The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: План защиты FreeBSD сервера"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: План защиты FreeBSD сервера"  
Сообщение от opennews on 21-Май-07, 17:12 
В статье "Бронированный FreeBSD (http://www.lissyara.su/?id=1450)" представлены рекомендации по защите FreeBSD от внешних и внутренних атак.

URL: http://www.lissyara.su/?id=1450
Новость: http://www.opennet.ru/opennews/art.shtml?num=10858

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "План защиты FreeBSD сервера"  
Сообщение от glyph on 21-Май-07, 17:12 
Полный пинцет. Не претендует даже на уровень начинающего.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "План защиты FreeBSD сервера"  
Сообщение от YMSSSG email on 21-Май-07, 17:51 
2 glyph: было бы интересно что лучше можешь предложить ты?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "План защиты FreeBSD сервера"  
Сообщение от glyph on 21-Май-07, 18:25 
<off>
С какой радости мне должно что-то предлагать?
</off>

По крайней мере, я бы ознакомился с существующим материалом. Если что - не поленился бы перевести, если нет - то хотя бы обобщить грамотно. Начал бы отсюда: http://www.littlewhitedog.com/content-72.html
Я не хочу вдаваться в критику данной статьи, ибо не думаю, что автор тут же бросится исправлять ошибки, однако, порекомендую *не основываться* на данной статье, так как статья дает неверное представление о сути предмета.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "План защиты FreeBSD сервера"  
Сообщение от Dyr email(??) on 21-Май-07, 19:20 
Не сказал бы, что по приведённой ссылке больше информации. По Apache там вообще ничего нет, скажем.
Вывод - читать обе статьи.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "План защиты FreeBSD сервера"  
Сообщение от vlad11 email(ok) on 21-Май-07, 21:40 
Присоединяюсь - статья ниочем!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "План защиты FreeBSD сервера"  
Сообщение от Dyr email(??) on 21-Май-07, 22:42 
>Присоединяюсь - статья ниочем!
Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "План защиты FreeBSD сервера"  
Сообщение от universite email(??) on 22-Май-07, 04:50 
>>Присоединяюсь - статья ниочем!
>Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...

нах писать, если в хэндбуке все разжовано?

P.S. следи за языком.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "План защиты FreeBSD сервера"  
Сообщение от Dyr email(??) on 22-Май-07, 09:23 
>>>Присоединяюсь - статья ниочем!
>>Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...
>
>нах писать, если в хэндбуке все разжовано?
Правда, что ли? Ну-ка, покажи-ка нам где в handbook написано про mod_security. Или про logcheck. Или про настройку php.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "План защиты FreeBSD сервера"  
Сообщение от glyph on 22-Май-07, 10:35 
Мы отдаем тебя гражданскому суду и попросим обойтись без кровопролития.(с)
Если mod_security упоминается в контексте безопастности, то это - безопасность web-приложений, никак не FreeBSD, даже если это платформа для apache.
С натяжкой к безопасности FreeBSD можно отнести вторую часть статьи, но она *слишком* поверхностная. Короткий пример: автор не сказал ничего по поводу сервисов, которые включены по умолчанию. Ни как отключить, ни как отфильтровать. Поэтому, злоумышленник может переполнить дисковое пространство журналами syslog, автор же не выключил его. Ничего не сказано про наложение последних заплаток обновления безопастности, защиту от переполнений буфера и срыва стека...
Стоп, я обещал не критиковать.
А конкретно тебе, Dyr, скажу, что статью по ссылке ты просто "ниасилил". Впрочем, статья замысловатая, так что немудрено.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "План защиты FreeBSD сервера"  
Сообщение от Dyr email(??) on 22-Май-07, 15:09 
>Мы отдаем тебя гражданскому суду и попросим обойтись без кровопролития.(с)
>Если mod_security упоминается в контексте безопастности, то это - безопасность web-приложений, никак
>не FreeBSD, даже если это платформа для apache.
>С натяжкой к безопасности FreeBSD можно отнести вторую часть статьи, но она
>*слишком* поверхностная.
Если вам интересен сферический конь в вакууме, конкретно FreeBSD, никуда не подключенная и без сервисов, то это может быть интересно только вам.

>Короткий пример: автор не сказал ничего по поводу сервисов,
>которые включены по умолчанию. Ни как отключить, ни как отфильтровать. Поэтому,
>злоумышленник может переполнить дисковое пространство журналами syslog, автор же не выключил его.
Да что вы говорите? =) А man syslogd почитать? Да и не случится ничего страшного при переполнении /var. Зайти сможете.

Ничего не сказано про наложение последних заплаток обновления безопастности, защиту
>от переполнений буфера и срыва стека...
>Стоп, я обещал не критиковать.
Угу. Критиканов дохрена, делать только ничего не могут. Но критику-у-уют...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "План защиты FreeBSD сервера"  
Сообщение от товарисч on 22-Май-07, 11:41 
>Поэтому, злоумышленник может переполнить дисковое
>пространство журналами syslog, автор же не выключил его.
man newsyslog
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "План защиты FreeBSD сервера"  
Сообщение от guest (??) on 22-Май-07, 21:24 
>>Поэтому, злоумышленник может переполнить дисковое
>>пространство журналами syslog, автор же не выключил его.
>man newsyslog
ты хоть сам понял, что написал?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "План защиты FreeBSD сервера"  
Сообщение от SysRq (??) on 23-Май-07, 02:15 
>> ты хоть сам понял, что написал?

Правильно он написал. Newsyslog архивирует и(или) удаляет старые файлы логов по достижении определенного их значения. В данном случае - размера. А ВАм - не обязательно показывать свое невежество напоказ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "План защиты FreeBSD сервера"  
Сообщение от guest1 on 23-Май-07, 12:23 
За тридцать минут можно забить логами раздел целиком и вызвать отказ в обслуживании, newsyslog здесь ничем не поможет. ВАМ тоже невежество не стоит демонстрировать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "План защиты FreeBSD сервера"  
Сообщение от Dyr email(??) on 23-Май-07, 12:43 
>За тридцать минут можно забить логами раздел целиком и вызвать отказ в
>обслуживании, newsyslog здесь ничем не поможет. ВАМ тоже невежество не стоит
>демонстрировать.
Правда, что ли? Отказ в обслуживании ЧЕГО?
Вы бы хоть попробовали сначала, теоретик.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "План защиты FreeBSD сервера"  
Сообщение от SysRq (??) on 23-Май-07, 02:52 
http://forum.lissyara.su/viewtopic.php?p=22048#22048

>>чё-то заткнулись на моём посте про newsyslog...
>>надо было чё-нить другое написать

Жесть просто

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "План защиты FreeBSD сервера"  
Сообщение от товарисч on 23-Май-07, 09:35 
и, кстати, по дефолту он включен и работает.
Поэтому чесаться о файлах в которые пишет syslogd не нужно.
Однако, в чём-то есть истина - нужно подумать о файлах, которые не охвачены вышеуказанным маном, т.е. о логах сторонних приложений.
Но, как уже упоминалось - статья-то не про сторонние приложения :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "План защиты FreeBSD сервера"  
Сообщение от Dyr email(??) on 23-Май-07, 10:14 
>и, кстати, по дефолту он включен и работает.
>Поэтому чесаться о файлах в которые пишет syslogd не нужно.
>Однако, в чём-то есть истина - нужно подумать о файлах, которые не
>охвачены вышеуказанным маном, т.е. о логах сторонних приложений.
>Но, как уже упоминалось - статья-то не про сторонние приложения :)
По-моему, вы придаёте этому чрезмерное внимание. Пару раз, когда включал all.log, переполнялся раздел. Ничего страшного, доступ оставался.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "План защиты FreeBSD сервера"  
Сообщение от товарисч on 23-Май-07, 10:32 
да кто бы отрицал, однако, по слухам (у самого, когда переполнялись разделы, тоже ничё страшного не происходило - и по по  заходил, и тем боле локально, и уж подавно машина не падала - тока отдельные службы) - могут пострадать данные.
что не есть гуд.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "План защиты FreeBSD сервера"  
Сообщение от Dyr email(??) on 23-Май-07, 10:47 
>да кто бы отрицал, однако, по слухам (у самого, когда переполнялись разделы,
>тоже ничё страшного не происходило - и по по  заходил,
>и тем боле локально, и уж подавно машина не падала -
>тока отдельные службы) - могут пострадать данные.
>что не есть гуд.
Ну...разве что MySQL базы, если оставлять homedir по дефолту. Я сразу переношу их в другой раздел, так что по существу, терять там нечего.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "План защиты FreeBSD сервера"  
Сообщение от товарисч on 23-Май-07, 10:33 
по ssh заходил :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "План защиты FreeBSD сервера"  
Сообщение от Аноним email on 23-Май-07, 13:42 
Нужно понимать что в /tmp эта запись не будет касаться perl или *sh скриптов,
которие - как минимум... спамомёты.

/tmp  ufs    rw,noexec

Немного отступая от статьи.

Есть такой человек как Robert Watson, фактически кроме него, и проекта (его-же) trustedbsd.org мало кто пишет о системе MAC. (замечу, в handbook это есть)

Во всех подобных статьях есть только небольшие заметки-огрызки о части MAC - bsd.see_other_uids, bsd.see_other_gids в sysctl.conf

А, ИМХО система MAC - это и есть то - первое место куда нужно пристально вглядываться, эсли есть определённого вида беспокойство.

Кроме этого в этой, да и прочих статьях о "бронировании" не упоминается о таких любопытных штуках - как и кем собираются порты в FreeBSD. (посмотрите в сторону OpenBSD, о том что проскакивало тут-же на OpenNET - от Michael Shigorin c Alt`a о ./configure, etc)

По моему скромному мнению самое важное|первое это

1. Не дырявое ПО которое своей попой смотрит в "мир" (sockstat -l, netstat)
2. Как это ПО настроено (права)
3. Что вариться и какое качество кода в этом ПО - как самый-самый тупой пример - "динамические" страницы и наш веб сервере. (это может быть и сервер приложений и т.д. и т.п.)

П.С.

Наиболее свежие идеи с "бронированием FreeBSD" за последние время я встретил только у Andrey Yakovlev`a freedom@ - описанные в UAFUG, связанные с фильтрацией/логированием "изнутри" по uid/gid с флагaми TCP (хотя это и часть - man ipfw)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "План защиты FreeBSD сервера"  
Сообщение от Dyr email(??) on 23-Май-07, 14:42 
Это уже гораздо обоснованней.

ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
Интересно, появится ли функционал привязки к приложению? Было бы круто.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "План защиты FreeBSD сервера"  
Сообщение от Аноним email on 23-Май-07, 15:03 
>Это уже гораздо обоснованней.
>
>ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
>Интересно, появится ли функционал привязки к приложению? Было бы круто.

IPFW это в первую очередь PF как packet filter, и не совсем задача его смотреть как "notepad.exe" полез на evil.com - ИМХО кончено-же, хотя наверно удобно.

Ваше приложение опять таки запускает пользователь со своим UID/GID?

П.Ф.
С помощью той-же системы MAC можно сказать кто что слушает без любого PF.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "План защиты FreeBSD сервера"  
Сообщение от Dyr email(??) on 23-Май-07, 19:42 
>>Это уже гораздо обоснованней.
>>
>>ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
>>Интересно, появится ли функционал привязки к приложению? Было бы круто.
>
>IPFW это в первую очередь PF как packet filter, и не совсем
>задача его смотреть как "notepad.exe" полез на evil.com - ИМХО кончено-же,
>хотя наверно удобно.
Согласен, однако уже несколько избалован функционалом файерволов под Windows

>
>Ваше приложение опять таки запускает пользователь со своим UID/GID?
На привелигированных портах висят приложения с UID root или близким к нему по полномочиям.
>П.Ф.
>С помощью той-же системы MAC можно сказать кто что слушает без любого
>PF.
Ну вот разве что так. Но это требует большого и кропотливого конфигурирования, которое к тому же не отличается разнообразием и полнотой документации.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "План защиты FreeBSD сервера"  
Сообщение от 404 Not Found on 24-Май-07, 15:44 
А сайт со статьей дифейснули что ли?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "План защиты FreeBSD сервера"  
Сообщение от товарисч on 24-Май-07, 17:50 
>А сайт со статьей дифейснули что ли?
ага, враги пытались помешать меняя записи в DNS :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру