פיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה
-
שלום לכולם,
אני צריך לעבור ללינוקס ומאוד מפריע לי שאין וויפרי. נסיתי לפתח סקריפט הגנה שיהיה מאוד קשה להוריד אותו, אפילו למשתמשים מתקדמים אבל אין לי כמעט ניסיון על לינוקס, ולכן רציתי שאנשים בקאים בתחום יתנו לי עצות.בתחל'ס, הראיוןהיא לייצר משמש עם גישה לרוט חוץ מהדברים שעם זה יוכל להוריד את ההגנה.היא להגביל את הרוט.עריכה 22-18-12
תמיכה ברשתות בלי אינטרנט [שמתחילות ב-192.168, 127. או 10.]
tuxprotect_0.2.8.zipעריכה 21-18-12
- תמיכה בעדכונים כשיצא גרסה חדשה [עלול לאפס ביצועי קרון ברמת רוט], העדכונים מתבציעם אוטומטי.
- חיזוק ההגנה
- תיקוני באגים
- הודעת אזהרה בעת ההתקנה
עריכה 20-18-12
תיקון באג
עריכה 19-18-12
אני מפרסם גרסה ניסיונית שלא מגבילה את המחשב, רק לשים לב- ניסיתי אותה רק על UBUNTU 22.10
- מוחקת את כל ביצועי כרון ברמת רוט, אבל אפשר להוסיף אח"כ (אם מנסים לערוך מה שיש מעקרא, זה מחזיר את הקובץ איך שהיה בההתקנה)
- חוסם את כל גישה לרשתות שהם לא נטפרי
- חוסם רשתות בלי אינטרנט (רשתי מדפסות וכו)
- אין עדכונים או כל צורה של GUI
אין אפשרות לעדכן את הסקריפט אף אם אני אעשה גרסה חדשה- אני לא יודע אם זה עובד עם ה-vpn, אבל זה לא אמור לעבוד לפי איך שבניתי את הסקריפט, אשמח אם משהו ינסה.
אני לא אחראי על מה שיגרם מהתוכנה, אתם יודעים שאין לי הרבה ניסיון בלינוקס, תכננתי את זה בכמה שעות בלבד, ולא ניסיתי אותה הרבה בכלל, בניתי אותה בצורה שתצרכו לאפס את המחשב כדי למחוק אותה. אני גם לא יודע עד כמה זה זה הגנה חזקה.
תהליך התקנה :
- לחלוץ את הקובץ tuxprotect.zip
להפעיל טרמינל בקובץ tuxprotect ולהפעיל את הפקודה :
sudo ./install.shעריכה 18-12-22
זהו, התקנתי את הסקריפט למחשב שלי, אני מדגיש שניסיתי רק על UBUNTU גרסה 22.10 :
מה שחסום :
su (אבל אפשר כמובן להפעיל פקודות sudo)כל פקודות killביצועי cron ברמת רוט (אבל אפשר ברמת משתמש)iptablesלמחוק את curl, iptableschattrapt markusr/bin/bash" ולא "#!/bin/bash" !
מה שאני מתכוון לעשות חודש הבא :
עדכונים מתי שהרשת נפתחה או חסומה
איקון תדיר שמראה האם הרשת פתוחה או חסומה
תמיכה ברשת בלי אינטרנט (בשביל מדפסות וכו.)
-
אפשר לנסות על מכונה וירטואלית
-
מיותר לציין שהשאלה לא מופנית רק ל @yzahn , כל מי שיודע מוזמן לענות
-
@אבאלה וואוו לא חשבתי על זה
אבל עדיין זה לא פותר את הבעייה שאין לי רשת טרף לנסות -
@לא-מתייאש אתה מנסה ליצור משתמש בלי הרשאות ניהול אבל שיכול להריץ SUDO?
אם כן מה ימנע ממנו למחוק את הקובץ שבודק האם מחוברים לנטפרי? -
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אתה מנסה ליצור משתמש בלי הרשאות ניהול אבל שיכול להריץ SUDO?
אם כן מה ימנע ממנו למחוק את הקובץ שבודק האם מחוברים לנטפרי?protect_user ALL=(ALL) !/sbin/iptables, !/usr/bin/curl, !/usr/sbin/visudo, !update-rc.d protect_user ALL=(ALL) NOPASSWD: /etc/init.d/block_internet.shזה
sudo chown root:root /etc/init.d/block_internet.shוזה
-
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אתה מנסה ליצור משתמש בלי הרשאות ניהול אבל שיכול להריץ SUDO?
אם כן מה ימנע ממנו למחוק את הקובץ שבודק האם מחוברים לנטפרי?protect_user ALL=(ALL) !/sbin/iptables, !/usr/bin/curl, !/usr/sbin/visudo, !update-rc.d protect_user ALL=(ALL) NOPASSWD: /etc/init.d/block_internet.shזה
ומה ימנע ממנו ליצור משתמש נוסף?
או שבכזה מצב אין אפשרות ליצור משתמש נוסף?
כמו כן אתה רוצה למחוק את משתמש ROOT? -
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אתה מנסה ליצור משתמש בלי הרשאות ניהול אבל שיכול להריץ SUDO?
אם כן מה ימנע ממנו למחוק את הקובץ שבודק האם מחוברים לנטפרי?protect_user ALL=(ALL) !/sbin/iptables, !/usr/bin/curl, !/usr/sbin/visudo, !update-rc.d protect_user ALL=(ALL) NOPASSWD: /etc/init.d/block_internet.shזה
ומה ימנע ממנו ליצור משתמש נוסף?
או שבכזה מצב אין אפשרות ליצור משתמש נוסף?אני לא בדקתי, לכאורה צריך לחסום גם את זה
-
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אתה מנסה ליצור משתמש בלי הרשאות ניהול אבל שיכול להריץ SUDO?
אם כן מה ימנע ממנו למחוק את הקובץ שבודק האם מחוברים לנטפרי?protect_user ALL=(ALL) !/sbin/iptables, !/usr/bin/curl, !/usr/sbin/visudo, !update-rc.d protect_user ALL=(ALL) NOPASSWD: /etc/init.d/block_internet.shזה
כמו כן אתה רוצה למחוק את משתמש ROOT?
כן, בתחלס, המשתהש החדש יהיה לו כמעט גישה לכל הרוט חוץ שהוא לא יוכל למחוק כמה דברים כמו CURL
-
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אתה מנסה ליצור משתמש בלי הרשאות ניהול אבל שיכול להריץ SUDO?
אם כן מה ימנע ממנו למחוק את הקובץ שבודק האם מחוברים לנטפרי?protect_user ALL=(ALL) !/sbin/iptables, !/usr/bin/curl, !/usr/sbin/visudo, !update-rc.d protect_user ALL=(ALL) NOPASSWD: /etc/init.d/block_internet.shזה
כמו כן אתה רוצה למחוק את משתמש ROOT?
כן, בתחלס, המשתהש החדש יהיה לו כמעט גישה לכל הרוט חוץ שהוא לא יוכל למחוק כמה דברים כמו CURL
ואם מחקנו את משתמש ROOT
ואין אפשרות ליצור משתמש נוסף
לכאורה גם כל הסקריפטים שנריץ לא יוכלו ליצור משתמש נוסף
ואם כן רוב התוכנות לכאורה לא יפעלו (רובם אאל"ט יוצרים לעצמם משתמש נסתר - לפי קצת הידע שלי בלינוקס) לא? -
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אתה מנסה ליצור משתמש בלי הרשאות ניהול אבל שיכול להריץ SUDO?
אם כן מה ימנע ממנו למחוק את הקובץ שבודק האם מחוברים לנטפרי?protect_user ALL=(ALL) !/sbin/iptables, !/usr/bin/curl, !/usr/sbin/visudo, !update-rc.d protect_user ALL=(ALL) NOPASSWD: /etc/init.d/block_internet.shזה
כמו כן אתה רוצה למחוק את משתמש ROOT?
כן, בתחלס, המשתהש החדש יהיה לו כמעט גישה לכל הרוט חוץ שהוא לא יוכל למחוק כמה דברים כמו CURL
ואם מחקנו את משתמש ROOT
ואין אפשרות ליצור משתמש נוסף
לכאורה גם כל הסקריפטים שנריץ לא יוכלו ליצור משתמש נוסף
ואם כן רוב התוכנות לכאורה לא יפעלו (רובם אאל"ט יוצרים לעצמם משתמש נסתר - לפי קצת הידע שלי בלינוקס) לא?חשבתי על זה ואני לא יודע, אוליי נוכל רק לחסום אותו ע"י סיסמה אם זה ככה.
-
אין אפשרות למחוק באמת את ROOT.
-
ב"ה התקדמתי, זה נראה שיש תקווה ב"ה, ערכתי את קוד. לאלו שמבינים מה שעשיתי,
לא נוכל להוסיף חשבון, אבל חוץ מזהזה לא כזה מגביל את המחשב. אני עדיין לא חסמתי את הגישה ל-visudo כי אח"כ לא אוכל לחזור אחורה. מחכה לעצות שלכם.למי שרוצה לנסות, לא נוכל למחוק CURL או IPTABLES. יש עוד כמה דברים שצריך לחסום כדי שלא נוכל למחוק את הסקריפט.
יש לי כרגע בעייה קטנה, שלא הצלחתי לעשות רשימה לבנה רק לכתובת של נטפרי כדי לבדוק את החיבור, ולכן זה פותח הכל לשנייה כדי לבדוק אותו, אני צריך לחפס איך עושים את זה. -
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
/usr/bin/crontab -e,
זה לא הקובץ שאחראי על משימות מתוזמנות?
באם תחסום אותו לעריכה זה לא יכול לפגוע בתוכנות שצריכות להוסיף שורות לקובץ? -
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
/usr/bin/crontab -e,
זה לא הקובץ שאחראי על משימות מתוזמנות?
באם תחסום אותו לעריכה זה לא יכול לפגוע בתוכנות שצריכות להוסיף שורות לקובץ?אני חוסם אותו ברמת רוט אבל אפשר עדיין להשתמש בו ברמת משתמש.
-
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
/usr/bin/crontab -e,
זה לא הקובץ שאחראי על משימות מתוזמנות?
באם תחסום אותו לעריכה זה לא יכול לפגוע בתוכנות שצריכות להוסיף שורות לקובץ?אני חוסם אותו ברמת רוט אבל אפשר עדיין להשתמש בו ברמת משתמש.
פעולה שכדי להריץ אותה יש צורך בהרשאות סודו
יוכלו להוסיף אחרי העריכה הזאת?
או שרק מה שמותר למשתמש ללא הרשאות מנהל להריץ יוכלו? -
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@a0533057932 אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
@לא-מתייאש אמר בפיתוח לא רשמי, וויפרי ללינוקס - בקשת עזרה:
/usr/bin/crontab -e,
זה לא הקובץ שאחראי על משימות מתוזמנות?
באם תחסום אותו לעריכה זה לא יכול לפגוע בתוכנות שצריכות להוסיף שורות לקובץ?אני חוסם אותו ברמת רוט אבל אפשר עדיין להשתמש בו ברמת משתמש.
פעולה שכדי להריץ אותה יש צורך בהרשאות סודו
יוכלו להוסיף אחרי העריכה הזאת?
או שרק מה שמותר למשתמש ללא הרשאות מנהל להריץ יוכלו?רק מה שמותר למשתמש כרגע.
-
ב"ה התקדמתי עוד קצת, אני יודע שעדיין אפשר לעקוף אותו אבל יש לי תקווה שאני אצליח. אני לא כ"כ מסביר את הקוד, אני חושב שהוא מובן למי שמבין בתחום. אני מתקוון גם לעשות סריפטט התקנה שנצרך רק להפעיל אותו.
-
כרגע הפטרון היחיד שמצאתי, זה לחסום לגמרי גם את הפקודות :
su
kill
killall
pkillולחסום את כל הקבצים של הסקריפט כולל sudoers ו-crontab עם lschattr ולחסום את הפקודות lschattr כדי לפתות אותם מחדש.
לדעתי כך זה לא ינתן לעקיפה. האם אני טועה ?לגבי su, אני חושב שאין מה לעשות אבל לגבי האחרים, חשבתי לעשות פונקציה שבודקת אם the process was killed יותר מ-5 פעמים בדקה, ורק אז לחסום אותם.
אף שה-process restart if it was killed, בכל זאת זה נצרך והמבין יבין.יש לו עוד בעייה קטנה, איך שולחים עדכונים מסקריפט שהופעל עם הרשאות sudo ?
send-notifier מגיב שגיאה. -
@לא-מתייאש נראה שמרוב רצון לחסום את שופך את האמבטיה עם הילד
לפי רמת ההבנה שלי בלינוקס
שהיא לא מאד רבה
