FreeBSD/apache/php biztonság ???
FreeBSD/apache/php biztonság ???
↧
↧
dns lekerdezesek
dns lekerdezesek
↧
pf szabályok
Hello
Segítséget szeretnék kérni tőletek.
Összedobtam otthonra még egy gépet és FreeBSD-t tettem rá.
Apache, Mysql, Php van rajta, amolyan próba gép féle.
Szeretnék összeállítani egy pf szabálylistát.
Ami kellene:
a 80,21,22 -es portok távolról való elérése ezen kívűl semmi más port nem kell. Kifele mehetne minden. Ja és a gép fix ip-vel rendelkezne, a hálókártyát rl0-nak látja.
Ha tudnátok segíteni benne, annak nagyon örülnék, mert semmi rutinom nincs benne.
Üdv.
↧
PcBSD contra lilo menü!
Feltelepítettem a pcbsd-t egyenlőre csak az első cd ét. Nekem a winchesteren ami logikailag meg van osztva többfelé van egy win xp egy slackware linux és egy pcbsd most már.
A gond az amikor visszaállítottam a lilo.conf ot akkor nem tudtam felvennia pcbsd ét mert a Boot other: /dev/hda4, on /dev/hda, loader CHAIN Device 0x0300: Inconsistent partition table, 4th entry CHS address in PT: 820:7:1 --> LBA (13173741) LBA address in PT: 45126585 --> CHS (2809:0:1) Fatal: Either FIX-TABLE or IGNORE-TABLE must be specified If not sure, first try IGNORE-TABLE (-P ignore) root@csillagocska:/etc# magyarán ha jól gondlom túl lóg a winyon a bejegyzés: Device Boot Start End Blocks Id System /dev/hda1 * 1 1912 15358108+ c W95 FAT32 (LBA) /dev/hda2 1913 2739 6642877+ 83 Linux /dev/hda3 2740 2812 586372+ 82 Linux swap /dev/hda4 2810 4864 16506787+ a5 FreeBSD Partition 4 does not end on cylinder boundary. root@csillagocska:/etc#. Ilyenkor mia teendő? mert az fdisk -l paranccsal látja a particiót. De mégsem jó.
Rossz a particiós tábla?? Mit lehetne tenni?
Újrarakni nincs kedvem, és annyira még nem ismerem a pcbsd ét. Help me.
köszönettel: csillagocska
↧
'Nutcracker family'
Miután kiírtam egy Foxdesktop DVD ISO-t(Fox Linux 1.0) a FlashGet letöltőmappájában még itt várakozik a PC-BSD 1.0.
XP alól Avast-ot futattam, amikor "Nutcracker family"-t talált a PCBSD-1.0-x86-CD2.iso\LANGS\PA_KDE_I18N_3_5_2.TBZ\PA_KDE_I18N_3_5_2.tar\share\locale\pa\LC_MESSAGES\kfile_sid.mo\PartNo_0#4037696321" file-ban és a PCBSD-1.0-x86-CD2.iso\LANGS\PA_KDE_I18N_3_5_2.TBZ\PA_KDE_I18N_3_5_2.tar\share\locale\pa\LC_MESSAGES\kio_fish.mo\PartNo_0#109154491" file-ban.
↧
↧
FreeBSD + IPFW + apache
Hello
egy kis problemaval kuzkodom elinditom a webszervert bentihalozatbol el tudom erni de ha kintrol az internetrol probalom elerin nem enged
telnet a 80-as portra nem mukodik. az ipfw ezt adja
ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any
elore is koszonom.
↧
biztonsági frissités miatt alaprendszer foltozás
Alapszituáció:
http://security.freebsd.org/advisories/FreeBSD-SA-xx:yy.libc.asc alapján a jómunkásember a következő instrukcióval találkozik:
"c) Recompile the operating system as described in
system."
Ez természetesen kivitelezhető, de nagyszámú (pl. 100+) rendszerre ezt nem érzem életképes megoldásnak.
Ráadásul a rendszerek eléggé vegyesek (5.4-RELEASE - 6.2-RELEASE között minden van, i386 es amd64 is vegyesen és a legtöbbhöz tartozik még további 1-5db közötti jail.
Eddig a következő megoldást alkalmaztam ilyen esetben:
Kikeresgélem, hogy az src-tree pontosan melyik része érintett és csak azt forditom újra. Még ez is meglehetősen melóigényes (ld. SA 08:01 és SA 08:02) és könnyen elképzelhető, hogy valamit kifelejtek és az a hibás kóddal marad. Továbbá nem vagyok meggyőződve róla, hogy statikus függőségek nincsenek pl. a ports-tree irányába.
Van valakinek fájdalommentes(ebb) megoldása erre?
↧
FreeBSD 'apt-cache search' megfelelője?
Üdv,
FreeBSD-ben minden települ rendesen a 'pkg_add -r név' paranccsal. A 'pkg_info'-val meg tudom nézni a telepített csomagokat. Viszont sok neten való keresés után sem találtam választ arra, hogy milyen paranccsal tudom megnézni egy csomag leírását a ports adatbázisban, amelyet még nem telepítettem?
Másként fogalmazva, az alábbi Linux-os utasítások FreeBSD-s megfelelőjét keresem:
apt-get update; apt-get upgrade apt-cache search 'valami' apt-cache show 'valami'
Tudnátok segíteni?
Előre is köszi minden segítséget.
Ui.: Amúgy Debian Lenny-n futó VirtualBox-ba telepítettem FreeBSD 7-est. Tökéletesen megy minden, a net-nél volt annyi bibi hogy a virtualbox által felajánlott hálókártya helyett az elsőt kellett választanom a listában a beállításoknál, hogy dhcp-vel menjen a netem. Amúgy nagyon tetszik.
Apropó, virtualbox csomagot nem látok a freebsd ports collection adatbázisában a weboldalukon. Nem is létezik ezek szerint?
↧
SSH és FTP más portokon
Szervusztok!
Úgy néz ki, hogy lassan összeáll életem első FTP szervere, valamint be is lehet SSH-zni erre a FreeBSD-s gépre. No-IP segítségével kívülsől is elérhető lesz idővel, DE:
ami most egy kicsit zavar biztonsági szempontból, hogy mennyire kockázatos az hogy most az FTP 21-es port, SSH 22-es port?
Jó ötlet-e ezeket más portokra átpakolni, illetve ez mennyivel növeli a biztonságot?
Az ftp szerveren nincs engedélyezve az Anonymous user, tehát user/pass -al lépnek be, de ezt így is akartam.
A legrövidebb jelszó jelenleg 6 karakter, de gondolom érdemes ezt is megnövelni.
Ötleteket várok, hogyan növeljem a biztonságot.
/mazursky
↧
↧
portaudit "butaság"
Sziasztok!
Portauditot használok eddig nagy megelégedéssel. Egy hete azonban hibát jelzett a telepített mysql-client csomagomban. annak ellenére, hogy kb 30 revison beli különbség (asszem így kell szépen mondani azta számot a mi a második pont után van) van az én csomagom és a legfrissebb között úgy tűnik a hiba még mindig fenn áll.
Értelemszerűen nem távolíthatom el a mysql klienst a szerverről, úgyhogy utána olvastam a problémának:
portaudit hibaoldal:
http://www.freebsd.org/ports/portaudit/4775c807-8f30-11dd-821f-001cc0377035.html
hiba eredeti oldala:
http://www.securityfocus.com/bid/31486
Ezeket elolvastam. Lehet, hogy rosszul értettem valamit, a következőkben azonban feltételezni fogom, hogy jól értettem. A "hiba" megtalálója, Thomas Henlich azt kifogásolja, hogy a mysql parancssori kliense nem escape-eli a HTML speciális karaktereit. :-/
Webfejlesztő vagyok, és tudom, hogy le kell törni azoknak a kezét, akik nem escape-elnek mindent az outputban. PHP-ben például létezik a htmspecialchars függvény, amin mindent át lehet futtatni mielőtt elküldené az ember a kliensnek. Megjegyezném, hogy webes környzezetben sem kizárólag HTML outputról van szó, lehet YAML, JOSN és ezer más, és mindegyikben másfajta escape-elséről van szó.
Mivel parancssori kliensről írnak, gondolom CGI szkriptek lennének szükségesek a "gyenge pont" kihasználására. Ha CGI-t írok, akkor sem gátol meg semmi abban, hogy írjak egy saját htmlspecialchars függvényt, így egyszerűen nem látom miért a mysql-nek kéne megoldania ezt a feladatot. A visszakompatibilitásról nem is beszélve (jelenlegi megoldások, amik nem készültek fel arra, hogy a mysql kliens ezután < -t küldjön a < karakter helyett).
Jól látom, hogy valaki a saját nevét akarja fényezni egy "biztonsági rés" megtalálásával, ami nem is létezik, és ez valahogy átcsúszott a portaudit rostáján?
↧
[megoldva] fereg + pidgin
Sziasztok!
Gyanus, mintha fereg lenne az egyik FreeBSD gepemen. Az egyik felhasznalo arra panaszkodik, hogy a pidgin fertozot e-mail cimeket tartalamzo uzeneteket kuld a neveben. Ilyet peldaul:
atti-brie: hey dunadan hey look ${EGYHTTPCIM}
Meg soha sem volt semmi fereggel, virussal stb. kapcsolatos problemam. Igy igazabol kb. hozza se tudok fogni a megoldashoz. Tudnatok segiteni hogy lehetne kezelni a problemat?
↧
Apache terhelési/biztonság vizsgálat
Sziasztok,
FreeBSD 7.1 szerveren futtatok 2.2-es Apache-et, es PHP5-ot. (de maga a problema regebben mas verziokkal is fennallt) Mindig frissitem amugy ezeket (es minden mast is) Portupgrade-el a legfrissebbre.
Jelenlegi telepitesek:
apache-2.2.11_3
php5-5.2.8
mysql-server-5.1.30
mysql-client-5.1.30
Az apache konfiguracio az alaptol ennyiben ter el:
ServerTokens Minor
ServerSignature Off
ExtendedStatus On
HostnameLookups On
A gond az hogy nehany weblap szerintem rosszul van megirva, vagy spammelik, vagy nem tudom, de az apache napjaban tobbszor megall ugy hogy a processz fut, de kiszolgalni mar nem tud (az irja ki a bongeszo: A Kapcsolat alaphelyzetbe allt). Kb. 50 virtualis hosztot futtat egyebkent.
Ekkor kill-elem a pid-et majd ujrainditas utan megint jo.
Beallitottam a server-status funkciot, de nekem ez sajnos sokat nem mond.
A logokban sincs sok info, max ennyi:
[Mon Mar 16 20:23:11 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 16 children, there are 0 idle, and 36 total children
[Mon Mar 16 20:24:08 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 2 idle, and 27 total children
[Mon Mar 16 20:24:09 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 16 children, there are 3 idle, and 35 total children
[Mon Mar 16 20:25:23 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 45 total children
DE ezek se mondanak sokat. Meg mivel info-k igy gondolom nem ez a problema megoldasahoz vezeto jel.
Ha tud valaki segitsen!
Koszi
↧
Jail + Lighttpd
Hello!
Egy olyan problemara keresem a megoldast hatha masik is talalkozott vele. Lighttpd + spawn-fcgi szeretnem megoldani ,hogy kulon userken fuassanak az a php-cgi processek a problema az,hogy szerintem a jail nem engedi a socket alapu kapcsolodast. Sysctl konfigba mi felel ennek a nem mukodesehez.
Koszi.
↧
↧
IPsec mobil netről, NAT-T
Üdv!
Még csak ismerkedem a témával, kérdéseim zöldek, pl. hogy egyáltalán van-e különösebb nehézsége, hogy mobil netes gépről (t-mobil) rá tudjak csatlakozni munkahelyi hálózatra IPsec-kel?
Na most, itt konkrétan NAT-olt hálót kéne elérni egy szem (FreeBSD-s) laptopról. A munkahelyi tűzfalon FreeBSD, konkrétan pfSense 1.2.3 van. Ha jól értem, mivel a benti háló NAT mögött van, kellene a NAT-T támogatás a kommunikáció során, hogy a NAT mögé megérkezhessenek az ESP csomagok. A probléma, hogy a pfSense 1.2.3 még nem támogatja a NAT-T-t, ez csak 2.0-tól van. Szóval kellene egy upgrade?
↧
Exploit for CVE-2012-4576 - Linux ioctl handling
Régi, javított sebezhetőség, de tegnap publikáltak hozzá exploitot.
↧
pfSense utálja a Vodafone -t?
Évek óta pfSense mögül netezek asztali gépről. Most azt a fura dolgot vettem észere, hogy a Vodafone.hu rendszeresen elérhetetlen (és itt kell kifizetnem a mobil számlámat). A vodafone.hu-ra kattintva csak vár...vár...
Bármilyen más honlapot (bank, biztosító, magyarorszag.hu) simán megnyit.
Mi lehet ez?
↧
FreeBSD/ZFS DoS
Valaki, akinek van zfs-es freebsd telepitese, futtassa le ezt: http://pastebin.com/pFX9Qazn
Elso korben lehet userkent is, jo esetben mar akkor is elpanikol a rendszer. Kell hozza egy dataset es egy snapshot (ezt persze user nem tudja megcsinalni, de lehet, hogy a rendszerrol keszul snapshot pl cronbol). Es ha ez megvan, akkor parameterezes:
$ crash.sh pool/test@snap
Jo esellyel userkent megall. A 41 es 42-sor kommentezese utan mer lehet hogy kell root jog, de akkor is latszik, hogy csak normalisnak latszo muveleteket hajtunk vegre, es lesznek szep deadlockok. Mar felvettem a kapcsolatot veluk, de gyakorlatilag eredmenyre nem jutottam, pedig kuldtem patchet is.
↧
↧
FreeBSD OpenSSH biztonsági probléma?
Avagy, mire célozhatott Theo de Raadt:
Idézet:
... as long as you aren't using FreeBSD or a derivative (hint: Jupiper),
you are fine. That's the only place I know of an OpenSSH hole.Oh now I sense some angst. Please ask Kirk McKusick, he knows the
story about why this is not being disclosed to FreeBSD. Sometimes I
feel a bit sorry for them (and for him), but then the next minute I
don't feel sorry because there's damn good reasons they won't be
told about what I found.Does that answer help? Hope so.
A válaszokat ide várjuk az illetékesektől.
↧
c-icap nem megy [SOLVED]
Na nem biztos hogy a security-be tartozik el. Telepítettem egy c-icap szervert, aminek többek között az lenne a feladat, hogy a squid által szolgáltatott weblapokat szűrje meg. Telepítettem hozzá egy squidclamav-t is. Amikor foreground + debug módban megpróbálom elindítani a c-icap-ot akkor a következő történik:
# /usr/local/bin/c-icap -f /usr/local/etc/c-icap/c-icap.conf -D
The acl spec all does not exists!
squidclamav.c(183) squidclamav_init_service: DEBUG Going to initialize squidclamav
LOG Reading configuration from /usr/local/etc/c-icap//squidclamav.conf
LOG Reading directive maxsize with value 5000000
LOG Reading directive clamd_local with value /var/run/clamav/clamd.sock
LOG Reading directive timeout with value 1
LOG Reading directive logredir with value 0
LOG Reading directive dnslookup with value 1
LOG Reading directive safebrowsing with value 0
Warning, alias is the same as service_name, not adding
#
Szóval az történik, hogy beolvassa a konfig állományokat. Látszólag nincs semmiféle hiba (csak LOG sorok vannak és egy WARNING), de a program befejeződik, és mindenféle további magyarázat nélkül visszakapom a prompt-ot. Ha rc script-ből próbálom meg elindítani, akkor pontosan ugyan ez a helyzet. Nincs üzenet, nincs semmi a logban:
# /usr/local/etc/rc.d/c-icap start
Starting c_icap.
# /usr/local/etc/rc.d/c-icap status
c_icap is not running.
#
Így hibaüzenet hiányában nem sikerült rájönnöm hogy mi a baj. Mi lehet a baja?
Környezet: FreeBSD 10.2-RELEASE c-icap-0.3.5_2,2 squidclamav-6.13
↧
firewall tiltó lista
Üdv!
Tegnap felraktam egy pfsense tűzfalat. Mivel alapból enged mindent, tehát webezni stb. ezért tiltó listát kell neki megadnom ha konfigurálom.Nem lehet valahogy ezt megfordítnani, és az engedélyeket leírni neki?
↧
More Pages to Explore .....
