Статья о безопастности FreeBSD

[manefesto]

параноя у парня...
говорит что в линухах тк можно....соответственно фрям не доверяет наверное

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

прочитал статью, ничего статья, для общего развития очень даже ничего.
Однако я не нашел ни одного упоминания о полном отсутствии защиты от переполнения функций strcpy, strcat, scanf, о патчах SSP, нет также замечаний про ACL && MAC && POSIX.1e, нет также упоминаний про kern.securelevel && chflags и ограничительных флагах gcc, cc, cpp

[Raven2000]

Планировалась вторая часть да все руки недоходят.
+ я хочу ПОЛНОСТЬЮ переделать первую тк Очень много, что надо изменить и добавить (время знаете ли).. Ну это после диплома.

[AstraSerg]

Наткнулся на эту статью, копаясь в MAC А здесь по этому поводу ничего нет

[natan]

По статье:
- какой нафек logrotate? Чем newsyslog не угодил? Он же в стандартном мире присутствует.
- jail не нравится? зря - он неплохо описан(заморочек никаких нет), и в продакшене используется активно(напромер caravan'ом). Неплохо описано тут http://www.lissyara.su/?id=1197 только для моей работы пришлось security.jail.allow_raw_sockets=1 ставить


А в целом неплохо - небольшие хинты для мну оказались новыми.

[Raven2000]

См дату публикования статьи
джайл был тогда не фонтан.

[sc]

Добрый всем !!!
Чот давно не кто ни посещает.Хотя тема то должна быть живой! Вот хотел прикрутить logcheck ,ну чот так и не нашел документации по установки.После установки в систему

Код: Выделить всё

 server# uname -a
FreeBSD server.situ.ru 7.2-RELEASE FreeBSD 7.2-RELEASE #1: Fri Jul 31 17:46:11 MSD 2009

Присутствуют в системе два файла /usr/local/etc/logcheck/logcheck.conf $$ /usr/local/etc/logcheck/logcheck.logfiles .Добавилось при установки в cron :

Код: Выделить всё

0 10 * * * /usr/local/sbin /usr/local/sbin/logcheck

.И терь поннимаю судя по этому сообщению:

Код: Выделить всё

Warning: If you are seeing this message, your log files may not have been
checked!
Предупреждение: Если Вы видите это сообщение, ваши регистрационные файлы не могут проверены!
Details:
Could not run logtail or save output
Детали:
Не Могу запустить logtail или сохраняемый выход
Check temporary directory
Проверьте временную директорию
: /tmp/logcheck.ahZdpW
Also verify that the logcheck user can read all files referenced in
Также проверьте, что пользователь logcheck может прочитать все файлы указанные в
/etc/logcheck/logcheck.logfiles!
declare -x HOME="/var/db/logcheck"
declare -x LOGNAME="logcheck"
declare -x MAILTO="root"
declare -x OLDPWD
declare -x PATH="/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin"
declare -x PWD="/var/db/logcheck"
declare -x SHELL="/bin/sh"
declare -x SHLVL="1"
declare -x USER="logcheck"

Смотрю /etc/logcheck/logcheck.logfiles его соответственно нету и папки такой тоже нету.Смотрю в исполняемом файле /usr/local/sbin/logcheck написано:

Код: Выделить всё

Also verify that the logcheck user can read all files referenced in
/etc/logcheck/logcheck.logfiles!

Поменял на существующий файл в директории /usr/local/etc/logcheck.Перезапускаю командой:

Код: Выделить всё

su -m logcheck -c "/usr/local/bin/bash /usr/local/sbin/logcheck" 

И опять ругаетси :

Код: Выделить всё

Warning: If you are seeing this message, your log files may not have been
checked!

Details:
Could not run logtail or save output

Check temporary directory: /tmp/logcheck.SCHgtv

Also verify that the logcheck user can read all files referenced in
/usr/local/etc/logcheck/logcheck.logfiles!

Права на temp соответсвенно 1777(test server) Единственно может что то с логами которые хотел бы ,что при анализе оповещал.Смотрю
/var/log/messages права на чтения стоит-644. Вот дальше вопрос как заставить работать его?

[gyurza2000]

Mod_security, нашёл где то вот такие правила:

Код: Выделить всё

SecRule ip:requests "@eq 5" "id:'400002',phase:1,pass,nolog,setvar:ip.block=1,expirevar:ip.block=5,setvar:ip.blocks=+1,expirevar:ip.blocks=3600"
SecRule ip:blocks "@ge 5" "id:'400003',phase:1,deny,log,logdata:'req/sec: %{ip.requests}, blocks: %{ip.blocks}',status:403"
SecRule ip:block "@eq 1" "id:'400004',phase:1,deny,nolog,status:403"

В итоге Apache будет работать следующим образом:

Если с одного IP происходит более 5 подключений в секунду, то этот IP получает на все запросы к сайту 403 ошибку
IP разблокируется через 5 секунд
Если IP был заблокирован более 5 раз, то он блокируется на 1 час

Это позволяет

Разгрузить сервер от обработки скриптов для атакующих IP
Снимает нагрузку на физический сервер
Позволяет подключать другие гибкие правила, для обработки запросов

Так вот, копаясь в админке магаза OpenCart админ спустя пару другую секунд улетатет в БАН...я уж не знаю сколько там запросов в секунду идёт при администрировании, но, есть ли какие тонкости для настройки модсекюрити именно для интернет магазинов, что бы не случалось таких банов при пополнении ассортимента?