оно нужно?
на 10000 порту висит по дефолту WebMin - это веб интерфейс для управления сервером , иногдо бывает очень удобно им пользоватся , но если не пользуешь то забивай его.
-
как демон правильно называется? ненужен он мне...
-
как демон правильно называется? ненужен он мне...
#netstat --inet -nlp
даст тебе полную картину твоих демонов на всех интерфейсах