FreeBSD + IPFW + apache

September 12, 2006, 1:34 am

≫ Next: biztonsági frissités miatt alaprendszer foltozás

$

0

0

FreeBSD + IPFW + apache FreeBSD-securitydekszter 2006. 09. 12., k - 10:34

Hello
egy kis problemaval kuzkodom elinditom a webszervert bentihalozatbol el tudom erni de ha kintrol az internetrol probalom elerin nem enged
telnet a 80-as portra nem mukodik. az ipfw ezt adja
ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any
elore is koszonom.

---

biztonsági frissités miatt alaprendszer foltozás

January 15, 2008, 12:34 pm

≫ Next: FreeBSD 'apt-cache search' megfelelője?

≪ Previous: FreeBSD + IPFW + apache

$

0

0

biztonsági frissités miatt alaprendszer foltozás FreeBSD-securityuid_15541 2008. 01. 15., k - 21:34

Alapszituáció:

http://security.freebsd.org/advisories/FreeBSD-SA-xx:yy.libc.asc alapján a jómunkásember a következő instrukcióval találkozik:

"c) Recompile the operating system as described in
and reboot the
system."

Ez természetesen kivitelezhető, de nagyszámú (pl. 100+) rendszerre ezt nem érzem életképes megoldásnak.
Ráadásul a rendszerek eléggé vegyesek (5.4-RELEASE - 6.2-RELEASE között minden van, i386 es amd64 is vegyesen és a legtöbbhöz tartozik még további 1-5db közötti jail.

Eddig a következő megoldást alkalmaztam ilyen esetben:

Kikeresgélem, hogy az src-tree pontosan melyik része érintett és csak azt forditom újra. Még ez is meglehetősen melóigényes (ld. SA 08:01 és SA 08:02) és könnyen elképzelhető, hogy valamit kifelejtek és az a hibás kóddal marad. Továbbá nem vagyok meggyőződve róla, hogy statikus függőségek nincsenek pl. a ports-tree irányába.

Van valakinek fájdalommentes(ebb) megoldása erre?

FreeBSD 'apt-cache search' megfelelője?

May 18, 2008, 5:48 am

≫ Next: SSH és FTP más portokon

≪ Previous: biztonsági frissités miatt alaprendszer foltozás

$

0

0

FreeBSD 'apt-cache search' megfelelője? FreeBSD-securitylog69 2008. 05. 18., v - 14:48

Üdv,

FreeBSD-ben minden települ rendesen a 'pkg_add -r név' paranccsal. A 'pkg_info'-val meg tudom nézni a telepített csomagokat. Viszont sok neten való keresés után sem találtam választ arra, hogy milyen paranccsal tudom megnézni egy csomag leírását a ports adatbázisban, amelyet még nem telepítettem?

Másként fogalmazva, az alábbi Linux-os utasítások FreeBSD-s megfelelőjét keresem:

apt-get update; apt-get upgrade
apt-cache search 'valami'
apt-cache show 'valami'

Tudnátok segíteni?
Előre is köszi minden segítséget.

Ui.: Amúgy Debian Lenny-n futó VirtualBox-ba telepítettem FreeBSD 7-est. Tökéletesen megy minden, a net-nél volt annyi bibi hogy a virtualbox által felajánlott hálókártya helyett az elsőt kellett választanom a listában a beállításoknál, hogy dhcp-vel menjen a netem. Amúgy nagyon tetszik.

Apropó, virtualbox csomagot nem látok a freebsd ports collection adatbázisában a weboldalukon. Nem is létezik ezek szerint?

SSH és FTP más portokon

June 2, 2008, 10:46 pm

≫ Next: portaudit "butaság"

≪ Previous: FreeBSD 'apt-cache search' megfelelője?

$

0

0

SSH és FTP más portokon FreeBSD-securitymazursky 2008. 06. 03., k - 07:46

Szervusztok!

Úgy néz ki, hogy lassan összeáll életem első FTP szervere, valamint be is lehet SSH-zni erre a FreeBSD-s gépre. No-IP segítségével kívülsől is elérhető lesz idővel, DE:
ami most egy kicsit zavar biztonsági szempontból, hogy mennyire kockázatos az hogy most az FTP 21-es port, SSH 22-es port?
Jó ötlet-e ezeket más portokra átpakolni, illetve ez mennyivel növeli a biztonságot?
Az ftp szerveren nincs engedélyezve az Anonymous user, tehát user/pass -al lépnek be, de ezt így is akartam.
A legrövidebb jelszó jelenleg 6 karakter, de gondolom érdemes ezt is megnövelni.

Ötleteket várok, hogyan növeljem a biztonságot.
/mazursky

portaudit "butaság"

October 5, 2008, 3:40 am

≫ Next: [megoldva] fereg + pidgin

≪ Previous: SSH és FTP más portokon

$

0

0

portaudit "butaság" FreeBSD-securityvbence 2008. 10. 05., v - 12:40

Sziasztok!

Portauditot használok eddig nagy megelégedéssel. Egy hete azonban hibát jelzett a telepített mysql-client csomagomban. annak ellenére, hogy kb 30 revison beli különbség (asszem így kell szépen mondani azta számot a mi a második pont után van) van az én csomagom és a legfrissebb között úgy tűnik a hiba még mindig fenn áll.

Értelemszerűen nem távolíthatom el a mysql klienst a szerverről, úgyhogy utána olvastam a problémának:

portaudit hibaoldal:
http://www.freebsd.org/ports/portaudit/4775c807-8f30-11dd-821f-001cc037…

hiba eredeti oldala:
http://www.securityfocus.com/bid/31486

Ezeket elolvastam. Lehet, hogy rosszul értettem valamit, a következőkben azonban feltételezni fogom, hogy jól értettem. A "hiba" megtalálója, Thomas Henlich azt kifogásolja, hogy a mysql parancssori kliense nem escape-eli a HTML speciális karaktereit. :-/

Webfejlesztő vagyok, és tudom, hogy le kell törni azoknak a kezét, akik nem escape-elnek mindent az outputban. PHP-ben például létezik a htmspecialchars függvény, amin mindent át lehet futtatni mielőtt elküldené az ember a kliensnek. Megjegyezném, hogy webes környzezetben sem kizárólag HTML outputról van szó, lehet YAML, JOSN és ezer más, és mindegyikben másfajta escape-elséről van szó.

Mivel parancssori kliensről írnak, gondolom CGI szkriptek lennének szükségesek a "gyenge pont" kihasználására. Ha CGI-t írok, akkor sem gátol meg semmi abban, hogy írjak egy saját htmlspecialchars függvényt, így egyszerűen nem látom miért a mysql-nek kéne megoldania ezt a feladatot. A visszakompatibilitásról nem is beszélve (jelenlegi megoldások, amik nem készültek fel arra, hogy a mysql kliens ezután

Jól látom, hogy valaki a saját nevét akarja fényezni egy "biztonsági rés" megtalálásával, ami nem is létezik, és ez valahogy átcsúszott a portaudit rostáján?

[megoldva] fereg + pidgin

February 18, 2009, 11:32 am

≫ Next: Apache terhelési/biztonság vizsgálat

≪ Previous: portaudit "butaság"

$

0

0

[megoldva] fereg + pidgin FreeBSD-securityarkhein 2009. 02. 18., sze - 20:32

Sziasztok!

Gyanus, mintha fereg lenne az egyik FreeBSD gepemen. Az egyik felhasznalo arra panaszkodik, hogy a pidgin fertozot e-mail cimeket tartalamzo uzeneteket kuld a neveben. Ilyet peldaul:
atti-brie: hey dunadan hey look ${EGYHTTPCIM}
Meg soha sem volt semmi fereggel, virussal stb. kapcsolatos problemam. Igy igazabol kb. hozza se tudok fogni a megoldashoz. Tudnatok segiteni hogy lehetne kezelni a problemat?

Apache terhelési/biztonság vizsgálat

March 16, 2009, 12:30 pm

≫ Next: Jail + Lighttpd

≪ Previous: [megoldva] fereg + pidgin

$

0

0

Apache terhelési/biztonság vizsgálat FreeBSD-securitymozsaf 2009. 03. 16., h - 20:30

Sziasztok,

FreeBSD 7.1 szerveren futtatok 2.2-es Apache-et, es PHP5-ot. (de maga a problema regebben mas verziokkal is fennallt) Mindig frissitem amugy ezeket (es minden mast is) Portupgrade-el a legfrissebbre.

Jelenlegi telepitesek:

apache-2.2.11_3
php5-5.2.8
mysql-server-5.1.30
mysql-client-5.1.30

Az apache konfiguracio az alaptol ennyiben ter el:
ServerTokens Minor
ServerSignature Off
ExtendedStatus On
HostnameLookups On

A gond az hogy nehany weblap szerintem rosszul van megirva, vagy spammelik, vagy nem tudom, de az apache napjaban tobbszor megall ugy hogy a processz fut, de kiszolgalni mar nem tud (az irja ki a bongeszo: A Kapcsolat alaphelyzetbe allt). Kb. 50 virtualis hosztot futtat egyebkent.
Ekkor kill-elem a pid-et majd ujrainditas utan megint jo.

Beallitottam a server-status funkciot, de nekem ez sajnos sokat nem mond.
A logokban sincs sok info, max ennyi:

[Mon Mar 16 20:23:11 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 16 children, there are 0 idle, and 36 total children
[Mon Mar 16 20:24:08 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 2 idle, and 27 total children
[Mon Mar 16 20:24:09 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 16 children, there are 3 idle, and 35 total children
[Mon Mar 16 20:25:23 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 45 total children

DE ezek se mondanak sokat. Meg mivel info-k igy gondolom nem ez a problema megoldasahoz vezeto jel.

Ha tud valaki segitsen!

Koszi

Jail + Lighttpd

March 31, 2010, 2:19 am

≫ Next: IPsec mobil netről, NAT-T

≪ Previous: Apache terhelési/biztonság vizsgálat

$

0

0

Jail + Lighttpd FreeBSD-securityo_O 2010. 03. 31., sze - 11:19

Hello!

Egy olyan problemara keresem a megoldast hatha masik is talalkozott vele. Lighttpd + spawn-fcgi szeretnem megoldani ,hogy kulon userken fuassanak az a php-cgi processek a problema az,hogy szerintem a jail nem engedi a socket alapu kapcsolodast. Sysctl konfigba mi felel ennek a nem mukodesehez.

Koszi.

---

IPsec mobil netről, NAT-T

February 28, 2011, 8:42 am

≫ Next: Exploit for CVE-2012-4576 - Linux ioctl handling

≪ Previous: Jail + Lighttpd

$

0

0

IPsec mobil netről, NAT-T FreeBSD-securitycruiser 2011. 02. 28., h - 17:42

Üdv!

Még csak ismerkedem a témával, kérdéseim zöldek, pl. hogy egyáltalán van-e különösebb nehézsége, hogy mobil netes gépről (t-mobil) rá tudjak csatlakozni munkahelyi hálózatra IPsec-kel?

Na most, itt konkrétan NAT-olt hálót kéne elérni egy szem (FreeBSD-s) laptopról. A munkahelyi tűzfalon FreeBSD, konkrétan pfSense 1.2.3 van. Ha jól értem, mivel a benti háló NAT mögött van, kellene a NAT-T támogatás a kommunikáció során, hogy a NAT mögé megérkezhessenek az ESP csomagok. A probléma, hogy a pfSense 1.2.3 még nem támogatja a NAT-T-t, ez csak 2.0-tól van. Szóval kellene egy upgrade?

Exploit for CVE-2012-4576 - Linux ioctl handling

August 14, 2013, 10:12 am

≫ Next: pfSense utálja a Vodafone -t?

≪ Previous: IPsec mobil netről, NAT-T

$

0

0

Exploit for CVE-2012-4576 - Linux ioctl handling FreeBSD-securitytrey 2013. 08. 14., sze - 19:12

CVE-2012-4576-linux.c

Régi, javított sebezhetőség, de tegnap publikáltak hozzá exploitot.

pfSense utálja a Vodafone -t?

February 10, 2014, 11:43 pm

≫ Next: FreeBSD/ZFS DoS

≪ Previous: Exploit for CVE-2012-4576 - Linux ioctl handling

$

0

0

pfSense utálja a Vodafone -t? FreeBSD-securitylorinczi 2014. 02. 11., k - 08:43

Évek óta pfSense mögül netezek asztali gépről. Most azt a fura dolgot vettem észere, hogy a Vodafone.hu rendszeresen elérhetetlen (és itt kell kifizetnem a mobil számlámat). A vodafone.hu-ra kattintva csak vár...vár...
Bármilyen más honlapot (bank, biztosító, magyarorszag.hu) simán megnyit.
Mi lehet ez?

FreeBSD/ZFS DoS

February 24, 2014, 2:29 am

≫ Next: FreeBSD OpenSSH biztonsági probléma?

≪ Previous: pfSense utálja a Vodafone -t?

$

0

0

FreeBSD/ZFS DoS FreeBSD-securitykrichy 2014. 02. 24., h - 11:29

Valaki, akinek van zfs-es freebsd telepitese, futtassa le ezt: http://pastebin.com/pFX9Qazn

Elso korben lehet userkent is, jo esetben mar akkor is elpanikol a rendszer. Kell hozza egy dataset es egy snapshot (ezt persze user nem tudja megcsinalni, de lehet, hogy a rendszerrol keszul snapshot pl cronbol). Es ha ez megvan, akkor parameterezes:

$ crash.sh pool/test@snap

Jo esellyel userkent megall. A 41 es 42-sor kommentezese utan mer lehet hogy kell root jog, de akkor is latszik, hogy csak normalisnak latszo muveleteket hajtunk vegre, es lesznek szep deadlockok. Mar felvettem a kapcsolatot veluk, de gyakorlatilag eredmenyre nem jutottam, pedig kuldtem patchet is.

FreeBSD OpenSSH biztonsági probléma?

April 11, 2014, 4:05 am

≫ Next: c-icap nem megy [SOLVED]

≪ Previous: FreeBSD/ZFS DoS

$

0

0

FreeBSD OpenSSH biztonsági probléma? FreeBSD-securitytrey 2014. 04. 11., p - 13:05

Avagy, mire célozhatott Theo de Raadt:

... as long as you aren't using FreeBSD or a derivative (hint: Jupiper),
you are fine. That's the only place I know of an OpenSSH hole.

Oh now I sense some angst. Please ask Kirk McKusick, he knows the
story about why this is not being disclosed to FreeBSD. Sometimes I
feel a bit sorry for them (and for him), but then the next minute I
don't feel sorry because there's damn good reasons they won't be
told about what I found.

Does that answer help? Hope so.

A válaszokat ide várjuk az illetékesektől.

c-icap nem megy [SOLVED]

March 17, 2016, 4:18 am

≫ Next: firewall tiltó lista

≪ Previous: FreeBSD OpenSSH biztonsági probléma?

$

0

0

c-icap nem megy [SOLVED] FreeBSD-securitynagylzs 2016. 03. 17., cs - 12:18

Na nem biztos hogy a security-be tartozik el. Telepítettem egy c-icap szervert, aminek többek között az lenne a feladat, hogy a squid által szolgáltatott weblapokat szűrje meg. Telepítettem hozzá egy squidclamav-t is. Amikor foreground + debug módban megpróbálom elindítani a c-icap-ot akkor a következő történik:

# /usr/local/bin/c-icap -f /usr/local/etc/c-icap/c-icap.conf -D
The acl spec all does not exists!
squidclamav.c(183) squidclamav_init_service: DEBUG Going to initialize squidclamav
LOG Reading configuration from /usr/local/etc/c-icap//squidclamav.conf
LOG Reading directive maxsize with value 5000000
LOG Reading directive clamd_local with value /var/run/clamav/clamd.sock
LOG Reading directive timeout with value 1
LOG Reading directive logredir with value 0
LOG Reading directive dnslookup with value 1
LOG Reading directive safebrowsing with value 0
Warning, alias is the same as service_name, not adding
#

Szóval az történik, hogy beolvassa a konfig állományokat. Látszólag nincs semmiféle hiba (csak LOG sorok vannak és egy WARNING), de a program befejeződik, és mindenféle további magyarázat nélkül visszakapom a prompt-ot. Ha rc script-ből próbálom meg elindítani, akkor pontosan ugyan ez a helyzet. Nincs üzenet, nincs semmi a logban:

# /usr/local/etc/rc.d/c-icap start
Starting c_icap.
# /usr/local/etc/rc.d/c-icap status
c_icap is not running.
#

Így hibaüzenet hiányában nem sikerült rájönnöm hogy mi a baj. Mi lehet a baja?

Környezet: FreeBSD 10.2-RELEASE c-icap-0.3.5_2,2 squidclamav-6.13

firewall tiltó lista

July 4, 2017, 3:13 am

≪ Previous: c-icap nem megy [SOLVED]

$

0

0

firewall tiltó lista FreeBSD-securityfajitas 2017. 07. 04., k - 12:13

Üdv!
Tegnap felraktam egy pfsense tűzfalat. Mivel alapból enged mindent, tehát webezni stb. ezért tiltó listát kell neki megadnom ha konfigurálom.Nem lehet valahogy ezt megfordítnani, és az engedélyeket leírni neki?

---