В статье "Бронированный FreeBSD (http://www.lissyara.su/?id=1450)" представлены рекомендации по защите FreeBSD от внешних и внутренних атак.URL: http://www.lissyara.su/?id=1450
Новость: http://www.opennet.me/opennews/art.shtml?num=10858
Полный пинцет. Не претендует даже на уровень начинающего.
2 glyph: было бы интересно что лучше можешь предложить ты?
<off>
С какой радости мне должно что-то предлагать?
</off>По крайней мере, я бы ознакомился с существующим материалом. Если что - не поленился бы перевести, если нет - то хотя бы обобщить грамотно. Начал бы отсюда: http://www.littlewhitedog.com/content-72.html
Я не хочу вдаваться в критику данной статьи, ибо не думаю, что автор тут же бросится исправлять ошибки, однако, порекомендую *не основываться* на данной статье, так как статья дает неверное представление о сути предмета.
Не сказал бы, что по приведённой ссылке больше информации. По Apache там вообще ничего нет, скажем.
Вывод - читать обе статьи.
Присоединяюсь - статья ниочем!
>Присоединяюсь - статья ниочем!
Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...
>>Присоединяюсь - статья ниочем!
>Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...нах писать, если в хэндбуке все разжовано?
P.S. следи за языком.
>>>Присоединяюсь - статья ниочем!
>>Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...
>
>нах писать, если в хэндбуке все разжовано?
Правда, что ли? Ну-ка, покажи-ка нам где в handbook написано про mod_security. Или про logcheck. Или про настройку php.
Мы отдаем тебя гражданскому суду и попросим обойтись без кровопролития.(с)
Если mod_security упоминается в контексте безопастности, то это - безопасность web-приложений, никак не FreeBSD, даже если это платформа для apache.
С натяжкой к безопасности FreeBSD можно отнести вторую часть статьи, но она *слишком* поверхностная. Короткий пример: автор не сказал ничего по поводу сервисов, которые включены по умолчанию. Ни как отключить, ни как отфильтровать. Поэтому, злоумышленник может переполнить дисковое пространство журналами syslog, автор же не выключил его. Ничего не сказано про наложение последних заплаток обновления безопастности, защиту от переполнений буфера и срыва стека...
Стоп, я обещал не критиковать.
А конкретно тебе, Dyr, скажу, что статью по ссылке ты просто "ниасилил". Впрочем, статья замысловатая, так что немудрено.
>Мы отдаем тебя гражданскому суду и попросим обойтись без кровопролития.(с)
>Если mod_security упоминается в контексте безопастности, то это - безопасность web-приложений, никак
>не FreeBSD, даже если это платформа для apache.
>С натяжкой к безопасности FreeBSD можно отнести вторую часть статьи, но она
>*слишком* поверхностная.
Если вам интересен сферический конь в вакууме, конкретно FreeBSD, никуда не подключенная и без сервисов, то это может быть интересно только вам.>Короткий пример: автор не сказал ничего по поводу сервисов,
>которые включены по умолчанию. Ни как отключить, ни как отфильтровать. Поэтому,
>злоумышленник может переполнить дисковое пространство журналами syslog, автор же не выключил его.
Да что вы говорите? =) А man syslogd почитать? Да и не случится ничего страшного при переполнении /var. Зайти сможете.Ничего не сказано про наложение последних заплаток обновления безопастности, защиту
>от переполнений буфера и срыва стека...
>Стоп, я обещал не критиковать.
Угу. Критиканов дохрена, делать только ничего не могут. Но критику-у-уют...
>Поэтому, злоумышленник может переполнить дисковое
>пространство журналами syslog, автор же не выключил его.
man newsyslog
>>Поэтому, злоумышленник может переполнить дисковое
>>пространство журналами syslog, автор же не выключил его.
>man newsyslog
ты хоть сам понял, что написал?
>> ты хоть сам понял, что написал?Правильно он написал. Newsyslog архивирует и(или) удаляет старые файлы логов по достижении определенного их значения. В данном случае - размера. А ВАм - не обязательно показывать свое невежество напоказ.
За тридцать минут можно забить логами раздел целиком и вызвать отказ в обслуживании, newsyslog здесь ничем не поможет. ВАМ тоже невежество не стоит демонстрировать.
>За тридцать минут можно забить логами раздел целиком и вызвать отказ в
>обслуживании, newsyslog здесь ничем не поможет. ВАМ тоже невежество не стоит
>демонстрировать.
Правда, что ли? Отказ в обслуживании ЧЕГО?
Вы бы хоть попробовали сначала, теоретик.
http://forum.lissyara.su/viewtopic.php?p=22048#22048>>чё-то заткнулись на моём посте про newsyslog...
>>надо было чё-нить другое написатьЖесть просто
и, кстати, по дефолту он включен и работает.
Поэтому чесаться о файлах в которые пишет syslogd не нужно.
Однако, в чём-то есть истина - нужно подумать о файлах, которые не охвачены вышеуказанным маном, т.е. о логах сторонних приложений.
Но, как уже упоминалось - статья-то не про сторонние приложения :)
>и, кстати, по дефолту он включен и работает.
>Поэтому чесаться о файлах в которые пишет syslogd не нужно.
>Однако, в чём-то есть истина - нужно подумать о файлах, которые не
>охвачены вышеуказанным маном, т.е. о логах сторонних приложений.
>Но, как уже упоминалось - статья-то не про сторонние приложения :)
По-моему, вы придаёте этому чрезмерное внимание. Пару раз, когда включал all.log, переполнялся раздел. Ничего страшного, доступ оставался.
да кто бы отрицал, однако, по слухам (у самого, когда переполнялись разделы, тоже ничё страшного не происходило - и по по заходил, и тем боле локально, и уж подавно машина не падала - тока отдельные службы) - могут пострадать данные.
что не есть гуд.
>да кто бы отрицал, однако, по слухам (у самого, когда переполнялись разделы,
>тоже ничё страшного не происходило - и по по заходил,
>и тем боле локально, и уж подавно машина не падала -
>тока отдельные службы) - могут пострадать данные.
>что не есть гуд.
Ну...разве что MySQL базы, если оставлять homedir по дефолту. Я сразу переношу их в другой раздел, так что по существу, терять там нечего.
по ssh заходил :)
Нужно понимать что в /tmp эта запись не будет касаться perl или *sh скриптов,
которие - как минимум... спамомёты./tmp ufs rw,noexec
Немного отступая от статьи.
Есть такой человек как Robert Watson, фактически кроме него, и проекта (его-же) trustedbsd.org мало кто пишет о системе MAC. (замечу, в handbook это есть)
Во всех подобных статьях есть только небольшие заметки-огрызки о части MAC - bsd.see_other_uids, bsd.see_other_gids в sysctl.conf
А, ИМХО система MAC - это и есть то - первое место куда нужно пристально вглядываться, эсли есть определённого вида беспокойство.
Кроме этого в этой, да и прочих статьях о "бронировании" не упоминается о таких любопытных штуках - как и кем собираются порты в FreeBSD. (посмотрите в сторону OpenBSD, о том что проскакивало тут-же на OpenNET - от Michael Shigorin c Alt`a о ./configure, etc)
По моему скромному мнению самое важное|первое это
1. Не дырявое ПО которое своей попой смотрит в "мир" (sockstat -l, netstat)
2. Как это ПО настроено (права)
3. Что вариться и какое качество кода в этом ПО - как самый-самый тупой пример - "динамические" страницы и наш веб сервере. (это может быть и сервер приложений и т.д. и т.п.)П.С.
Наиболее свежие идеи с "бронированием FreeBSD" за последние время я встретил только у Andrey Yakovlev`a freedom@ - описанные в UAFUG, связанные с фильтрацией/логированием "изнутри" по uid/gid с флагaми TCP (хотя это и часть - man ipfw)
Это уже гораздо обоснованней.ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
Интересно, появится ли функционал привязки к приложению? Было бы круто.
>Это уже гораздо обоснованней.
>
>ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
>Интересно, появится ли функционал привязки к приложению? Было бы круто.IPFW это в первую очередь PF как packet filter, и не совсем задача его смотреть как "notepad.exe" полез на evil.com - ИМХО кончено-же, хотя наверно удобно.
Ваше приложение опять таки запускает пользователь со своим UID/GID?
П.Ф.
С помощью той-же системы MAC можно сказать кто что слушает без любого PF.
>>Это уже гораздо обоснованней.
>>
>>ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
>>Интересно, появится ли функционал привязки к приложению? Было бы круто.
>
>IPFW это в первую очередь PF как packet filter, и не совсем
>задача его смотреть как "notepad.exe" полез на evil.com - ИМХО кончено-же,
>хотя наверно удобно.
Согласен, однако уже несколько избалован функционалом файерволов под Windows>
>Ваше приложение опять таки запускает пользователь со своим UID/GID?
На привелигированных портах висят приложения с UID root или близким к нему по полномочиям.
>П.Ф.
>С помощью той-же системы MAC можно сказать кто что слушает без любого
>PF.
Ну вот разве что так. Но это требует большого и кропотливого конфигурирования, которое к тому же не отличается разнообразием и полнотой документации.
А сайт со статьей дифейснули что ли?
>А сайт со статьей дифейснули что ли?
ага, враги пытались помешать меняя записи в DNS :)