Статья о безопастности FreeBSD

[Андрей Кнышев]

Дважды дизреспект "автору". Во первых, он не написал статью, а скоммуниздил довольно известную статью у довольно авторитетного эксперта, выдав ее за свою. Сей бред есть набор слов, вырванный из контекста двух статей одного номера Хакера (Спецвыпуск):

Первая: xakep.ru/magazine/xs/068/044/1.asp
Вторая: xakep.ru/magazine/xs/068/052/1.asp

Абсолютно четко видно - что копипейст. Причем в журнале написано намного более грамотно, и там автор рассматривает конкретный специализированный случай - хостинг, а явный дилетант Raven2000 подает эту информацию как общее решение для всего, чем и вызывает негатив в обсуждении на opennet.

Во-вторых - добавленный Рейвеном поверхностный бред в конце материала лишь еще больше создает впечатление о нем, как о непонимающем в вопросе человеке. Raven, когда ты использовал пару идей из статьи - ты можешь упомянуть ее в "литературе". А когда ты тупо скопипейстил весь материал - ставь копирайт автора. Хоть законы об авторском праве в России и находятся в дозачаточном состоянии, но получить по ушам можно иногда очень сильно, особенно от Геймленда.

Raven, не позорься, поставь копирайт автора.

_MiF_ (root()securitylab.co.il)
Спецвыпуск: Хакер, номер #068

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[abanamat]

вот что интересно.. а какер ру откуда скопипастил? неужто с хендбука
я в шоке.

[Гость]

вот что интересно.. а какер ру откуда скопипастил? неужто с хендбука
я в шоке.

Что он скопипейстил? Конфиги пхп/фтп/sysctl/apache/итд?! Не смешите мои тапочки, их нет в хендбуке.

[abanamat]

- отрежем, ОТРЕЖЕМ мересЬЕВУ НОГИ!!!
- не надо. НЕ НАдо! Я БУДУ летаТЬ!

(с) by х.з. продашен

[Andy]

Сей бред есть набор слов, вырванный из контекста двух статей одного номера Хакера (Спецвыпуск):
Первая: xakep.ru/magazine/xs/068/044/1.asp
Вторая: xakep.ru/magazine/xs/068/052/1.asp

Когда это в журнале Какер, публиковалось что-либо дельное? Сборище понторезов, пафосно повествующих о том какие они невъебенные, а остальные ламерье и лохи.

Абсолютно четко видно - что копипейст. Причем в журнале написано намного более грамотно, и там автор рассматривает конкретный специализированный случай - хостинг, а явный дилетант Raven2000 подает эту информацию как общее решение для всего, чем и вызывает негатив в обсуждении на opennet.

Лучше расскажите, что в обсуждении на опеннет вызывает позитив. Толпа дрочеров исходит на говно, обсирая все и вся. Поэтому опеннет никогда не станет серьезным тематическим порталом, а так и останется копилкой ссылок на другие страницы.

Во-вторых - добавленный Рейвеном поверхностный бред в конце материала лишь еще больше создает впечатление о нем, как о непонимающем в вопросе человеке. Raven, когда ты использовал пару идей из статьи - ты можешь упомянуть ее в "литературе". А когда ты тупо скопипейстил весь материал - ставь копирайт автора. Хоть законы об авторском праве в России и находятся в дозачаточном состоянии, но получить по ушам можно иногда очень сильно, особенно от Геймленда.

Raven, не позорься, поставь копирайт автора.

_MiF_ (root()securitylab.co.il)
Спецвыпуск: Хакер, номер #068

Ну ничто не мешает Вам написать не бред, и опубликовать его, ведь Вы же наверняка уровнем своего знания дадите фору непонимающим в вопросе людям. Второе, Равен упомянул в статье список литературы. Так что хуйню несущий, да не надорвется. Да кроме Геймленда никто ничего не пишет больше, остальные так, поссать зашли.

[dikens3]

Ауууууу. Люди.... (если есть такие исчо :-) )
Вот ссылка по которой можно понять шизофрению об аВТОРСКОМ праве. Всё ещё продолжающую развиваться, как это ни странно.

В статье:

Код: Выделить всё

Литература:
1) Unix руководство системного администратора (3 изд.)
2) Хакер спец 07/68/июль/2006
3) Жизнь :)

Так что рот рекомендую закрыть.

[Андрей Кнышев]

Когда это в журнале Какер, публиковалось что-либо дельное? Сборище понторезов, пафосно повествующих о том какие они невъебенные, а остальные ламерье и лохи.

Кроме понторезов относительно недавно стали писать и серьезные, авторитетные специалисты. ЗАРАЗА, _MiF_, Лукацкий итп.

Лучше расскажите, что в обсуждении на опеннет вызывает позитив. Толпа дрочеров исходит на говно, обсирая все и вся. Поэтому опеннет никогда не станет серьезным тематическим порталом, а так и останется копилкой ссылок на другие страницы.

Вы правы, но это личное дело опеннета

В статье:
Литература:
1) Unix руководство системного администратора (3 изд.)
2) Хакер спец 07/68/июль/2006
3) Жизнь
Так что рот рекомендую закрыть.

Я уже пояснил - в "литературу" пишут книги откуда берут пару предложений, мыслей, идей... А когда делают копи-пейст - копи-пейст делают и строчке с авторством.


А по поводу авторского права - вы немного неправильно меня поняли - дело не в том, что Рейвен скоммуниздил статью у Мифа - мне похер на них обоих, честно говоря. А вот то, что первый подписал своим именем работу второго - это неприятно. Это тоже самое как я возьму "Мастера и Маргариту" Булгакова, изменю одну букву в тексте и начну давать людям читать под своим авторством.

з.ы. мне вобщем монопенисуально, кто у кого что спер. Я просто отпостил, что статью сперли, и указал автору - Рейвену - что неплохо бы и восстановить справедливость.

[bakake]

Нет смысла спорить с г-ном "Андрей Кнышев", читающим журнал ксакеп. И потакать ему тоже нет смысла. Он будет бороться за "правду" до последнего издыхания этого форума.

Спасибо Равену за то, что в уличном нужнике по ошибке названным журналом раскопал пусть не изумруд, но все же половинку разумного зерна

[dikens3]

Я уже пояснил - в "литературу" пишут книги откуда берут пару предложений, мыслей, идей... А когда делают копи-пейст - копи-пейст делают и строчке с авторством.

Кто делает? Microsoft? Европа? Недавно видел список зарегистрированных торговых знаков MS. Чуть не упал. Идиотизм полный и их право. Только вот нафига мне при установке ПО Microsoft читать этот список? (Эдок я купил батон хлеба и должен прослушать аудиокассету, на которой записана история создания батона. И так каждый раз после покупки, каждый день. Каждый год?)
Нам тоже к этому стремиться?
Лично мне более приятно сослаться на журнал. Ибо Война и Мир знают многие, но гораздо меньше знают кто его написал. :-)
Указание журнала вполне приемлемо в данном случае.

Всем можно говорить - это не твоя статья, ты копипастил её из HandBook !!! И что? Завидно что-ль?
Указать всех создателей HandBook'а? И обязательно пусть читают сначала список, а потом саму статью.

Может чё утрирую, но смысл понятен будет. Не на всё нужно обращать внимание. В твоём случае сообщи автору и пусть сам посмотрит и выразит претензии. А пока воздух пинаем.

[Alex Keda]

То, что некоторые мысли у разных людей совпадают - не значит что что-то украдено.

[Гость]

Выкладываю статью
И так комментируем и высказываем свои мысли

Хотелось бы ключить в статьюю описание mod_security2. Так как синтаксис там совсем другой.

[Гость]

Здраствуйте, товарищи.
Помогите решить проблему. Есть freebsd 6.2. Хочу задать ограничения через login.conf.
Я добавил такие строки:

Код: Выделить всё

hosting:\
:copyright=/etc/COPYRIGHT:\
:welcome=/etc/motd:\
:setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\
:path=~/bin /bin /usr/bin /usr/local/bin:\
:manpath=/usr/share/man /usr/local/man:\
:nologin=/var/run/nologin:\
# Мах время использования процессора
:cputime=1h30m:\
# Мах кол-во памяти, выделяемой программе под данные
# Сам код программы и стэк не учитываются
:datasize=40M:\
# Сколько выделяем для стека программы
:stacksize=5M:\
# Мах размер физической памяти, выделяемой процессу
:memoryuse=45M:\
# Мах размер core файлов
:coredumpsize=1M:\
# Сколько файлов может открывать каждый процесс
:openfiles=128:\
# Сколько процессов может запускать пользователь
:maxproc=92:\
# Остальное берем из профиля default
:tc=default:

После этого я перестроил базу и изменил login class для юзера www (из под него запускается апач):

Код: Выделить всё

chpass www
#Changing user information for www.
Login: www
Password: *
Uid [#]: 80
Gid [# or name]: 80
Change [month day year]:
Expire [month day year]:
Class: hosting
Home directory: /nonexistent
Shell: /usr/sbin/nologin
Full Name: World Wide Web Owner
Office Location:
Office Phone:
Home Phone:

Тем не менее процесы не отстреливаются при достижении 45 Мб, а продолжают разростаться. Помогите разобраться.

[Гость]

вывод ulimit (sh) или limit (tcsh) можно посмотреть?
Есть подозрение, что ты неправильно оформил класс в login.conf (q.v.). В частности комментарии вряд ли можно ставить между

Код: Выделить всё

:foo:\
# wrong comment
:bar:

И получается

Код: Выделить всё

:foo:# wrong comment
:bar:

Итого: 2 строки после раскрытия \, а должна быть одна.
Вот аналогичный пример для sh(1):

Код: Выделить всё

ln -s /path/to/foo \
# wrong comment
/path/to/bar

и получаем /path/to/bar: not found, ибо sh посчитал сие за команду, т.к. она находилась в начале новой строки.

Мне кажется, в твоем login.conf похожая ошибка.

[dmon_s]

Поуберал коментарии из класса. Поменял параметры класса по-умолчанию:

Код: Выделить всё

%limit
cputime      unlimited
filesize     unlimited
datasize     524288 kbytes
stacksize    10240 kbytes
coredumpsize unlimited
memoryuse    92160 kbytes
vmemoryuse   92160 kbytes
descriptors  11095
memorylocked unlimited
maxproc      5547
sbsize       unlimited

Однако процессы эти настройки похоже игнорируют. Как узнать какие ограничение у конкретных запущенных процессов?

[Гость]

Однако процессы эти настройки похоже игнорируют. Как узнать какие ограничение у конкретных запущенных процессов?

Вот пример:

Код: Выделить всё

(~)! mount /proc/
(~). cd /proc/`pgrep fox`
(/proc/1645). ls -1
cmdline
ctl
dbregs
etype
file
fpregs
map
mem
note
notepg
regs
rlimit
status
(/proc/1645). cat rlimit 
cpu -1 -1
fsize -1 -1
data 536870912 536870912
stack 67108864 67108864
core -1 -1
rss -1 -1
memlock -1 -1
nproc 5547 5547
nofile 11095 11095
sbsize -1 -1
vmem -1 -1
(/proc/1645). limits -v10m fgrep >/dev/null --mmap -r fuck /usr/src/&
[2] 15409
(/proc/1645). cd /proc/`pgrep fgrep`
(/proc/15409). j
[1]  + Suspended                     man limits
[2]  - Running                       limits -v10m fgrep --mmap -r fuck /usr/src/ > /dev/null
(/proc/15409). fgrep vm rlimit 
vmem 10485760 10485760

Что выводит lim у ps(1) я че-то не понял, но при установке rss и vm лимита ps выводил `-'.

[dmon_s]

Все, ограничения уже работают. Я установил ограничения в класе default и перезапустил апач. Походу, демоны работают не из-под класса пользователя из-под которого запущены.

[ProFTPD]

Код: Выделить всё

# Имя профиля
hosting: \

что такое hosting? это пользователь?

чтобы ограничения для пользователя, можно написать єто в домашнюю директорию в файл .login.conf?

[Alex Keda]

с апачем интересно.
он запускается от рута, и потом меняет uid.
походу остаются лимиты для рута - т.е. анлим )

[ProFTP]

заметил ошибку
не Бронированный FreeBSD

а Бронированная FreeBSD, это женщина!

[qbic]

qbic, 2008-05-06 в 0:02:07

Что-то nodev у меня на /home и /var в седьмой версии фри
не пошел.... При загрузке ругается...

qbic, 2008-05-06 в 11:31:29

В FreeBSD 7.0 Release у mount отсутсвует опция nodev
увы и ах.

qbic, 2008-05-06 в 11:40:50

Более того при установке этой опции nodev на /home -
система перестает нормально грузиться - приходится в однопользовательском режиме монтировать / в режиме rw
и монтировать /usr чтобы убрать в fstab эту строчку.
После этих действий все начинает жить штатно.


И ВАще не безопасТность, просто Безопасность ...... рускоязычные маны читаешь, та же херня, с английского люди переводят, а по русски такие грамматические ошибки в тексте допускают.... низя так товарищи! хоть бы девушкам своим грамотным на редатирование текстик перед опубликованием давали .... )

За статью спасибо.
Но автора нужно было упомянуть. И вообще у автора принято спрашивать (в порядочных кругах) можно ли копировать его труд.
Только не надо на меня наезжать за эти слова - я в тефлоне.

[Alex Keda]

насчёт рода - не уверен

[sasha181]

Я прошу прощения за скорее всего ламерский вопрос, просто чувствую что ответ прост, а вот сам уже долго ищу и что-то никак не найду .
Как запретить пользователям читать файлы вне своего домашнего каталога?
В CentOs это реализуется как-то при помощи SELinux.
Может конечно файлы и читаются но список но когда пытаешься зайти в любую папку выдаёт ошибку и списка файлов нет.

[Alex Keda]

нифига не понял вопроса

[manefesto]

он хочет чтобы юзер мог прочесть файлы только в хомяке...а остальные нет...
ни там тебе /etc/fstab ни /etc/passwd

[Alex Keda]

а зачем?
в системе изначально всё хорошо и секурно.
не надо ломать - и всё будет и так хорошо