Статья о безопастности FreeBSD

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.

Нужна ли статья по безопастности FreeBSD

Опрос закончился 2007-06-11 8:52:33

Да нужна!
32
97%
Нах!
0
Голосов нет
Х.З.
1
3%
 
Всего голосов: 33

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение manefesto » 2008-06-07 17:08:40

параноя у парня...
говорит что в линухах тк можно....соответственно фрям не доверяет наверное
я такой яростный шо аж пиздеЦ
Изображение

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение zingel » 2008-06-16 5:52:51

прочитал статью, ничего статья, для общего развития очень даже ничего.
Однако я не нашел ни одного упоминания о полном отсутствии защиты от переполнения функций strcpy, strcat, scanf, о патчах SSP, нет также замечаний про ACL && MAC && POSIX.1e, нет также упоминаний про kern.securelevel && chflags и ограничительных флагах gcc, cc, cpp
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Raven2000
-=_UNIX_=-
Сообщения: 4423
Зарегистрирован: 2006-10-29 17:59:13
Откуда: Там, где нас нет.
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение Raven2000 » 2008-06-16 18:56:35

Планировалась вторая часть да все руки недоходят.
+ я хочу ПОЛНОСТЬЮ переделать первую тк Очень много, что надо изменить и добавить (время знаете ли).. Ну это после диплома.
Если хочешь разобраться... Так иди и разбирайся!
[ igNix.ru | Технология жизни - технологии будущего ] [ Forum.igNix.ru ]

AstraSerg
проходил мимо

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение AstraSerg » 2008-07-24 16:35:16

Наткнулся на эту статью, копаясь в MAC А здесь по этому поводу ничего нет :(

natan
проходил мимо

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение natan » 2008-08-05 17:22:03

По статье:
- какой нафек logrotate? Чем newsyslog не угодил? Он же в стандартном мире присутствует.
- jail не нравится? зря - он неплохо описан(заморочек никаких нет), и в продакшене используется активно(напромер caravan'ом). Неплохо описано тут http://www.lissyara.su/?id=1197 только для моей работы пришлось security.jail.allow_raw_sockets=1 ставить


А в целом неплохо - небольшие хинты для мну оказались новыми.

Аватара пользователя
Raven2000
-=_UNIX_=-
Сообщения: 4423
Зарегистрирован: 2006-10-29 17:59:13
Откуда: Там, где нас нет.
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение Raven2000 » 2008-08-09 18:40:28

См дату публикования статьи
джайл был тогда не фонтан.
Если хочешь разобраться... Так иди и разбирайся!
[ igNix.ru | Технология жизни - технологии будущего ] [ Forum.igNix.ru ]

sc
проходил мимо
Сообщения: 5
Зарегистрирован: 2009-08-04 15:11:30
Откуда: Коломна
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение sc » 2009-08-07 13:57:45

Добрый всем !!!
Чот давно не кто ни посещает.Хотя тема то должна быть живой! Вот хотел прикрутить logcheck ,ну чот так и не нашел документации по установки.После установки в систему

Код: Выделить всё

 server# uname -a
FreeBSD server.situ.ru 7.2-RELEASE FreeBSD 7.2-RELEASE #1: Fri Jul 31 17:46:11 MSD 2009
Присутствуют в системе два файла /usr/local/etc/logcheck/logcheck.conf $$ /usr/local/etc/logcheck/logcheck.logfiles .Добавилось при установки в cron :

Код: Выделить всё

0 10 * * * /usr/local/sbin /usr/local/sbin/logcheck
.И терь поннимаю судя по этому сообщению:

Код: Выделить всё

Warning: If you are seeing this message, your log files may not have been
checked!
Предупреждение: Если Вы видите это сообщение, ваши регистрационные файлы не могут проверены!
Details:
Could not run logtail or save output
Детали:
Не Могу запустить logtail или сохраняемый выход
Check temporary directory
Проверьте временную директорию
: /tmp/logcheck.ahZdpW
Also verify that the logcheck user can read all files referenced in
Также проверьте, что пользователь logcheck может прочитать все файлы указанные в
/etc/logcheck/logcheck.logfiles!
declare -x HOME="/var/db/logcheck"
declare -x LOGNAME="logcheck"
declare -x MAILTO="root"
declare -x OLDPWD
declare -x PATH="/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin"
declare -x PWD="/var/db/logcheck"
declare -x SHELL="/bin/sh"
declare -x SHLVL="1"
declare -x USER="logcheck"
Смотрю /etc/logcheck/logcheck.logfiles его соответственно нету и папки такой тоже нету.Смотрю в исполняемом файле /usr/local/sbin/logcheck написано:

Код: Выделить всё

Also verify that the logcheck user can read all files referenced in
/etc/logcheck/logcheck.logfiles!
Поменял на существующий файл в директории /usr/local/etc/logcheck.Перезапускаю командой:

Код: Выделить всё

su -m logcheck -c "/usr/local/bin/bash /usr/local/sbin/logcheck" 
И опять ругаетси :

Код: Выделить всё

Warning: If you are seeing this message, your log files may not have been
checked!

Details:
Could not run logtail or save output

Check temporary directory: /tmp/logcheck.SCHgtv

Also verify that the logcheck user can read all files referenced in
/usr/local/etc/logcheck/logcheck.logfiles!
Права на temp соответсвенно 1777(test server) :unknown: Единственно может что то с логами которые хотел бы ,что при анализе оповещал.Смотрю
/var/log/messages права на чтения стоит-644. Вот дальше вопрос как заставить работать его? :cz2:

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Re: Статья о безопастности FreeBSD

Непрочитанное сообщение gyurza2000 » 2013-10-09 23:41:50

Mod_security, нашёл где то вот такие правила:

Код: Выделить всё

SecRule ip:requests "@eq 5" "id:'400002',phase:1,pass,nolog,setvar:ip.block=1,expirevar:ip.block=5,setvar:ip.blocks=+1,expirevar:ip.blocks=3600"
SecRule ip:blocks "@ge 5" "id:'400003',phase:1,deny,log,logdata:'req/sec: %{ip.requests}, blocks: %{ip.blocks}',status:403"
SecRule ip:block "@eq 1" "id:'400004',phase:1,deny,nolog,status:403"
В итоге Apache будет работать следующим образом:

Если с одного IP происходит более 5 подключений в секунду, то этот IP получает на все запросы к сайту 403 ошибку
IP разблокируется через 5 секунд
Если IP был заблокирован более 5 раз, то он блокируется на 1 час

Это позволяет

Разгрузить сервер от обработки скриптов для атакующих IP
Снимает нагрузку на физический сервер
Позволяет подключать другие гибкие правила, для обработки запросов

Так вот, копаясь в админке магаза OpenCart админ спустя пару другую секунд улетатет в БАН...я уж не знаю сколько там запросов в секунду идёт при администрировании, но, есть ли какие тонкости для настройки модсекюрити именно для интернет магазинов, что бы не случалось таких банов при пополнении ассортимента?
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1