URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 37486
[ Назад ]

Исходное сообщение
"OpenNews: План защиты FreeBSD сервера"

Отправлено opennews , 21-Май-07 17:12 
В статье "Бронированный FreeBSD (http://www.lissyara.su/?id=1450)" представлены рекомендации по защите FreeBSD от внешних и внутренних атак.

URL: http://www.lissyara.su/?id=1450
Новость: http://www.opennet.me/opennews/art.shtml?num=10858


Содержание

Сообщения в этом обсуждении
"План защиты FreeBSD сервера"
Отправлено glyph , 21-Май-07 17:12 
Полный пинцет. Не претендует даже на уровень начинающего.

"План защиты FreeBSD сервера"
Отправлено YMSSSG , 21-Май-07 17:51 
2 glyph: было бы интересно что лучше можешь предложить ты?

"План защиты FreeBSD сервера"
Отправлено glyph , 21-Май-07 18:25 
<off>
С какой радости мне должно что-то предлагать?
</off>

По крайней мере, я бы ознакомился с существующим материалом. Если что - не поленился бы перевести, если нет - то хотя бы обобщить грамотно. Начал бы отсюда: http://www.littlewhitedog.com/content-72.html
Я не хочу вдаваться в критику данной статьи, ибо не думаю, что автор тут же бросится исправлять ошибки, однако, порекомендую *не основываться* на данной статье, так как статья дает неверное представление о сути предмета.


"План защиты FreeBSD сервера"
Отправлено Dyr , 21-Май-07 19:20 
Не сказал бы, что по приведённой ссылке больше информации. По Apache там вообще ничего нет, скажем.
Вывод - читать обе статьи.

"План защиты FreeBSD сервера"
Отправлено vlad11 , 21-Май-07 21:40 
Присоединяюсь - статья ниочем!

"План защиты FreeBSD сервера"
Отправлено Dyr , 21-Май-07 22:42 
>Присоединяюсь - статья ниочем!
Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...

"План защиты FreeBSD сервера"
Отправлено universite , 22-Май-07 04:50 
>>Присоединяюсь - статья ниочем!
>Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...

нах писать, если в хэндбуке все разжовано?

P.S. следи за языком.


"План защиты FreeBSD сервера"
Отправлено Dyr , 22-Май-07 09:23 
>>>Присоединяюсь - статья ниочем!
>>Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...
>
>нах писать, если в хэндбуке все разжовано?
Правда, что ли? Ну-ка, покажи-ка нам где в handbook написано про mod_security. Или про logcheck. Или про настройку php.

"План защиты FreeBSD сервера"
Отправлено glyph , 22-Май-07 10:35 
Мы отдаем тебя гражданскому суду и попросим обойтись без кровопролития.(с)
Если mod_security упоминается в контексте безопастности, то это - безопасность web-приложений, никак не FreeBSD, даже если это платформа для apache.
С натяжкой к безопасности FreeBSD можно отнести вторую часть статьи, но она *слишком* поверхностная. Короткий пример: автор не сказал ничего по поводу сервисов, которые включены по умолчанию. Ни как отключить, ни как отфильтровать. Поэтому, злоумышленник может переполнить дисковое пространство журналами syslog, автор же не выключил его. Ничего не сказано про наложение последних заплаток обновления безопастности, защиту от переполнений буфера и срыва стека...
Стоп, я обещал не критиковать.
А конкретно тебе, Dyr, скажу, что статью по ссылке ты просто "ниасилил". Впрочем, статья замысловатая, так что немудрено.

"План защиты FreeBSD сервера"
Отправлено Dyr , 22-Май-07 15:09 
>Мы отдаем тебя гражданскому суду и попросим обойтись без кровопролития.(с)
>Если mod_security упоминается в контексте безопастности, то это - безопасность web-приложений, никак
>не FreeBSD, даже если это платформа для apache.
>С натяжкой к безопасности FreeBSD можно отнести вторую часть статьи, но она
>*слишком* поверхностная.
Если вам интересен сферический конь в вакууме, конкретно FreeBSD, никуда не подключенная и без сервисов, то это может быть интересно только вам.

>Короткий пример: автор не сказал ничего по поводу сервисов,
>которые включены по умолчанию. Ни как отключить, ни как отфильтровать. Поэтому,
>злоумышленник может переполнить дисковое пространство журналами syslog, автор же не выключил его.
Да что вы говорите? =) А man syslogd почитать? Да и не случится ничего страшного при переполнении /var. Зайти сможете.

Ничего не сказано про наложение последних заплаток обновления безопастности, защиту
>от переполнений буфера и срыва стека...
>Стоп, я обещал не критиковать.
Угу. Критиканов дохрена, делать только ничего не могут. Но критику-у-уют...


"План защиты FreeBSD сервера"
Отправлено товарисч , 22-Май-07 11:41 
>Поэтому, злоумышленник может переполнить дисковое
>пространство журналами syslog, автор же не выключил его.
man newsyslog

"План защиты FreeBSD сервера"
Отправлено guest , 22-Май-07 21:24 
>>Поэтому, злоумышленник может переполнить дисковое
>>пространство журналами syslog, автор же не выключил его.
>man newsyslog
ты хоть сам понял, что написал?



"План защиты FreeBSD сервера"
Отправлено SysRq , 23-Май-07 02:15 
>> ты хоть сам понял, что написал?

Правильно он написал. Newsyslog архивирует и(или) удаляет старые файлы логов по достижении определенного их значения. В данном случае - размера. А ВАм - не обязательно показывать свое невежество напоказ.


"План защиты FreeBSD сервера"
Отправлено guest1 , 23-Май-07 12:23 
За тридцать минут можно забить логами раздел целиком и вызвать отказ в обслуживании, newsyslog здесь ничем не поможет. ВАМ тоже невежество не стоит демонстрировать.

"План защиты FreeBSD сервера"
Отправлено Dyr , 23-Май-07 12:43 
>За тридцать минут можно забить логами раздел целиком и вызвать отказ в
>обслуживании, newsyslog здесь ничем не поможет. ВАМ тоже невежество не стоит
>демонстрировать.
Правда, что ли? Отказ в обслуживании ЧЕГО?
Вы бы хоть попробовали сначала, теоретик.

"План защиты FreeBSD сервера"
Отправлено SysRq , 23-Май-07 02:52 
http://forum.lissyara.su/viewtopic.php?p=22048#22048

>>чё-то заткнулись на моём посте про newsyslog...
>>надо было чё-нить другое написать

Жесть просто


"План защиты FreeBSD сервера"
Отправлено товарисч , 23-Май-07 09:35 
и, кстати, по дефолту он включен и работает.
Поэтому чесаться о файлах в которые пишет syslogd не нужно.
Однако, в чём-то есть истина - нужно подумать о файлах, которые не охвачены вышеуказанным маном, т.е. о логах сторонних приложений.
Но, как уже упоминалось - статья-то не про сторонние приложения :)



"План защиты FreeBSD сервера"
Отправлено Dyr , 23-Май-07 10:14 
>и, кстати, по дефолту он включен и работает.
>Поэтому чесаться о файлах в которые пишет syslogd не нужно.
>Однако, в чём-то есть истина - нужно подумать о файлах, которые не
>охвачены вышеуказанным маном, т.е. о логах сторонних приложений.
>Но, как уже упоминалось - статья-то не про сторонние приложения :)
По-моему, вы придаёте этому чрезмерное внимание. Пару раз, когда включал all.log, переполнялся раздел. Ничего страшного, доступ оставался.


"План защиты FreeBSD сервера"
Отправлено товарисч , 23-Май-07 10:32 
да кто бы отрицал, однако, по слухам (у самого, когда переполнялись разделы, тоже ничё страшного не происходило - и по по  заходил, и тем боле локально, и уж подавно машина не падала - тока отдельные службы) - могут пострадать данные.
что не есть гуд.

"План защиты FreeBSD сервера"
Отправлено Dyr , 23-Май-07 10:47 
>да кто бы отрицал, однако, по слухам (у самого, когда переполнялись разделы,
>тоже ничё страшного не происходило - и по по  заходил,
>и тем боле локально, и уж подавно машина не падала -
>тока отдельные службы) - могут пострадать данные.
>что не есть гуд.
Ну...разве что MySQL базы, если оставлять homedir по дефолту. Я сразу переношу их в другой раздел, так что по существу, терять там нечего.

"План защиты FreeBSD сервера"
Отправлено товарисч , 23-Май-07 10:33 
по ssh заходил :)

"План защиты FreeBSD сервера"
Отправлено Аноним , 23-Май-07 13:42 
Нужно понимать что в /tmp эта запись не будет касаться perl или *sh скриптов,
которие - как минимум... спамомёты.

/tmp  ufs    rw,noexec

Немного отступая от статьи.

Есть такой человек как Robert Watson, фактически кроме него, и проекта (его-же) trustedbsd.org мало кто пишет о системе MAC. (замечу, в handbook это есть)

Во всех подобных статьях есть только небольшие заметки-огрызки о части MAC - bsd.see_other_uids, bsd.see_other_gids в sysctl.conf

А, ИМХО система MAC - это и есть то - первое место куда нужно пристально вглядываться, эсли есть определённого вида беспокойство.

Кроме этого в этой, да и прочих статьях о "бронировании" не упоминается о таких любопытных штуках - как и кем собираются порты в FreeBSD. (посмотрите в сторону OpenBSD, о том что проскакивало тут-же на OpenNET - от Michael Shigorin c Alt`a о ./configure, etc)

По моему скромному мнению самое важное|первое это

1. Не дырявое ПО которое своей попой смотрит в "мир" (sockstat -l, netstat)
2. Как это ПО настроено (права)
3. Что вариться и какое качество кода в этом ПО - как самый-самый тупой пример - "динамические" страницы и наш веб сервере. (это может быть и сервер приложений и т.д. и т.п.)

П.С.

Наиболее свежие идеи с "бронированием FreeBSD" за последние время я встретил только у Andrey Yakovlev`a freedom@ - описанные в UAFUG, связанные с фильтрацией/логированием "изнутри" по uid/gid с флагaми TCP (хотя это и часть - man ipfw)


"План защиты FreeBSD сервера"
Отправлено Dyr , 23-Май-07 14:42 
Это уже гораздо обоснованней.

ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
Интересно, появится ли функционал привязки к приложению? Было бы круто.


"План защиты FreeBSD сервера"
Отправлено Аноним , 23-Май-07 15:03 
>Это уже гораздо обоснованней.
>
>ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
>Интересно, появится ли функционал привязки к приложению? Было бы круто.

IPFW это в первую очередь PF как packet filter, и не совсем задача его смотреть как "notepad.exe" полез на evil.com - ИМХО кончено-же, хотя наверно удобно.

Ваше приложение опять таки запускает пользователь со своим UID/GID?

П.Ф.
С помощью той-же системы MAC можно сказать кто что слушает без любого PF.



"План защиты FreeBSD сервера"
Отправлено Dyr , 23-Май-07 19:42 
>>Это уже гораздо обоснованней.
>>
>>ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
>>Интересно, появится ли функционал привязки к приложению? Было бы круто.
>
>IPFW это в первую очередь PF как packet filter, и не совсем
>задача его смотреть как "notepad.exe" полез на evil.com - ИМХО кончено-же,
>хотя наверно удобно.
Согласен, однако уже несколько избалован функционалом файерволов под Windows

>
>Ваше приложение опять таки запускает пользователь со своим UID/GID?
На привелигированных портах висят приложения с UID root или близким к нему по полномочиям.
>П.Ф.
>С помощью той-же системы MAC можно сказать кто что слушает без любого
>PF.
Ну вот разве что так. Но это требует большого и кропотливого конфигурирования, которое к тому же не отличается разнообразием и полнотой документации.


"План защиты FreeBSD сервера"
Отправлено 404 Not Found , 24-Май-07 15:44 
А сайт со статьей дифейснули что ли?

"План защиты FreeBSD сервера"
Отправлено товарисч , 24-Май-07 17:50 
>А сайт со статьей дифейснули что ли?
ага, враги пытались помешать меняя записи в DNS :)