Статья о безопастности FreeBSD

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.

Нужна ли статья по безопастности FreeBSD

Опрос закончился 2007-06-11 8:52:33

Да нужна!
32
97%
Нах!
0
Голосов нет
Х.З.
1
3%
 
Всего голосов: 33

Андрей Кнышев
проходил мимо

Непрочитанное сообщение Андрей Кнышев » 2007-06-25 13:21:07

Дважды дизреспект "автору". Во первых, он не написал статью, а скоммуниздил довольно известную статью у довольно авторитетного эксперта, выдав ее за свою. Сей бред есть набор слов, вырванный из контекста двух статей одного номера Хакера (Спецвыпуск):

Первая: xakep.ru/magazine/xs/068/044/1.asp
Вторая: xakep.ru/magazine/xs/068/052/1.asp

Абсолютно четко видно - что копипейст. Причем в журнале написано намного более грамотно, и там автор рассматривает конкретный специализированный случай - хостинг, а явный дилетант Raven2000 подает эту информацию как общее решение для всего, чем и вызывает негатив в обсуждении на opennet.

Во-вторых - добавленный Рейвеном поверхностный бред в конце материала лишь еще больше создает впечатление о нем, как о непонимающем в вопросе человеке. Raven, когда ты использовал пару идей из статьи - ты можешь упомянуть ее в "литературе". А когда ты тупо скопипейстил весь материал - ставь копирайт автора. Хоть законы об авторском праве в России и находятся в дозачаточном состоянии, но получить по ушам можно иногда очень сильно, особенно от Геймленда.

Raven, не позорься, поставь копирайт автора.
_MiF_ (root()securitylab.co.il)
Спецвыпуск: Хакер, номер #068

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Непрочитанное сообщение abanamat » 2007-06-25 13:26:43

вот что интересно.. а какер ру откуда скопипастил? неужто с хендбука :shock:
я в шоке. :idea:

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-06-25 13:33:26

abanamat писал(а):вот что интересно.. а какер ру откуда скопипастил? неужто с хендбука :shock:
я в шоке. :idea:
Что он скопипейстил? Конфиги пхп/фтп/sysctl/apache/итд?! Не смешите мои тапочки, их нет в хендбуке.

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Непрочитанное сообщение abanamat » 2007-06-25 13:37:03

- отрежем, ОТРЕЖЕМ мересЬЕВУ НОГИ!!!
- не надо. НЕ НАдо! Я БУДУ летаТЬ!

(с) by х.з. продашен

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Непрочитанное сообщение Andy » 2007-06-25 14:13:58

Андрей Кнышев писал(а):Сей бред есть набор слов, вырванный из контекста двух статей одного номера Хакера (Спецвыпуск):
Первая: xakep.ru/magazine/xs/068/044/1.asp
Вторая: xakep.ru/magazine/xs/068/052/1.asp
Когда это в журнале Какер, публиковалось что-либо дельное? Сборище понторезов, пафосно повествующих о том какие они невъебенные, а остальные ламерье и лохи.
Андрей Кнышев писал(а): Абсолютно четко видно - что копипейст. Причем в журнале написано намного более грамотно, и там автор рассматривает конкретный специализированный случай - хостинг, а явный дилетант Raven2000 подает эту информацию как общее решение для всего, чем и вызывает негатив в обсуждении на opennet.
Лучше расскажите, что в обсуждении на опеннет вызывает позитив. Толпа дрочеров исходит на говно, обсирая все и вся. Поэтому опеннет никогда не станет серьезным тематическим порталом, а так и останется копилкой ссылок на другие страницы.
Андрей Кнышев писал(а): Во-вторых - добавленный Рейвеном поверхностный бред в конце материала лишь еще больше создает впечатление о нем, как о непонимающем в вопросе человеке. Raven, когда ты использовал пару идей из статьи - ты можешь упомянуть ее в "литературе". А когда ты тупо скопипейстил весь материал - ставь копирайт автора. Хоть законы об авторском праве в России и находятся в дозачаточном состоянии, но получить по ушам можно иногда очень сильно, особенно от Геймленда.

Raven, не позорься, поставь копирайт автора.
_MiF_ (root()securitylab.co.il)
Спецвыпуск: Хакер, номер #068
Ну ничто не мешает Вам написать не бред, и опубликовать его, ведь Вы же наверняка уровнем своего знания дадите фору непонимающим в вопросе людям. Второе, Равен упомянул в статье список литературы. Так что хуйню несущий, да не надорвется. Да кроме Геймленда никто ничего не пишет больше, остальные так, поссать зашли.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-06-25 14:20:11

Ауууууу. Люди.... (если есть такие исчо :-) )
Вот ссылка по которой можно понять шизофрению об аВТОРСКОМ праве. Всё ещё продолжающую развиваться, как это ни странно.

В статье:

Код: Выделить всё

Литература:
1) Unix руководство системного администратора (3 изд.)
2) Хакер спец 07/68/июль/2006
3) Жизнь :)
Так что рот рекомендую закрыть.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Андрей Кнышев
проходил мимо

Непрочитанное сообщение Андрей Кнышев » 2007-06-25 15:30:52

Когда это в журнале Какер, публиковалось что-либо дельное? Сборище понторезов, пафосно повествующих о том какие они невъебенные, а остальные ламерье и лохи.
Кроме понторезов относительно недавно стали писать и серьезные, авторитетные специалисты. ЗАРАЗА, _MiF_, Лукацкий итп.
Лучше расскажите, что в обсуждении на опеннет вызывает позитив. Толпа дрочеров исходит на говно, обсирая все и вся. Поэтому опеннет никогда не станет серьезным тематическим порталом, а так и останется копилкой ссылок на другие страницы.
Вы правы, но это личное дело опеннета :)
В статье:
Литература:
1) Unix руководство системного администратора (3 изд.)
2) Хакер спец 07/68/июль/2006
3) Жизнь :)
Так что рот рекомендую закрыть.
Я уже пояснил - в "литературу" пишут книги откуда берут пару предложений, мыслей, идей... А когда делают копи-пейст - копи-пейст делают и строчке с авторством.


А по поводу авторского права - вы немного неправильно меня поняли - дело не в том, что Рейвен скоммуниздил статью у Мифа - мне похер на них обоих, честно говоря. А вот то, что первый подписал своим именем работу второго - это неприятно. Это тоже самое как я возьму "Мастера и Маргариту" Булгакова, изменю одну букву в тексте и начну давать людям читать под своим авторством.

з.ы. мне вобщем монопенисуально, кто у кого что спер. Я просто отпостил, что статью сперли, и указал автору - Рейвену - что неплохо бы и восстановить справедливость.

Аватара пользователя
bakake
сержант
Сообщения: 265
Зарегистрирован: 2006-11-21 14:04:58

Непрочитанное сообщение bakake » 2007-06-25 15:45:13

Нет смысла спорить с г-ном "Андрей Кнышев", читающим журнал ксакеп. И потакать ему тоже нет смысла. Он будет бороться за "правду" до последнего издыхания этого форума.

Спасибо Равену за то, что в уличном нужнике по ошибке названным журналом раскопал пусть не изумруд, но все же половинку разумного зерна :)

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-06-25 16:40:11

Я уже пояснил - в "литературу" пишут книги откуда берут пару предложений, мыслей, идей... А когда делают копи-пейст - копи-пейст делают и строчке с авторством.
Кто делает? Microsoft? Европа? Недавно видел список зарегистрированных торговых знаков MS. Чуть не упал. Идиотизм полный и их право. Только вот нафига мне при установке ПО Microsoft читать этот список? (Эдок я купил батон хлеба и должен прослушать аудиокассету, на которой записана история создания батона. И так каждый раз после покупки, каждый день. Каждый год?)
Нам тоже к этому стремиться?
Лично мне более приятно сослаться на журнал. Ибо Война и Мир знают многие, но гораздо меньше знают кто его написал. :-)
Указание журнала вполне приемлемо в данном случае.

Всем можно говорить - это не твоя статья, ты копипастил её из HandBook !!! И что? Завидно что-ль?
Указать всех создателей HandBook'а? И обязательно пусть читают сначала список, а потом саму статью.

Может чё утрирую, но смысл понятен будет. Не на всё нужно обращать внимание. В твоём случае сообщи автору и пусть сам посмотрит и выразит претензии. А пока воздух пинаем.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-06-25 20:10:09

То, что некоторые мысли у разных людей совпадают - не значит что что-то украдено.
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение Гость » 2007-07-06 7:47:58

Raven2000 писал(а):Выкладываю статью
И так комментируем и высказываем свои мысли :)
Хотелось бы ключить в статьюю описание mod_security2. Так как синтаксис там совсем другой.

Гость
проходил мимо

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение Гость » 2008-04-22 16:54:59

Здраствуйте, товарищи.
Помогите решить проблему. Есть freebsd 6.2. Хочу задать ограничения через login.conf.
Я добавил такие строки:

Код: Выделить всё

hosting:\
:copyright=/etc/COPYRIGHT:\
:welcome=/etc/motd:\
:setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\
:path=~/bin /bin /usr/bin /usr/local/bin:\
:manpath=/usr/share/man /usr/local/man:\
:nologin=/var/run/nologin:\
# Мах время использования процессора
:cputime=1h30m:\
# Мах кол-во памяти, выделяемой программе под данные
# Сам код программы и стэк не учитываются
:datasize=40M:\
# Сколько выделяем для стека программы
:stacksize=5M:\
# Мах размер физической памяти, выделяемой процессу
:memoryuse=45M:\
# Мах размер core файлов
:coredumpsize=1M:\
# Сколько файлов может открывать каждый процесс
:openfiles=128:\
# Сколько процессов может запускать пользователь
:maxproc=92:\
# Остальное берем из профиля default
:tc=default:
После этого я перестроил базу и изменил login class для юзера www (из под него запускается апач):

Код: Выделить всё

chpass www
#Changing user information for www.
Login: www
Password: *
Uid [#]: 80
Gid [# or name]: 80
Change [month day year]:
Expire [month day year]:
Class: hosting
Home directory: /nonexistent
Shell: /usr/sbin/nologin
Full Name: World Wide Web Owner
Office Location:
Office Phone:
Home Phone:
Тем не менее процесы не отстреливаются при достижении 45 Мб, а продолжают разростаться. Помогите разобраться.

Гость
проходил мимо

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение Гость » 2008-04-22 19:42:37

вывод ulimit (sh) или limit (tcsh) можно посмотреть?
Есть подозрение, что ты неправильно оформил класс в login.conf (q.v.). В частности комментарии вряд ли можно ставить между

Код: Выделить всё

:foo:\
# wrong comment
:bar:
И получается

Код: Выделить всё

:foo:# wrong comment
:bar:
Итого: 2 строки после раскрытия \, а должна быть одна.
Вот аналогичный пример для sh(1):

Код: Выделить всё

ln -s /path/to/foo \
# wrong comment
/path/to/bar
и получаем /path/to/bar: not found, ибо sh посчитал сие за команду, т.к. она находилась в начале новой строки.

Мне кажется, в твоем login.conf похожая ошибка.

dmon_s
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-04-22 16:33:28

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение dmon_s » 2008-04-22 23:47:48

Поуберал коментарии из класса. Поменял параметры класса по-умолчанию:

Код: Выделить всё

%limit
cputime      unlimited
filesize     unlimited
datasize     524288 kbytes
stacksize    10240 kbytes
coredumpsize unlimited
memoryuse    92160 kbytes
vmemoryuse   92160 kbytes
descriptors  11095
memorylocked unlimited
maxproc      5547
sbsize       unlimited
Однако процессы эти настройки похоже игнорируют. Как узнать какие ограничение у конкретных запущенных процессов?

Гость
проходил мимо

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение Гость » 2008-04-23 2:07:21

dmon_s писал(а):Однако процессы эти настройки похоже игнорируют. Как узнать какие ограничение у конкретных запущенных процессов?
Вот пример:

Код: Выделить всё

(~)! mount /proc/
(~). cd /proc/`pgrep fox`
(/proc/1645). ls -1
cmdline
ctl
dbregs
etype
file
fpregs
map
mem
note
notepg
regs
rlimit
status
(/proc/1645). cat rlimit 
cpu -1 -1
fsize -1 -1
data 536870912 536870912
stack 67108864 67108864
core -1 -1
rss -1 -1
memlock -1 -1
nproc 5547 5547
nofile 11095 11095
sbsize -1 -1
vmem -1 -1
(/proc/1645). limits -v10m fgrep >/dev/null --mmap -r fuck /usr/src/&
[2] 15409
(/proc/1645). cd /proc/`pgrep fgrep`
(/proc/15409). j
[1]  + Suspended                     man limits
[2]  - Running                       limits -v10m fgrep --mmap -r fuck /usr/src/ > /dev/null
(/proc/15409). fgrep vm rlimit 
vmem 10485760 10485760
Что выводит lim у ps(1) я че-то не понял, но при установке rss и vm лимита ps выводил `-'.

dmon_s
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-04-22 16:33:28

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение dmon_s » 2008-04-23 15:47:13

Все, ограничения уже работают. Я установил ограничения в класе default и перезапустил апач. Походу, демоны работают не из-под класса пользователя из-под которого запущены. :?

ProFTPD
проходил мимо

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение ProFTPD » 2008-04-24 0:18:59

Код: Выделить всё

# Имя профиля
hosting: \
что такое hosting? это пользователь?

чтобы ограничения для пользователя, можно написать єто в домашнюю директорию в файл .login.conf?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение Alex Keda » 2008-04-28 0:22:50

с апачем интересно.
он запускается от рута, и потом меняет uid.
походу остаются лимиты для рута - т.е. анлим =))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение ProFTP » 2008-05-02 18:41:34

заметил ошибку
не Бронированный FreeBSD

а Бронированная FreeBSD, это женщина!
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

qbic
проходил мимо

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение qbic » 2008-05-06 11:04:06

qbic, 2008-05-06 в 0:02:07

Что-то nodev у меня на /home и /var в седьмой версии фри
не пошел.... При загрузке ругается...

qbic, 2008-05-06 в 11:31:29

В FreeBSD 7.0 Release у mount отсутсвует опция nodev
увы и ах.

qbic, 2008-05-06 в 11:40:50

Более того при установке этой опции nodev на /home -
система перестает нормально грузиться - приходится в однопользовательском режиме монтировать / в режиме rw
и монтировать /usr чтобы убрать в fstab эту строчку.
После этих действий все начинает жить штатно.


И ВАще не безопасТность, просто Безопасность ...... рускоязычные маны читаешь, та же херня, с английского люди переводят, а по русски такие грамматические ошибки в тексте допускают.... низя так товарищи! хоть бы девушкам своим грамотным на редатирование текстик перед опубликованием давали .... ;))

За статью спасибо.
Но автора нужно было упомянуть. И вообще у автора принято спрашивать (в порядочных кругах) можно ли копировать его труд.
Только не надо на меня наезжать за эти слова - я в тефлоне.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение Alex Keda » 2008-05-20 16:53:13

насчёт рода - не уверен =)
Убей их всех! Бог потом рассортирует...

sasha181
сержант
Сообщения: 169
Зарегистрирован: 2008-02-04 17:02:30
Откуда: Краснодар

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение sasha181 » 2008-06-06 12:49:37

Я прошу прощения за скорее всего ламерский вопрос, просто чувствую что ответ прост, а вот сам уже долго ищу и что-то никак не найду :-(.
Как запретить пользователям читать файлы вне своего домашнего каталога?
В CentOs это реализуется как-то при помощи SELinux.
Может конечно файлы и читаются но список но когда пытаешься зайти в любую папку выдаёт ошибку и списка файлов нет.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение Alex Keda » 2008-06-07 9:25:07

нифига не понял вопроса
Убей их всех! Бог потом рассортирует...

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение manefesto » 2008-06-07 10:46:18

он хочет чтобы юзер мог прочесть файлы только в хомяке...а остальные нет...
ни там тебе /etc/fstab ни /etc/passwd
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение Alex Keda » 2008-06-07 12:22:34

а зачем?
в системе изначально всё хорошо и секурно.
не надо ломать - и всё будет и так хорошо
Убей их всех! Бог потом рассортирует...