Are you the publisher? Claim or contact us about this channel


Embed this content in your HTML

Search

Report adult content:

click to rate:

Account: (login)

More Channels


Channel Catalog


Channel Description:

A FreeBSD operációs rendszer biztonságával kapcsolatos beszélgetések fóruma.
    0 0

    FreeBSD/apache/php biztonság ???


    0 0
  • 08/27/05--03:05: dns lekerdezesek
  • dns lekerdezesek


    0 0
  • 02/06/06--07:52: pf szabályok
  • Hello

    Segítséget szeretnék kérni tőletek.
    Összedobtam otthonra még egy gépet és FreeBSD-t tettem rá.
    Apache, Mysql, Php van rajta, amolyan próba gép féle.
    Szeretnék összeállítani egy pf szabálylistát.
    Ami kellene:

    a 80,21,22 -es portok távolról való elérése ezen kívűl semmi más port nem kell. Kifele mehetne minden. Ja és a gép fix ip-vel rendelkezne, a hálókártyát rl0-nak látja.
    Ha tudnátok segíteni benne, annak nagyon örülnék, mert semmi rutinom nincs benne.

    Üdv.


    0 0
  • 04/01/06--09:07: PcBSD contra lilo menü!
  • Feltelepítettem a pcbsd-t egyenlőre csak az első cd ét. Nekem a winchesteren ami logikailag meg van osztva többfelé van egy win xp egy slackware linux és egy pcbsd most már.

    A gond az amikor visszaállítottam a lilo.conf ot akkor nem tudtam felvennia pcbsd ét mert a Boot other: /dev/hda4, on /dev/hda, loader CHAIN Device 0x0300: Inconsistent partition table, 4th entry CHS address in PT: 820:7:1 --> LBA (13173741) LBA address in PT: 45126585 --> CHS (2809:0:1) Fatal: Either FIX-TABLE or IGNORE-TABLE must be specified If not sure, first try IGNORE-TABLE (-P ignore) root@csillagocska:/etc# magyarán ha jól gondlom túl lóg a winyon a bejegyzés: Device Boot Start End Blocks Id System /dev/hda1 * 1 1912 15358108+ c W95 FAT32 (LBA) /dev/hda2 1913 2739 6642877+ 83 Linux /dev/hda3 2740 2812 586372+ 82 Linux swap /dev/hda4 2810 4864 16506787+ a5 FreeBSD Partition 4 does not end on cylinder boundary. root@csillagocska:/etc#. Ilyenkor mia teendő? mert az fdisk -l paranccsal látja a particiót. De mégsem jó.
    Rossz a particiós tábla?? Mit lehetne tenni?
    Újrarakni nincs kedvem, és annyira még nem ismerem a pcbsd ét. Help me.

    köszönettel: csillagocska


    0 0
  • 05/17/06--11:27: 'Nutcracker family'
  • Miután kiírtam egy Foxdesktop DVD ISO-t(Fox Linux 1.0) a FlashGet letöltőmappájában még itt várakozik a PC-BSD 1.0.
    XP alól Avast-ot futattam, amikor "Nutcracker family"-t talált a PCBSD-1.0-x86-CD2.iso\LANGS\PA_KDE_I18N_3_5_2.TBZ\PA_KDE_I18N_3_5_2.tar\share\locale\pa\LC_MESSAGES\kfile_sid.mo\PartNo_0#4037696321" file-ban és a PCBSD-1.0-x86-CD2.iso\LANGS\PA_KDE_I18N_3_5_2.TBZ\PA_KDE_I18N_3_5_2.tar\share\locale\pa\LC_MESSAGES\kio_fish.mo\PartNo_0#109154491" file-ban.


    0 0
  • 09/12/06--01:34: FreeBSD + IPFW + apache
  • Hello
    egy kis problemaval kuzkodom elinditom a webszervert bentihalozatbol el tudom erni de ha kintrol az internetrol probalom elerin nem enged
    telnet a 80-as portra nem mukodik. az ipfw ezt adja
    ipfw list
    00100 allow ip from any to any via lo0
    00200 deny ip from any to 127.0.0.0/8
    00300 deny ip from 127.0.0.0/8 to any
    65000 allow ip from any to any
    65535 deny ip from any to any
    elore is koszonom.


    0 0

    Alapszituáció:

    http://security.freebsd.org/advisories/FreeBSD-SA-xx:yy.libc.asc alapján a jómunkásember a következő instrukcióval találkozik:

    "c) Recompile the operating system as described in
    http://www.freebsd.org/handbook/makeworld.html> and reboot the
    system."

    Ez természetesen kivitelezhető, de nagyszámú (pl. 100+) rendszerre ezt nem érzem életképes megoldásnak.
    Ráadásul a rendszerek eléggé vegyesek (5.4-RELEASE - 6.2-RELEASE között minden van, i386 es amd64 is vegyesen és a legtöbbhöz tartozik még további 1-5db közötti jail.

    Eddig a következő megoldást alkalmaztam ilyen esetben:

    Kikeresgélem, hogy az src-tree pontosan melyik része érintett és csak azt forditom újra. Még ez is meglehetősen melóigényes (ld. SA 08:01 és SA 08:02) és könnyen elképzelhető, hogy valamit kifelejtek és az a hibás kóddal marad. Továbbá nem vagyok meggyőződve róla, hogy statikus függőségek nincsenek pl. a ports-tree irányába.

    Van valakinek fájdalommentes(ebb) megoldása erre?


    0 0

    Üdv,

    FreeBSD-ben minden települ rendesen a 'pkg_add -r név' paranccsal. A 'pkg_info'-val meg tudom nézni a telepített csomagokat. Viszont sok neten való keresés után sem találtam választ arra, hogy milyen paranccsal tudom megnézni egy csomag leírását a ports adatbázisban, amelyet még nem telepítettem?

    Másként fogalmazva, az alábbi Linux-os utasítások FreeBSD-s megfelelőjét keresem:

    apt-get update; apt-get upgrade
    apt-cache search 'valami'
    apt-cache show 'valami'

    Tudnátok segíteni?
    Előre is köszi minden segítséget.

    Ui.: Amúgy Debian Lenny-n futó VirtualBox-ba telepítettem FreeBSD 7-est. Tökéletesen megy minden, a net-nél volt annyi bibi hogy a virtualbox által felajánlott hálókártya helyett az elsőt kellett választanom a listában a beállításoknál, hogy dhcp-vel menjen a netem. Amúgy nagyon tetszik.

    Apropó, virtualbox csomagot nem látok a freebsd ports collection adatbázisában a weboldalukon. Nem is létezik ezek szerint?


    0 0
  • 06/02/08--22:46: SSH és FTP más portokon
  • Szervusztok!

    Úgy néz ki, hogy lassan összeáll életem első FTP szervere, valamint be is lehet SSH-zni erre a FreeBSD-s gépre. No-IP segítségével kívülsől is elérhető lesz idővel, DE:
    ami most egy kicsit zavar biztonsági szempontból, hogy mennyire kockázatos az hogy most az FTP 21-es port, SSH 22-es port?
    Jó ötlet-e ezeket más portokra átpakolni, illetve ez mennyivel növeli a biztonságot?
    Az ftp szerveren nincs engedélyezve az Anonymous user, tehát user/pass -al lépnek be, de ezt így is akartam.
    A legrövidebb jelszó jelenleg 6 karakter, de gondolom érdemes ezt is megnövelni.

    Ötleteket várok, hogyan növeljem a biztonságot.
    /mazursky


    0 0
  • 10/05/08--03:40: portaudit "butaság"
  • Sziasztok!

    Portauditot használok eddig nagy megelégedéssel. Egy hete azonban hibát jelzett a telepített mysql-client csomagomban. annak ellenére, hogy kb 30 revison beli különbség (asszem így kell szépen mondani azta számot a mi a második pont után van) van az én csomagom és a legfrissebb között úgy tűnik a hiba még mindig fenn áll.

    Értelemszerűen nem távolíthatom el a mysql klienst a szerverről, úgyhogy utána olvastam a problémának:

    portaudit hibaoldal:
    http://www.freebsd.org/ports/portaudit/4775c807-8f30-11dd-821f-001cc0377035.html

    hiba eredeti oldala:
    http://www.securityfocus.com/bid/31486

    Ezeket elolvastam. Lehet, hogy rosszul értettem valamit, a következőkben azonban feltételezni fogom, hogy jól értettem. A "hiba" megtalálója, Thomas Henlich azt kifogásolja, hogy a mysql parancssori kliense nem escape-eli a HTML speciális karaktereit. :-/

    Webfejlesztő vagyok, és tudom, hogy le kell törni azoknak a kezét, akik nem escape-elnek mindent az outputban. PHP-ben például létezik a htmspecialchars függvény, amin mindent át lehet futtatni mielőtt elküldené az ember a kliensnek. Megjegyezném, hogy webes környzezetben sem kizárólag HTML outputról van szó, lehet YAML, JOSN és ezer más, és mindegyikben másfajta escape-elséről van szó.

    Mivel parancssori kliensről írnak, gondolom CGI szkriptek lennének szükségesek a "gyenge pont" kihasználására. Ha CGI-t írok, akkor sem gátol meg semmi abban, hogy írjak egy saját htmlspecialchars függvényt, így egyszerűen nem látom miért a mysql-nek kéne megoldania ezt a feladatot. A visszakompatibilitásról nem is beszélve (jelenlegi megoldások, amik nem készültek fel arra, hogy a mysql kliens ezután < -t küldjön a < karakter helyett).

    Jól látom, hogy valaki a saját nevét akarja fényezni egy "biztonsági rés" megtalálásával, ami nem is létezik, és ez valahogy átcsúszott a portaudit rostáján?


    0 0
  • 02/18/09--11:32: [megoldva] fereg + pidgin
  • Sziasztok!

    Gyanus, mintha fereg lenne az egyik FreeBSD gepemen. Az egyik felhasznalo arra panaszkodik, hogy a pidgin fertozot e-mail cimeket tartalamzo uzeneteket kuld a neveben. Ilyet peldaul:
    atti-brie: hey dunadan hey look ${EGYHTTPCIM}
    Meg soha sem volt semmi fereggel, virussal stb. kapcsolatos problemam. Igy igazabol kb. hozza se tudok fogni a megoldashoz. Tudnatok segiteni hogy lehetne kezelni a problemat?


    0 0

    Sziasztok,

    FreeBSD 7.1 szerveren futtatok 2.2-es Apache-et, es PHP5-ot. (de maga a problema regebben mas verziokkal is fennallt) Mindig frissitem amugy ezeket (es minden mast is) Portupgrade-el a legfrissebbre.

    Jelenlegi telepitesek:

    apache-2.2.11_3
    php5-5.2.8
    mysql-server-5.1.30
    mysql-client-5.1.30

    Az apache konfiguracio az alaptol ennyiben ter el:
    ServerTokens Minor
    ServerSignature Off
    ExtendedStatus On
    HostnameLookups On

    A gond az hogy nehany weblap szerintem rosszul van megirva, vagy spammelik, vagy nem tudom, de az apache napjaban tobbszor megall ugy hogy a processz fut, de kiszolgalni mar nem tud (az irja ki a bongeszo: A Kapcsolat alaphelyzetbe allt). Kb. 50 virtualis hosztot futtat egyebkent.
    Ekkor kill-elem a pid-et majd ujrainditas utan megint jo.

    Beallitottam a server-status funkciot, de nekem ez sajnos sokat nem mond.
    A logokban sincs sok info, max ennyi:

    [Mon Mar 16 20:23:11 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 16 children, there are 0 idle, and 36 total children
    [Mon Mar 16 20:24:08 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 2 idle, and 27 total children
    [Mon Mar 16 20:24:09 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 16 children, there are 3 idle, and 35 total children
    [Mon Mar 16 20:25:23 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 45 total children

    DE ezek se mondanak sokat. Meg mivel info-k igy gondolom nem ez a problema megoldasahoz vezeto jel.

    Ha tud valaki segitsen!

    Koszi


    0 0
  • 03/31/10--02:19: Jail + Lighttpd
  • Hello!

    Egy olyan problemara keresem a megoldast hatha masik is talalkozott vele. Lighttpd + spawn-fcgi szeretnem megoldani ,hogy kulon userken fuassanak az a php-cgi processek a problema az,hogy szerintem a jail nem engedi a socket alapu kapcsolodast. Sysctl konfigba mi felel ennek a nem mukodesehez.

    Koszi.


    0 0
  • 02/28/11--08:42: IPsec mobil netről, NAT-T
  • Üdv!

    Még csak ismerkedem a témával, kérdéseim zöldek, pl. hogy egyáltalán van-e különösebb nehézsége, hogy mobil netes gépről (t-mobil) rá tudjak csatlakozni munkahelyi hálózatra IPsec-kel?

    Na most, itt konkrétan NAT-olt hálót kéne elérni egy szem (FreeBSD-s) laptopról. A munkahelyi tűzfalon FreeBSD, konkrétan pfSense 1.2.3 van. Ha jól értem, mivel a benti háló NAT mögött van, kellene a NAT-T támogatás a kommunikáció során, hogy a NAT mögé megérkezhessenek az ESP csomagok. A probléma, hogy a pfSense 1.2.3 még nem támogatja a NAT-T-t, ez csak 2.0-tól van. Szóval kellene egy upgrade?


    0 0

    CVE-2012-4576-linux.c

    Régi, javított sebezhetőség, de tegnap publikáltak hozzá exploitot.


    0 0

    Évek óta pfSense mögül netezek asztali gépről. Most azt a fura dolgot vettem észere, hogy a Vodafone.hu rendszeresen elérhetetlen (és itt kell kifizetnem a mobil számlámat). A vodafone.hu-ra kattintva csak vár...vár...
    Bármilyen más honlapot (bank, biztosító, magyarorszag.hu) simán megnyit.
    Mi lehet ez?


    0 0
  • 02/24/14--02:29: FreeBSD/ZFS DoS
  • Valaki, akinek van zfs-es freebsd telepitese, futtassa le ezt: http://pastebin.com/pFX9Qazn

    Elso korben lehet userkent is, jo esetben mar akkor is elpanikol a rendszer. Kell hozza egy dataset es egy snapshot (ezt persze user nem tudja megcsinalni, de lehet, hogy a rendszerrol keszul snapshot pl cronbol). Es ha ez megvan, akkor parameterezes:

    $ crash.sh pool/test@snap

    Jo esellyel userkent megall. A 41 es 42-sor kommentezese utan mer lehet hogy kell root jog, de akkor is latszik, hogy csak normalisnak latszo muveleteket hajtunk vegre, es lesznek szep deadlockok. Mar felvettem a kapcsolatot veluk, de gyakorlatilag eredmenyre nem jutottam, pedig kuldtem patchet is.


    0 0

    Avagy, mire célozhatott Theo de Raadt:

    Idézet:
    ... as long as you aren't using FreeBSD or a derivative (hint: Jupiper),
    you are fine. That's the only place I know of an OpenSSH hole.

    Oh now I sense some angst. Please ask Kirk McKusick, he knows the
    story about why this is not being disclosed to FreeBSD. Sometimes I
    feel a bit sorry for them (and for him), but then the next minute I
    don't feel sorry because there's damn good reasons they won't be
    told about what I found.

    Does that answer help? Hope so.

    A válaszokat ide várjuk az illetékesektől.


    0 0
  • 03/17/16--04:18: c-icap nem megy [SOLVED]
  • Na nem biztos hogy a security-be tartozik el. Telepítettem egy c-icap szervert, aminek többek között az lenne a feladat, hogy a squid által szolgáltatott weblapokat szűrje meg. Telepítettem hozzá egy squidclamav-t is. Amikor foreground + debug módban megpróbálom elindítani a c-icap-ot akkor a következő történik:

    # /usr/local/bin/c-icap -f /usr/local/etc/c-icap/c-icap.conf -D
    The acl spec all does not exists!
    squidclamav.c(183) squidclamav_init_service: DEBUG Going to initialize squidclamav
    LOG Reading configuration from /usr/local/etc/c-icap//squidclamav.conf
    LOG Reading directive maxsize with value 5000000
    LOG Reading directive clamd_local with value /var/run/clamav/clamd.sock
    LOG Reading directive timeout with value 1
    LOG Reading directive logredir with value 0
    LOG Reading directive dnslookup with value 1
    LOG Reading directive safebrowsing with value 0
    Warning, alias is the same as service_name, not adding
    #

    Szóval az történik, hogy beolvassa a konfig állományokat. Látszólag nincs semmiféle hiba (csak LOG sorok vannak és egy WARNING), de a program befejeződik, és mindenféle további magyarázat nélkül visszakapom a prompt-ot. Ha rc script-ből próbálom meg elindítani, akkor pontosan ugyan ez a helyzet. Nincs üzenet, nincs semmi a logban:

    # /usr/local/etc/rc.d/c-icap start
    Starting c_icap.
    # /usr/local/etc/rc.d/c-icap status
    c_icap is not running.
    #

    Így hibaüzenet hiányában nem sikerült rájönnöm hogy mi a baj. Mi lehet a baja?

    Környezet: FreeBSD 10.2-RELEASE c-icap-0.3.5_2,2 squidclamav-6.13


    0 0
  • 07/04/17--03:13: firewall tiltó lista
  • Üdv!
    Tegnap felraktam egy pfsense tűzfalat. Mivel alapból enged mindent, tehát webezni stb. ezért tiltó listát kell neki megadnom ha konfigurálom.Nem lehet valahogy ezt megfordítnani, és az engedélyeket leírni neki?