Сергей Можайский в статье "Делаем FreeBSD безопасной (http://www.xakep.ru/magazine/xa/069/116/1.asp)" рассмотрел тему увеличения безопасности типовой установки FreeBSD.В частности, затронут вопрос работы с шифрованным разделом диска, тюнинг сетевого стека для защиты от типовых DoS атак, основы настройки пакетного фильтра и tcp-wrapper, установку securelevel.
URL: http://www.xakep.ru/magazine/xa/069/116/1.asp
Новость: http://www.opennet.me/opennews/art.shtml?num=4684
ничего нового там не написанно.
а что там может быть в принципе нового?
собрали вместе, в журнале опубликовали и то хорошо.
> а что там может быть в принципе нового?
Ну было бы интересно узнать, что кто-то типовые MAC профили сделал,
для популярных приложений.>собрали вместе, в журнале опубликовали и то хорошо.
Обобщить материал тоже уметь надо. Гуд.
>а что там может быть в принципе нового?например, MAC - Mandatory Access Control. Не так часто его описание встречается.
все это нагло стырено из книги BSD Hacks by O'Reyli, хотя чего еще можно ждать от этого журнала
Не знаю что от них можно ждать, а ddos они грамотно в свё время расписали. Не ddos'ивший так написать не сможет...
наезды на Ксакеп, мягко говоря, не по существу.
>все это нагло стырено из книги BSD Hacks by O'Reyli, хотя чего
>еще можно ждать от этого журнала
во первых Oreilly !!
в вторых книга 89 или 92 года (щас не помню точно)
Practical UNIX Security
молодые люди, у меня нет в планах вам что-то доказывать, но элементарное сравнение само все скажет за себя. статья в ксакепе - это просто перевод нескольких security-related рецептов из книги BSD Hacks. кстати, автор Dru Lavigne - если это ни о чем не говорит, смотреть www.onlamp.com.ddos - это не rocket science. при желании (особенно если за это деньги заплатят), можно перерыть весь гугл в поисках нужной информации.
Вот тут большая часть статей его:
http://www.onlamp.com/topics/bsd/FreeBSDони и составили основу его книги.
>Вот тут большая часть статей его:
>http://www.onlamp.com/topics/bsd/FreeBSD
>
>они и составили основу его книги.Не его, а её!.. ;)
Dru Lavigne - это женщина!.. ;)
Очень полезная статья. Автору респект. Красноглазые админы - читать в обязалово, эта статья для вас.
to Аноним
не "ЕГО" книги, а "ЕЕ" книги, Dru Lavigne - женщина.
а по поводу статьи - ну кому-то же надо переводить с аглицкого, так скаать, нести знания в массы )
Да, согласен, ничего нового, но зато по-русски.
Подача материала характерна для "Хакер" - куча tips, с поверхностным описанием. В частности, в статье рекомендуется установить securelevel = 2, но не говорится, что при этом может возникнуть множество проблем с функционированием софта.
Этому надо учиться, причем довольно долго, гораздо больше чем занимает прочтение сотни руководств по безопасности.
"Hackers everywhere, they can have you anytime."
>Да, согласен, ничего нового, но зато по-русски.
>Подача материала характерна для "Хакер" - куча tips, с поверхностным описанием.Не знаю, но эта статья опровергла свормировавшееся во мне мнение, что в журнале хакер пишут на каком-то ужасном жаргоне, при том, чем больше коверкается язык, тем считается круче. Вполне нормальная статья.
> говорится, что при этом может возникнуть множество проблем с функционированием софта.
Книг и статей, копающих чуть глубже поверхностного познания и предугадывающих вопросы читателя, единицы. В основном прямые howto для начинающих или дело рук графоманов, от которых больше путаницы и вопросов, чем ответов.
>Книг и статей, копающих чуть глубже поверхностного познания и предугадывающих вопросы читателя,
>единицы. В основном прямые howto для начинающих или дело рук графоманов,
>от которых больше путаницы и вопросов, чем ответов.Информации более чем достаточно в man и RFC. Это теория.
Еще есть best practice stories - практика.
HOWTO полезно использовать как отправную точку для более глубокого изучения вопроса.
Стоит securelevel="3", никаких проблем с функционированием софта не заметил.
options ICMP_BANDLIM
options RANDOM_IP_ID
options TCP_RESTRICT_RST/usr/src/sys/i386/conf/ROUTER: unknown option "ICMP_BANDLIM"
/usr/src/sys/i386/conf/ROUTER: unknown option "RANDOM_IP_ID"
/usr/src/sys/i386/conf/ROUTER: unknown option "TCP_RESTRICT_RST"
В статье несколько устаревшая информация, кое-что из конфига ядра перенесено в sysctl:ICMP_BANDLIM => net.inet.icmp.icmplim
RANDOM_IP_ID => net.inet.ip.random_idА вот TCP_RESTRICT_RST я вообще нигде не нашел. 5.3-R
Так многие же вещи можно задавать через sysctl... Так как узнать, что лучше собирать с ядром, а что задавать через sysctl ??
всеже, такое ощущение, что некоторые части статьи были скопипащены даже без проверки, например, про "не показывать чужие процессы".
Год назад, когда собирал свой сервер под FreeBSD, такой статьи не было, однако же 90% того, что было описано, у меня было реализовано еще тогда (использовалось выжимки с 9 статей www.opennet.ru + пара вопросов в форуме). Конечно неплохо объединять все в одной статье (я так тоже делаю, вот только для себя и друзей) - выкладывать в интернет я бы не стал - у каждого по жизни свой путь.
> выкладывать в интернет я бы не стал - у каждого по жизни свой путь.
Это по типу: я это нашел и делиться с другими не стану пусть сами помучаются
так?
это по типу "не нужно быть семи пядей во лбу, чтобы самому погуглить и все найти".
Делиться конечно нужно, только это опасно, так как показывает ваши знания и вашу логику потенциальному взломщику. Учтите такой момент. Я, например, даже друзям не говорю о существовании и реализации "пасхальных яиц" в системе безопасности. Сломать же можно только то что есть, поэтому невидимость - лучшая защита от атак.
>Сломать же можно только то что есть, поэтому невидимость - лучшая
>защита от атак.Security through obscurity, да?