Проблема безопасности

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Dimon5
рядовой
Сообщения: 26
Зарегистрирован: 2009-12-05 3:44:34

Проблема безопасности

Непрочитанное сообщение Dimon5 » 2011-01-30 17:52:38

Есть сервер на FreeBSD 7.2
Установлен в ДЦ уже больше года назад.
Сейчас идут попытки взлома путем загрузки шелла, через директорию /tmp.
Директория смонтирована без никаких опций.

Да и вообще когда систему устанавливали, не знали о такой необходимости,
и походу диск (на сервере два диска объединенных в софтовый рейд Gmirror) разбит всего на два раздела тоесть swap, и остальная часть идет полностью для системы.

Код: Выделить всё

# Device		Mountpoint	FStype	Options		Dump	Pass#
/dev/mirror/gm0s1b		none		swap	sw		0	0
/dev/mirror/gm0s1a		/		ufs	rw,groupquota,userquota		1	1
/dev/cd0		/cdrom		cd9660	ro,noauto	0	0
Так, вот из-за участившихся попыток взлома, я хотел бы смонтировать разделы типа /tmp /var /home с опциями noexec nosuid.
Как это возможно, и возможно ли вообще это сделать на этой системе, без переустановки системы?
Прошу посоветовать как быть.
Заранее спасибо за ответ.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35198
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Проблема безопасности

Непрочитанное сообщение Alex Keda » 2011-01-30 18:38:31

перебивать диск
Убей их всех! Бог потом рассортирует...

Dimon5
рядовой
Сообщения: 26
Зарегистрирован: 2009-12-05 3:44:34

Re: Проблема безопасности

Непрочитанное сообщение Dimon5 » 2011-01-30 18:49:25

перебивать диск
тоесть данные полетят?

читал, что на Linux это можно сделать даже если первоначально tmp и не был разделом. Путем создания так называемых файл-разделов, и последующего их подмонтирования с нужными опциями.
Выходит во FreeBSD так нельзя сделать?

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Проблема безопасности

Непрочитанное сообщение vadim64 » 2011-01-30 19:04:41

Я предлагаю разобрать зеркало, создать нужные разделы на втором диске и перехать на него. есть возможность KVM?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Dimon5
рядовой
Сообщения: 26
Зарегистрирован: 2009-12-05 3:44:34

Re: Проблема безопасности

Непрочитанное сообщение Dimon5 » 2011-01-30 19:22:31

vadim64 писал(а):Я предлагаю разобрать зеркало, создать нужные разделы на втором диске и перехать на него. есть возможность KVM?
Да KVM есть, только вот опыта таковых переносов нету :(

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Re: Проблема безопасности

Непрочитанное сообщение risk94 » 2011-01-30 19:23:18

положите в /tmp/.htaccess

Код: Выделить всё

<Files ~ "\.(php|php3|php4|pl|cgi|txt)$">
    deny from all
</Files>
потом латайте дыры.

Dimon5
рядовой
Сообщения: 26
Зарегистрирован: 2009-12-05 3:44:34

Re: Проблема безопасности

Непрочитанное сообщение Dimon5 » 2011-01-30 19:32:28

risk94 писал(а):положите в /tmp/.htaccess

Код: Выделить всё

<Files ~ "\.(php|php3|php4|pl|cgi|txt)$">
deny from all
</Files>
потом латайте дыры.
Спасибо за совет.


А вообще поделитесь какие разделы монтируете на своих серверах в noexec nosuid?
Знаю, что /tmp нужно и /var.
А допустим раздел /home с юзерами его нужно в этими опциями монтировать?

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Проблема безопасности

Непрочитанное сообщение vadim64 » 2011-01-30 20:45:43

а кто у вас там лазиет?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35198
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Проблема безопасности

Непрочитанное сообщение Alex Keda » 2011-01-30 20:54:48

Dimon5 писал(а):
перебивать диск
тоесть данные полетят?

читал, что на Linux это можно сделать даже если первоначально tmp и не был разделом. Путем создания так называемых файл-разделов, и последующего их подмонтирования с нужными опциями.
Выходит во FreeBSD так нельзя сделать?
и во фре так можно
но - это изврат
Убей их всех! Бог потом рассортирует...

Dimon5
рядовой
Сообщения: 26
Зарегистрирован: 2009-12-05 3:44:34

Re: Проблема безопасности

Непрочитанное сообщение Dimon5 » 2011-01-30 21:40:03

vadim64 писал(а):а кто у вас там лазиет?
в директории /home есть юзеры у каждого своя папка, и своя группа, php в режиме fastcgi.
Так вот и хотелось бы узнать, как делают продвинутые пользователи с разделами, и нужны ли опции noexec nosuid на разделе с юзерами /home ?

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Проблема безопасности

Непрочитанное сообщение vadim64 » 2011-01-30 21:55:37

без ваших дополнительных показаний, на ваш вопрос однозначный ответ дать нельзя. вы должны сами решить.
для этого вам нужноЖ
сесть и два раза внимательно перечитать man mount
выписать на листочек №1 список опций, которые вы хотели бы использовать
выписать на листочек №2 список того, что и как делают у вас пользователи в разделе с хомяками
с учётом списка на листочке №2, прорядите список на листочке №1
Собственно переписав на чистый листочек №3 проряжённый список №1, вы получите с\ваш список опций для раздела с хомяками.
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Проблема безопасности

Непрочитанное сообщение vadim64 » 2011-01-30 21:59:25

Dimon5 писал(а):Да KVM есть, только вот опыта таковых переносов нету :(
советую почитать остросюжетный рассказ моего земляка :smile:
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.