Страница 1 из 1
Проблема безопасности
Добавлено: 2011-01-30 17:52:38
Dimon5
Есть сервер на FreeBSD 7.2
Установлен в ДЦ уже больше года назад.
Сейчас идут попытки взлома путем загрузки шелла, через директорию /tmp.
Директория смонтирована без никаких опций.
Да и вообще когда систему устанавливали, не знали о такой необходимости,
и походу диск (на сервере два диска объединенных в софтовый рейд Gmirror) разбит всего на два раздела тоесть swap, и остальная часть идет полностью для системы.
Код: Выделить всё
# Device Mountpoint FStype Options Dump Pass#
/dev/mirror/gm0s1b none swap sw 0 0
/dev/mirror/gm0s1a / ufs rw,groupquota,userquota 1 1
/dev/cd0 /cdrom cd9660 ro,noauto 0 0
Так, вот из-за участившихся попыток взлома, я хотел бы смонтировать разделы типа /tmp /var /home с опциями noexec nosuid.
Как это возможно, и возможно ли вообще это сделать на этой системе, без переустановки системы?
Прошу посоветовать как быть.
Заранее спасибо за ответ.
Re: Проблема безопасности
Добавлено: 2011-01-30 18:38:31
Alex Keda
перебивать диск
Re: Проблема безопасности
Добавлено: 2011-01-30 18:49:25
Dimon5
перебивать диск
тоесть данные полетят?
читал, что на Linux это можно сделать даже если первоначально tmp и не был разделом. Путем создания так называемых файл-разделов, и последующего их подмонтирования с нужными опциями.
Выходит во FreeBSD так нельзя сделать?
Re: Проблема безопасности
Добавлено: 2011-01-30 19:04:41
vadim64
Я предлагаю разобрать зеркало, создать нужные разделы на втором диске и перехать на него. есть возможность KVM?
Re: Проблема безопасности
Добавлено: 2011-01-30 19:22:31
Dimon5
vadim64 писал(а):Я предлагаю разобрать зеркало, создать нужные разделы на втором диске и перехать на него. есть возможность KVM?
Да KVM есть, только вот опыта таковых переносов нету
Re: Проблема безопасности
Добавлено: 2011-01-30 19:23:18
risk94
положите в /tmp/.htaccess
Код: Выделить всё
<Files ~ "\.(php|php3|php4|pl|cgi|txt)$">
deny from all
</Files>
потом латайте дыры.
Re: Проблема безопасности
Добавлено: 2011-01-30 19:32:28
Dimon5
risk94 писал(а):положите в /tmp/.htaccess
Код: Выделить всё
<Files ~ "\.(php|php3|php4|pl|cgi|txt)$">
deny from all
</Files>
потом латайте дыры.
Спасибо за совет.
А вообще поделитесь какие разделы монтируете на своих серверах в noexec nosuid?
Знаю, что /tmp нужно и /var.
А допустим раздел /home с юзерами его нужно в этими опциями монтировать?
Re: Проблема безопасности
Добавлено: 2011-01-30 20:45:43
vadim64
а кто у вас там лазиет?
Re: Проблема безопасности
Добавлено: 2011-01-30 20:54:48
Alex Keda
Dimon5 писал(а):перебивать диск
тоесть данные полетят?
читал, что на Linux это можно сделать даже если первоначально tmp и не был разделом. Путем создания так называемых файл-разделов, и последующего их подмонтирования с нужными опциями.
Выходит во FreeBSD так нельзя сделать?
и во фре так можно
но - это изврат
Re: Проблема безопасности
Добавлено: 2011-01-30 21:40:03
Dimon5
vadim64 писал(а):а кто у вас там лазиет?
в директории /home есть юзеры у каждого своя папка, и своя группа, php в режиме fastcgi.
Так вот и хотелось бы узнать, как делают продвинутые пользователи с разделами, и нужны ли опции noexec nosuid на разделе с юзерами /home ?
Re: Проблема безопасности
Добавлено: 2011-01-30 21:55:37
vadim64
без ваших дополнительных показаний, на ваш вопрос однозначный ответ дать нельзя. вы должны сами решить.
для этого вам нужноЖ
сесть и два раза внимательно перечитать man mount
выписать на листочек №1 список опций, которые вы хотели бы использовать
выписать на листочек №2 список того, что и как делают у вас пользователи в разделе с хомяками
с учётом списка на листочке №2, прорядите список на листочке №1
Собственно переписав на чистый листочек №3 проряжённый список №1, вы получите с\ваш список опций для раздела с хомяками.
Re: Проблема безопасности
Добавлено: 2011-01-30 21:59:25
vadim64
Dimon5 писал(а):Да KVM есть, только вот опыта таковых переносов нету
советую почитать
остросюжетный рассказ моего земляка