Archive for the 'security' Category

FreeBSD: Как проверить firewall ?

Published
by
Gaspar Chilingarov
on July 17, 2009
in Unix/FreeBSD and security
. Comments

Иногда нужно бывает по-быстрому проверить работу firewall - какой трафик пропускается, а какой нет.

Самый быстрый, грубый и неточный способ - это просканировать порты :)

Сканер портов nmap

Ставим приложение nmap


cd /usr/ports/security/nmap
make install

После инсталяции запускаем его, эта команда просканирует порты занимаемые наиболее распространенными сервисами:

nmap -vv -n -F TARGET_IP

Если вам нужно просканировать конкретный порт или диапазон портов (скажем с 1 по 1024)

nmap -vv -n -p 1-1024 TARGET_IP

Понравилось? Подпишись на RSS!

Хочешь написать статью? Мы ищем авторов (и не только за красивые глаза, но и за дохлых президентов).

Ошибки безопасности в FreeBSD, пора обновить систему

Published
by
Gaspar Chilingarov
on June 11, 2009
in Unix/FreeBSD and security
. Comments

Если вы не следите за обновлениями системы FreeBSD, то сейчас
настало самое подходящее время.

Вчера были опубликованы 3 ошибки безопасности в ОС FreeBSD.

FreeBSD-SA-09:11.ntpd

Ошибка в демоне ntdp (синхронизация времени). Возможно выполнение
произвольного кода с правами суперпользователя.

Ошибку можно использовать только если у вас в файле /etc/ntp.conf
стоит опция “autokey”. По умолчанию, у вас этого файла вообще
быть не должно.

FreeBSD-SA-09:10.ipv6

Локальные пользователи могут менять настройки IPv6 стека. Если у
вас нет локальных пользователей, которым вы не доверяете, можете
смело пропускать это предупреждение.

Эта ошибка касается ТОЛЬКО IPv6 , IPv4 ей не подвержен.

FreeBSD-SA-09:09.pipe

Ошибка при использовании pipes (конвейера). Из-за специфичной для
FreeBSD оптимизации есть возможность читать память других
процессов, что можетп риводить к утечке паролей и другой важной
информации.

Если у вас нет локальных пользователей, которым вы не доверяете,
на вас это не распространяется. Но для повышения безопасности
системы все-таки стоит обновить ядрօ.

Успешного make world вам!

Понравилось? Подпишись на RSS!

Хочешь написать статью? Мы ищем авторов (и не только за красивые глаза, но и за дохлых президентов).

FreeBSD: Что такое ipfw и зачем его применять?

Published
by
Gaspar Chilingarov
on April 25, 2009
in Unix/FreeBSD, security and Тренинги
. Comments

Что такое ipfw?

ipfw - это фильтр пакетов IP, который используется в FreeBSD. В данный момент ipfw уже вырос из просто фильтра пакетов и превратился в мощный сетевой инструмент для обеспечения безопасности.

Что он умеет делать?

  1. Как уже понятно из названия - фильтровать пакеты - часть пакетов пропускать, часть просто выкидывать.
  2. Фильтровать пакеты на разных уровнях - на канальном и на сетевом.
  3. Перенаправлять пакеты на другие хосты или в процессы, выполняющиеся на хосте (в частности, для NAT, для прозрачного кэширования или для тонкой настройки маршрутизации)
  4. Уничтожать пакеты и генерировать соответстувющий код ответа.
  5. Управлять полосой пропускания и распределением канала между разными запросами.
  6. Вводить ограничения по скорости для отдельных IP/протоколов/сетей.

Логически ipfw состоит из двух больших частей - фильтрация траффика (собственно ipfw) и управление скоростью/приоритетами (dummynet).

Зачем применяется ipfw?

  • Ограждать внутренюю сеть от внешних атак
  • Ограждать сервер от атак снаружи и изнутри
  • Четко контролировать доступ к сетевым ресурсам. Разрешать только санкционированый доступ и запрещать несакнционированый.
  • Предотвращать часть атак класса ‘отказ обслуживания’ (DoS).
  • Служит одним из слоев защиты сервера (защита на сетевом уровне).
  • Логгинг траффика - разрешенных и запрещенных пакетов.
  • Поддерживает трансляцию и преобразование запросов (при помощи посторонних программ)
  • Проверка целостности(состояния) запросов - вам не должны приходить ответы на запросы, которых вы не посылали.

Зачем применяется dummynet?

  • Ограничение скорости по отдельному сервису (скажем, для веб сервера).
  • Ограничение скорости по отдельному IP (не больше 64кбит для одного IP).
  • Ограничение скорость по сети (данному клиенту - не более такой-то полосы пропускания).
  • Эмуляция медленных каналов связи.
  • Эмуляция каналов связи с задержками.
  • Эмуляция каналов связи с потерями пакетов.

Наиболее распространеная ошибка при использовании ipfw!

Та-дамм. Естественно, удаленное администрирование ipfw. Если вы не предусмотрели механизмов автоматического отключения ipfw и загрузили неправильную конфигурацию - все, пишите письма. Только доступ к консоли вас спасет.

Поэтому после одного-двух раз наученые опытом администраторы уже заранее готовятся к сценарию, что они неправильно создали конфигурацию. Даже маленькая опечатка в одну букву может лишить вас … доступа.

Поэтому нужно заранее предусмотреть, чтоб по прошествии какого-то времени восстановились предыдущие правила конфигурации или вообще отключился бы ipfw.

Конечно, можно еще неправильно его сконфигурировать, но это уже совершенно другая история.

Тренинг по ipfw

Все в деталях о ipfw - в тренинге по ipfw/pf/NAT.
Записывайтесь сейчас, 28 апреля цена подымется до 4000 рублей!

Понравилось? Подпишись на RSS!

Хочешь написать статью? Мы ищем авторов (и не только за красивые глаза, но и за дохлых президентов).

Ошибки безопасности в FreeBSD

Published
by
Gaspar Chilingarov
on April 22, 2009
in Unix/FreeBSD and security
. Comments

Сегодня вышло два обновления для исправления ошибок безопасности в FreeBSD

FreeBSD-SA-09:08.openssl

Ошибка в библиотеке opessl, при печати данных сертификата.

Удаленно можно запускать любой код, если ваше приложение распечатывает данные сертификата.

Критичность: Высокая. Можно получить удаленный доступ к машине.

Единственное решение -  поднять версию системы. Обходных путей для решения этой проблемы нет.

URL:

http://security.FreeBSD.org/advisories/FreeBSD-SA-09:08.openssl.asc

FreeBSD-SA-09:07.libc

Ошибка в библиотеке libc, при обработке Berkley DB файлов. Они широко используются в системе, в частности для хранения паролей (/etc/pwd.db, /etc/spwd.db). Ошибка может приводить к тому, что какая-то информация из памяти процесса будет записана в файл создаваемой базы данных и, таким образом, будет приводить к утечке информации из процесса - если этот файл может быть прочитан другими пользователями.

Критичность: Невысокая. Особенно если у вас нет локальных пользователей, которым вы не доверяете.

Решение: Обновить исходники и перекомпилировать систему.

URL:

http://security.FreeBSD.org/advisories/FreeBSD-SA-09:07.libc.asc

Понравилось? Подпишись на RSS!

Хочешь написать статью? Мы ищем авторов (и не только за красивые глаза, но и за дохлых президентов).

FreeBSD: смена пароля пользователя

Published
by
Gaspar Chilingarov
on March 31, 2009
in Unix/FreeBSD and security
. Comments

Как поменять пароль, если вы не суперпользователь root?

Для этого существует команда passwd. Она запросит старый пароль, а потом новый и подтверждение нового пароля.

Как поменять пароль, будучи root?

passwd имя_пользователя

меняет пароль данного пользователя, не спрашиваю старого пароля.

Как заблокировать пользователя?

Самый простой способ - это отредактировать файл /etc/passwd. Запускаете

chpass имя_пользователя

в о открывшемся редакторе перед полем с зашифроманым паролем ставите какой-либо символ, лучше звездочку - она точно не может быть в этом поле. Когда нужно будет разблокировать пользователя - можете эту звездочку оттуда убрать.

То есть

Password: $1$0p97EnFA$Vfj56ZC43BDRhac11866r/

меняется на

Password: *$1$0p97EnFA$Vfj56ZC43BDRhac11866r/

Этого достаточно чтоб заблокировать вход пользователя.

СМЕНА ПАРОЛЯ ПОЛЬЗОВАТЕЛЯ НЕ ПОМОЖЕТ, если настроен доступ по ssh ключам - читайте в следующих постах.

Приглашаются авторы на Unixmastera.ru. Покажи на что ты способен - напиши совет сам :)

Понравилось? Подпишись на RSS!

Хочешь написать статью? Мы ищем авторов (и не только за красивые глаза, но и за дохлых президентов).

Unix/FreeBSD: Редактирование /etc/passwd

Published
by
Gaspar Chilingarov
on March 29, 2009
in Unix/FreeBSD and security
. Comments

FreeBSD - редактирование /etc/passwd файла

Поскольку FreeBSD использует не только текстовый файл для хранения паролей, но и дополнительную базу данных (для ускорения поиска), то редактировать файл напрямик не даст вам никакой пользы. После этого все равно придется заново компилировать базу /etc/[s]pwd.db .

FreeBSD: Идеологически верный способ отредактировать /etc/passwd и /etc/master.passwd

Правильным методом является использование команд vipw, chsh, chfn. После редактирования passwd файла или его кусочка, они проверяют данные на соответствие формату и после этого заносят изменения в текстовый файл и пересобирают сами базу.

  • vipw поможет вам подредактировать весь файл
  • chsh и chfn - изменят информацию о пользователе (стати их может запускать и сам пользователь)

Все эти команды используют ваш редактор по умолчанию. Скорее всего это vi (и есть шпаргалка по использованию Vi).

Linux/Solaris - редактирование /etc/passwd файла

Под Linux и Solaris точно такие же команды - vipw, chsh, chfn.

Только вот для редактирования shadow файла (где лежат пароли) вам нужно будет запустить команду vipw -s .

Все эти команды используют ваш редактор по умолчанию. Скорее всего это vi (и есть шпаргалка по использованию Vi).

Будьте осторожны при редактировании файла /etc/passwd!
Особенно обращайте внимание на то, чтоб не разделить какую-либо
строчу на две - потом замучаетесь собирать обратно!

Приглашаются авторы на Unixmastera.ru. Покажи на что ты способен - напиши совет сам :)

Понравилось? Подпишись на RSS!

Хочешь написать статью? Мы ищем авторов (и не только за красивые глаза, но и за дохлых президентов).

FreeBSD - Локальная Безопасность: Ошибка в ядре (FreeBSD-SA-09:06.ktimer)

Published
by
Gaspar Chilingarov
on March 25, 2009
in Unix/FreeBSD and security
. Comments

В седьмой ветке FreeBSD нашли проблемы  с безопасностью.

Если у вас есть локальные пользователи, которым вы не доверяете  - тогда это вас касается.  Даже если у вас их нет - аналогично, стоит обновит исходники ядра.

1. Предыстория

В 7.x ветке FreeBSD был введен новый тип таймеров для соответствия realtime расширениям POSIX. Это позволяло каждому процессу иметь несколько разных таймеров и когда они достигали нулевого значения реагировать на это событие.

2. Описание проблемы

Целое число (integer), которое определяет номер таймера с которым хочет работать процесс неправильно проверялось на предельыне значения.

3. Воздействие на систему

Непривелигированый пользователь может перезаписать любую ячейку в памяти ядра. Это может быть использовано для того, чтоб поменять  User ID процесса - чтоб получить привелегии root, для того, чтоб выйти за
пределы тюрьмы :) (jail) или чтоб обойти механизмы безопасности каким-нибудь другим путем.

4. Обходные пути

Обходных путей, как можно это запретить - не существует. Но если у вас на системе нету непривегированых пользователей, которым вы не доверяете - вы можете пока не исправлять эту ошибку - на вас она сильно не влияет.

Хотя на пару с ошибкой в любой сервисе, который работает на этом компьютере и который позволит выполнить   злоумышленнику исполняемый код - может оказаться критической проблемой.

5. Как исправить?

Обновить исходники ядра FreeBSD и перекомпилировать.

Подробнее - http://security.freebsd.org/advisories/FreeBSD-SA-06:09.ktimer.asc

Понравилось? Подпишись на RSS!

Хочешь написать статью? Мы ищем авторов (и не только за красивые глаза, но и за дохлых президентов).