The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

План защиты FreeBSD сервера

21.05.2007 16:56

В статье "Бронированный FreeBSD" представлены рекомендации по защите FreeBSD от внешних и внутренних атак.

  1. Главная ссылка к новости (http://www.lissyara.su/?id=145...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/10858-freebsd
Ключевые слова: freebsd, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, glyph (?), 17:12, 21/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Полный пинцет. Не претендует даже на уровень начинающего.
     
  • 1.2, YMSSSG (?), 17:51, 21/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2 glyph: было бы интересно что лучше можешь предложить ты?
     
  • 1.3, glyph (?), 18:25, 21/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    <off>
    С какой радости мне должно что-то предлагать?
    </off>

    По крайней мере, я бы ознакомился с существующим материалом. Если что - не поленился бы перевести, если нет - то хотя бы обобщить грамотно. Начал бы отсюда: http://www.littlewhitedog.com/content-72.html
    Я не хочу вдаваться в критику данной статьи, ибо не думаю, что автор тут же бросится исправлять ошибки, однако, порекомендую *не основываться* на данной статье, так как статья дает неверное представление о сути предмета.

     
     
  • 2.4, Dyr (??), 19:20, 21/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Не сказал бы, что по приведённой ссылке больше информации. По Apache там вообще ничего нет, скажем.
    Вывод - читать обе статьи.
     

  • 1.5, vlad11 (ok), 21:40, 21/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Присоединяюсь - статья ниочем!
     
     
  • 2.6, Dyr (??), 22:42, 21/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Присоединяюсь - статья ниочем!
    Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...
     
     
  • 3.7, universite (??), 04:50, 22/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>Присоединяюсь - статья ниочем!
    >Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...

    нах писать, если в хэндбуке все разжовано?

    P.S. следи за языком.

     
     
  • 4.8, Dyr (??), 09:23, 22/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Присоединяюсь - статья ниочем!
    >>Господи, так напишите "о чём", грамотей! Задрали "пионеры юные, головы чугунные"...
    >
    >нах писать, если в хэндбуке все разжовано?
    Правда, что ли? Ну-ка, покажи-ка нам где в handbook написано про mod_security. Или про logcheck. Или про настройку php.
     
     
  • 5.9, glyph (?), 10:35, 22/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Мы отдаем тебя гражданскому суду и попросим обойтись без кровопролития.(с)
    Если mod_security упоминается в контексте безопастности, то это - безопасность web-приложений, никак не FreeBSD, даже если это платформа для apache.
    С натяжкой к безопасности FreeBSD можно отнести вторую часть статьи, но она *слишком* поверхностная. Короткий пример: автор не сказал ничего по поводу сервисов, которые включены по умолчанию. Ни как отключить, ни как отфильтровать. Поэтому, злоумышленник может переполнить дисковое пространство журналами syslog, автор же не выключил его. Ничего не сказано про наложение последних заплаток обновления безопастности, защиту от переполнений буфера и срыва стека...
    Стоп, я обещал не критиковать.
    А конкретно тебе, Dyr, скажу, что статью по ссылке ты просто "ниасилил". Впрочем, статья замысловатая, так что немудрено.
     
     
  • 6.12, Dyr (??), 15:09, 22/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Мы отдаем тебя гражданскому суду и попросим обойтись без кровопролития.(с)
    >Если mod_security упоминается в контексте безопастности, то это - безопасность web-приложений, никак
    >не FreeBSD, даже если это платформа для apache.
    >С натяжкой к безопасности FreeBSD можно отнести вторую часть статьи, но она
    >*слишком* поверхностная.
    Если вам интересен сферический конь в вакууме, конкретно FreeBSD, никуда не подключенная и без сервисов, то это может быть интересно только вам.

    >Короткий пример: автор не сказал ничего по поводу сервисов,
    >которые включены по умолчанию. Ни как отключить, ни как отфильтровать. Поэтому,
    >злоумышленник может переполнить дисковое пространство журналами syslog, автор же не выключил его.
    Да что вы говорите? =) А man syslogd почитать? Да и не случится ничего страшного при переполнении /var. Зайти сможете.

    Ничего не сказано про наложение последних заплаток обновления безопастности, защиту
    >от переполнений буфера и срыва стека...
    >Стоп, я обещал не критиковать.
    Угу. Критиканов дохрена, делать только ничего не могут. Но критику-у-уют...

     

  • 1.10, товарисч (?), 11:41, 22/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Поэтому, злоумышленник может переполнить дисковое
    >пространство журналами syslog, автор же не выключил его.
    man newsyslog
     
     
  • 2.13, guest (??), 21:24, 22/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>Поэтому, злоумышленник может переполнить дисковое
    >>пространство журналами syslog, автор же не выключил его.
    >man newsyslog
    ты хоть сам понял, что написал?


     
     
  • 3.14, SysRq (??), 02:15, 23/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >> ты хоть сам понял, что написал?

    Правильно он написал. Newsyslog архивирует и(или) удаляет старые файлы логов по достижении определенного их значения. В данном случае - размера. А ВАм - не обязательно показывать свое невежество напоказ.

     
     
  • 4.21, guest1 (?), 12:23, 23/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    За тридцать минут можно забить логами раздел целиком и вызвать отказ в обслуживании, newsyslog здесь ничем не поможет. ВАМ тоже невежество не стоит демонстрировать.
     
     
  • 5.22, Dyr (??), 12:43, 23/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >За тридцать минут можно забить логами раздел целиком и вызвать отказ в
    >обслуживании, newsyslog здесь ничем не поможет. ВАМ тоже невежество не стоит
    >демонстрировать.
    Правда, что ли? Отказ в обслуживании ЧЕГО?
    Вы бы хоть попробовали сначала, теоретик.
     

  • 1.15, SysRq (??), 02:52, 23/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://forum.lissyara.su/viewtopic.php?p=22048#22048

    >>чё-то заткнулись на моём посте про newsyslog...
    >>надо было чё-нить другое написать

    Жесть просто

     
     
  • 2.16, товарисч (?), 09:35, 23/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    и, кстати, по дефолту он включен и работает.
    Поэтому чесаться о файлах в которые пишет syslogd не нужно.
    Однако, в чём-то есть истина - нужно подумать о файлах, которые не охвачены вышеуказанным маном, т.е. о логах сторонних приложений.
    Но, как уже упоминалось - статья-то не про сторонние приложения :)


     
     
  • 3.17, Dyr (??), 10:14, 23/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >и, кстати, по дефолту он включен и работает.
    >Поэтому чесаться о файлах в которые пишет syslogd не нужно.
    >Однако, в чём-то есть истина - нужно подумать о файлах, которые не
    >охвачены вышеуказанным маном, т.е. о логах сторонних приложений.
    >Но, как уже упоминалось - статья-то не про сторонние приложения :)
    По-моему, вы придаёте этому чрезмерное внимание. Пару раз, когда включал all.log, переполнялся раздел. Ничего страшного, доступ оставался.

     

  • 1.18, товарисч (?), 10:32, 23/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да кто бы отрицал, однако, по слухам (у самого, когда переполнялись разделы, тоже ничё страшного не происходило - и по по  заходил, и тем боле локально, и уж подавно машина не падала - тока отдельные службы) - могут пострадать данные.
    что не есть гуд.
     
     
  • 2.20, Dyr (??), 10:47, 23/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >да кто бы отрицал, однако, по слухам (у самого, когда переполнялись разделы,
    >тоже ничё страшного не происходило - и по по  заходил,
    >и тем боле локально, и уж подавно машина не падала -
    >тока отдельные службы) - могут пострадать данные.
    >что не есть гуд.
    Ну...разве что MySQL базы, если оставлять homedir по дефолту. Я сразу переношу их в другой раздел, так что по существу, терять там нечего.
     

  • 1.19, товарисч (?), 10:33, 23/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    по ssh заходил :)
     
  • 1.23, Аноним (23), 13:42, 23/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нужно понимать что в /tmp эта запись не будет касаться perl или *sh скриптов,
    которие - как минимум... спамомёты.

    /tmp  ufs rw,noexec

    Немного отступая от статьи.

    Есть такой человек как Robert Watson, фактически кроме него, и проекта (его-же) trustedbsd.org мало кто пишет о системе MAC. (замечу, в handbook это есть)

    Во всех подобных статьях есть только небольшие заметки-огрызки о части MAC - bsd.see_other_uids, bsd.see_other_gids в sysctl.conf

    А, ИМХО система MAC - это и есть то - первое место куда нужно пристально вглядываться, эсли есть определённого вида беспокойство.

    Кроме этого в этой, да и прочих статьях о "бронировании" не упоминается о таких любопытных штуках - как и кем собираются порты в FreeBSD. (посмотрите в сторону OpenBSD, о том что проскакивало тут-же на OpenNET - от Michael Shigorin c Alt'a о ./configure, etc)

    По моему скромному мнению самое важное|первое это

    1. Не дырявое ПО которое своей попой смотрит в "мир" (sockstat -l, netstat)
    2. Как это ПО настроено (права)
    3. Что вариться и какое качество кода в этом ПО - как самый-самый тупой пример - "динамические" страницы и наш веб сервере. (это может быть и сервер приложений и т.д. и т.п.)

    П.С.

    Наиболее свежие идеи с "бронированием FreeBSD" за последние время я встретил только у Andrey Yakovlev'a freedom@ - описанные в UAFUG, связанные с фильтрацией/логированием "изнутри" по uid/gid с флагaми TCP (хотя это и часть - man ipfw)

     
     
  • 2.24, Dyr (??), 14:42, 23/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Это уже гораздо обоснованней.

    ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
    Интересно, появится ли функционал привязки к приложению? Было бы круто.

     
     
  • 3.25, Аноним (23), 15:03, 23/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Это уже гораздо обоснованней.
    >
    >ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
    >Интересно, появится ли функционал привязки к приложению? Было бы круто.

    IPFW это в первую очередь PF как packet filter, и не совсем задача его смотреть как "notepad.exe" полез на evil.com - ИМХО кончено-же, хотя наверно удобно.

    Ваше приложение опять таки запускает пользователь со своим UID/GID?

    П.Ф.
    С помощью той-же системы MAC можно сказать кто что слушает без любого PF.


     
     
  • 4.26, Dyr (??), 19:42, 23/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>Это уже гораздо обоснованней.
    >>
    >>ipfw в привязке к GID/UID использую уже довольно давно, очень удобно.
    >>Интересно, появится ли функционал привязки к приложению? Было бы круто.
    >
    >IPFW это в первую очередь PF как packet filter, и не совсем
    >задача его смотреть как "notepad.exe" полез на evil.com - ИМХО кончено-же,
    >хотя наверно удобно.
    Согласен, однако уже несколько избалован функционалом файерволов под Windows

    >
    >Ваше приложение опять таки запускает пользователь со своим UID/GID?
    На привелигированных портах висят приложения с UID root или близким к нему по полномочиям.
    >П.Ф.
    >С помощью той-же системы MAC можно сказать кто что слушает без любого
    >PF.
    Ну вот разве что так. Но это требует большого и кропотливого конфигурирования, которое к тому же не отличается разнообразием и полнотой документации.

     

  • 1.27, 404 Not Found (?), 15:44, 24/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А сайт со статьей дифейснули что ли?
     
     
  • 2.28, товарисч (?), 17:50, 24/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А сайт со статьей дифейснули что ли?
    ага, враги пытались помешать меняя записи в DNS :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру