Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Защита серверов на базе FreeBSD

Автор: articlebot
Дата сообщения: 19.08.2003 02:42
Оригинал документа:
www.sddi.net/FBSDSecCheckList.html
Перевод и добавления: by ZmeY (zmey@kahovka.net) Этот документ является списком параметров защиты для применения на FreeBSD серверах.

Читать
Автор: ACC
Дата сообщения: 20.08.2003 07:58
Небольшая опечатка.


Цитата:
Убедитесь, что он начинается с . Это говорит о том, что вы удачно перешли с md5 алгоритма криптования на Blowfish.


А должно быть так - ...начинается с $2$
Автор: djelektronik
Дата сообщения: 20.08.2003 18:04
чето стоящее за последнее время
давай еще такие переводы с конкретными примерами
Автор: lynx
Дата сообщения: 22.08.2003 12:52
ACC


Цитата:
Небольшая опечатка.


Цитата:
Убедитесь, что он начинается с . Это говорит о том, что вы удачно перешли с md5 алгоритма криптования на Blowfish.


А должно быть так - ...начинается с $2$


Спасибо. Исправлено. Это не автор опечатался, это при постинге так получилось - символ $ потерялся с преобразованием.

djelektronik

Да. Статья рульная. Читала с большим интересом.

Вопрос уточняющий:


Цитата:
используем rdate вместо ntp для синхронизации часов сервера с мировым временем.


Не поняла толком преимуществ.

Автор: alexhemp
Дата сообщения: 22.08.2003 13:31
lynx
Видимо имеется ввиду, что вместо ntpd юзаем rdate - но с таким-же успехом можно вырубить ntpd и запускать ntpdate периодически.

Вообще ntpd - полезная штука. Но нужно грамотно ограничить к нему доступ снаружи.
Автор: crazyElephant
Дата сообщения: 26.08.2003 18:57
содержательно и по существу (как серпом [censored by lynx])
Автор: lynx
Дата сообщения: 27.08.2003 02:34
Вот еще вопросик:


Цитата:

2. Настройка


Отключаем inetd.

....
6. rc.conf


vi /etc/rc.conf

inetd_enable="NO"
# Better ways to run your daemons



А у меня многое через него запущено. В частности - закрыть/открыть ftp, я правлю /etc/inetd.conf и kill -HUP 83 (83 - /usr/sbin/inetd)




Автор: new_yorik
Дата сообщения: 27.08.2003 09:58
lynx
запускай фтп без инетд
Автор: Zmey
Дата сообщения: 27.08.2003 16:27
lynx
Если существует необходимость то лучше, как мне кажется использовать xinetd, по первой будет конечно обращаться к документации что бы правильно описать правила запуска в конфиге, но потом тебе понравиться.
Вообще я замечал во многих документах inetd_enalbe="NO" входит в стандарт везде так пишут толковое объяснение можно получить здесь. Написано там примерно следующее (могут быть ошибки т.к. переводил очень быстро):

Цитата:
Если вам необходимо использовать inetd убедитесь в том что запуски сервисов через inetd хорошо логируются и что количество запусков одной службы достаточно для того что бы вам не устроили ДОС атаку. По умолчанию количество одновременно запущенных сервисов через inetd = 256 я рекомендую 1024 (вы можете настроить это на своем компьютере если считаете это необходимым). Если у вас медленное соединение с Интернет, то это не играет роли, если же у вас быстроее соединение то некто создав сценарий подключения к вашему серверу, который создаст более 256 соединений и тогда ваш inetd не сможет отвечать на последующие запросы. С другой стороны если вы хотите настроить кол-во одновременных соедиенений равное 1024, убедитесь что у вас достаточно мощный компьютер, иначе открытие 1024-х одновременных соединений telnet может вывести из строя ваш компьютер.
Автор: dl
Дата сообщения: 01.09.2003 09:42
В файл /etc/hosts.allow лучшее, как мне кажется, вставлять в заключение такую конструкцию:

ALL : ALL \
: spawn (echo Access deny. | \
/usr/bin/mail -s "tcpd\: %d@%h[%a] unautorized access to me!" root) & \
: deny

а не запрещать доступ к отдельным видам сервисов....

Добавлено
Цитата:
"
#pseudo-device bpf
#Berkley Packet Filter. Защита от снифинга на уровне ядра. #Не убирайте эту опцию, если собираетесь использовать dhcp.
"

И это тоже не совсем точно. Псевдо девайз bpf требуется не только dhcp.
Он также требуется, вобщем-то, нужным вещам как tcpdump, trafshow...
Автор: ACC
Дата сообщения: 01.09.2003 11:57
На мой взгляд, не совсем корректно ограничивать на чтение файл
/etc/hosts.allow только для root, т.к. сервисы работающие не от root'а
будут "ругаться" об отсутствии возможности прочитать этот файл.
Автор: ginger
Дата сообщения: 02.09.2003 11:01
...ух, и меня сюда занесло;)
И так начнемс...

1. Не вижу никакого смысла в переходе с MD5 на Blowfish.
2. ntpd, нужно устанавливать в /chroot jail и запускать от имени пользователя с ограниченными правами, тогда ненужное телодвижение с rdate отпадает само собой...
3. inetd, как и sendmail пора на помойку... Вместо inetd, рекомендуется использовать xinetd или UCSPI-TCP...
4. hosts.[allow|deny] тоже выкинуть... опять же, все это можно заменить используя xinetd... или UCSPI-TCP...
Автор: new_yorik
Дата сообщения: 02.09.2003 22:30
ginger
с каких это пор
Цитата:
sendmail пора на помойку
Автор: ginger
Дата сообщения: 03.09.2003 08:26
new_yorik
Дело в том, что sendmail самый дерявый MTA из всех существующих, к тому же громозок, на сегодняшний день лучший выбор - это Postfix или Exim, Qmail не рекомендуется, т.к. утратил позицию security mta, ввиду того что, для того чтобы его довести до нужного уровня безопасности требуется наложить кучу патчей, большая часть которых между собой не совместима...

P.S. Если слухи не врут сами FreeBSD'ники , использует Postfix...;)
Автор: new_yorik
Дата сообщения: 03.09.2003 08:31
ginger
я не думаю что он на много дырявее постфикса. громоздок потому что наиболее функционален. а фрибсд орг действительно использует Postfix
Автор: ginger
Дата сообщения: 03.09.2003 09:01
new_yorik
В том, то и дело что дырявее...;)
У Postfix не найдено дыр по сей день... новый релиз это не security fix, а какой-то мелкий bug fix...

Цитата:
громоздок потому что наиболее функционален

Postfix не уступает по функциональности sendmail, а Exim переплюнул уже давно!
Автор: new_yorik
Дата сообщения: 03.09.2003 09:13
дыры которых в постфикс нет
про все остальное промолчу, ибо говорю то что видел, а ексим я не видел.
Автор: ginger
Дата сообщения: 03.09.2003 09:25
new_yorik

Цитата:
дыры которых в постфикс нет

Неужели я сказала, что в Postfix'е нет дыр? Я сказала что в Postfix'е нет дыр связанных с безопасностью, чего не скажешь про sendmail!
Автор: dl
Дата сообщения: 03.09.2003 14:30

Дыры есть везде, просто где-то их не нашли.

Надо использовать то, что знаешь.
Но знать надо хорошо.


В нормальных руках и sendmail хорош, как в корявых postfix глюкав.
Нет универсальных решений:
где-то inetd хватает, где-то xinetd ставить надо
где-то sendmail'а хватит за глаза, где-то что-то иное
Все зависит от задачи и времени, выделенного, для задачи.
Автор: ginger
Дата сообщения: 03.09.2003 14:58
dl

Цитата:
Надо использовать то, что знаешь.

Не всегда так... знание это очень хорошо, но не знание иного, что есть гораздо лучше и проще это очень плохо, а по сему, нужно развиваться...
Автор: SergeyKa1
Дата сообщения: 08.09.2003 14:24
Ушли в сторону от обсуждения статьи.
Замечу, что log_in_vain="YES" это даже не мера, а скорее полу-мера.

Советую установить /usr/ports/security/portsentry.
Программа отслеживате подключение к указанным портам, с возможностью добовления блок листа в файрвол.


Цитата:
INTERFACE="rl0" (интерфейс за которым следим)
INTERFACE_ADDRESS="195.195.95.5" (ИП к которому пытаются подключится)
TCP_PORTS="1,7,9,11,15,21,23,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,635,666,1080,1524,2000,2001,4000,4001,5631,5632,5742,6000,6001,6667,12345,12346,20034,27374,27665,30303,32771,32772,32773,32774,31337,40421,40425,49724,54320,54321"
UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,666,700,2049,5631,5632,31335,27444,34555,32770,32771,32772,32773,32774,31337"
TCP_PORTS="1,11,15,79,111,119,143,515,540,635,666,1080,1524,2000,6667,12345,12346,20034,27374,27665,31337,32771,32772,32773,32774,40421,49724,54320,54321"
UDP_PORTS="1,7,9,69,161,162,513,635,2049,27444,32770,32771,32772,32773,32774,31337,54321"
IGNORE_FILE="/usr/local/etc/portsentry.ignore"
HISTORY_FILE="/usr/local/etc/portsentry.history"
BLOCKED_FILE="/usr/local/etc/portsentry.blocked"
RESOLVE_HOST = "0"
BLOCK_UDP="1"
BLOCK_TCP="1"
SCAN_TRIGGER="0"


Наиболее раннее оповещение о вторжение в систему -
/usr/ports/security/tripwire - настройки не покажу )))
Автор: ginger
Дата сообщения: 09.09.2003 10:43
SergeyKa1

Цитата:
Советую установить /usr/ports/security/portsentry.
Программа отслеживате подключение к указанным портам, с возможностью добовления блок листа в файрвол.

Вместо фаервола лучше использовать команду route, которая отрубит существующее подключения а фаервол, существующее оставит а последующие отрубит...
Помимо PortSentry, нужно использовать HostSentry...
Для параноидальности установить Snort с Acid модулем... для анализа происходящего...;)
Автор: SergeyKa1
Дата сообщения: 09.09.2003 16:18

Цитата:
Вместо фаервола лучше использовать команду route, которая отрубит существующее подключения а фаервол, существующее оставит а последующие отрубит...
Помимо PortSentry, нужно использовать HostSentry...
Для параноидальности установить Snort с Acid модулем... для анализа происходящего...;)

/usr/ports/security/portsentry рубит соединение сразу при обращении к необслуживаемому порту.

HostSentry выполняет те же функции что и tripwire - не вижу смысла в совместном использовании. Или одно или другое.

Snort+Snortsam+Oinkmaster с Acid - заменят связку portsentry + tripwire.
Не параноя а глупость.
Автор: ginger
Дата сообщения: 11.09.2003 12:27
SergeyKa1

Цитата:
HostSentry выполняет те же функции что и tripwire - не вижу смысла в совместном использовании. Или одно или другое.

Совершенную глупость сказали... рекомендую прежде ознакомиться и понять что такое TripWire и что такое HostSentry... и для чего каждый из них используется!

Цитата:
Snort+Snortsam+Oinkmaster с Acid - заменят связку portsentry + tripwire.
Не параноя а глупость.

Опять же, услышали звон, да не знаете где он!
Прежде чем давать такое сравнение, узнайте что это такое и для чего используется...
...хех, лихачь;)

Цитата:
/usr/ports/security/portsentry рубит соединение сразу при обращении к необслуживаемому порту.

...опять же, как же можно такое говорить, что portsentry что-то там рубит? Во первых он не рубит а анализирует, в случае определения сканирования или атаки он выполнит одну из команд (iptables/ipfw/route), самая эффективная это route, потому что соединение будет заблокировано моментально в случае с фаерволом такого не происходит... только последующие соединения будут блокированы!

Читать... читать... и еще раз читать!;)
Автор: SergeyKa1
Дата сообщения: 12.09.2003 09:02

Цитата:
...опять же, как же можно такое говорить, что portsentry что-то там рубит? Во первых он не рубит а анализирует, в случае определения сканирования или атаки он выполнит одну из команд (iptables/ipfw/route), самая эффективная это route, потому что соединение будет заблокировано моментально в случае с фаерволом такого не происходит... только последующие соединения будут блокированы!

_http://www.bytemag.ru/Article.asp?ID=1207


Цитата:
PortSentry - простой детектор сканирования, который прекращает связь между хостом-жертвой и атакующим. Хост "сбрасывает" локальные маршруты, устанавливает динамические правила доступа и добавляет хост в специальные файлы TCP wrappers hosts.deny, причем все это происходит в реальном времени.


разве я говорил что portsentry использует только службу ipfw?

С остальным погорячился. Совершенно разные по принципу программы Sorry
Автор: ginger
Дата сообщения: 12.09.2003 10:49
SergeyKa1

Цитата:
http://www.bytemag.ru/Article.asp?ID=1207

В этой статье автор допустил неточность... PortSentry, для блокирования использует вспомогательные утилиты, о которыхбыло сказано выше... но сам он этого не делает...
Если Вы настраивали PortSentry, то должны об этом знать... в файле конфигурации перечислены возможные действия в случае обнаружения несанкционированно доступа...


Цитата:
разве я говорил что portsentry использует только службу ipfw?

...а я такое говорила?;)


Цитата:
С остальным погорячился. Совершенно разные по принципу программы Sorry

Хорошо, что вы во всем разобрались..;)
Автор: Tartak
Дата сообщения: 13.09.2003 17:50
Вау, сисадмин моего прова... а говорят Инет большой, гггг
----------------
DJ KISLOTNIY
Автор: pazdak
Дата сообщения: 19.09.2003 12:16
Прочитал статью, ПОНРАВИЛОСЬ !!!
Будет ли дальше развиваться ???

Решил настроить rdate, как в статье написано, только вот до этого ntp не использовался.
Установил порт rdate и хочу проверить как работает, пускаю:
rdate time.nist.gov
Получаю:
rdate: Could not connect socket: Connection refused
Что не так настроено? Подскажите, я с синхронизацией времени вообще никогда не сталкивался...
Автор: Zmey
Дата сообщения: 19.09.2003 13:56
pazdak

Развиваться будет, только в том случае если автор статьи ее обновит. В таком случае я обновлю перевод.

По поводу обновления времени, посмотри может быть каким-то файрволлом закрыты соединения на udp 123 порт.
Имеет смысл в качестве теста разрешить траффик с и на этот порт. Если не получиться проверь может быть ты не видишь самого хоста

По поводу всяких там portsentry и тп.
Насколько я понимаю автора, он писал список того чего нужно сделать что бы при сборке сервера он было наиболее безопасный. А все эти утилиты каждый уже доставляет по своему желанию, кому-то нравится одно кому-то другое. Так что весь этот шум и гам по поводу того что лучше ставить snort или portsentry я думаю был лишним. Если вы заметили то настроек и правил сетевого экрана здесь тоже нет.
Автор: pazdak
Дата сообщения: 19.09.2003 14:11
Zmey

Цитата:
Если не получиться проверь может быть ты не видишь самого хоста

ping идет на time.nist.gov

Цитата:
Имеет смысл в качестве теста разрешить траффик с и на этот порт

Ты это имеешь ввиду: ???
00200 0 0 allow udp from any to any 123
00300 0 0 allow udp from any 123 to any

Страницы: 12

Предыдущая тема: Ищу firewall для Win2K AS от Nortona


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.