Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2011-03-26 00:33:12
womperm - 
Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
FreeBSD vs. OpenBSD na serwer
Witam, które z tych systemów spełnią najlepiej rolę serwera publicznego typu shell?
Myślałem na OpenBSD ale podobno trudniejszy niż Free, ale w sumie w Free mamy
sysinstall no to nie jest tak źle. Brać Opena? A debian to moim zdaniem bardziej na
prywatne serwery.
Offline
#2 2011-03-26 05:16:47
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: FreeBSD vs. OpenBSD na serwer
Zauważ, że na serwerze publicznym niewielu ludzi zna *BSD, więc w takim shellu niewielu będzie umiało cokolwiek zrobić, a administrację szybko makówka rozboli od narzekań i płaczów.
Poza tym np shell Duga chodzi na Gentoo hardened - jajo z grsecurity, i działa dobrze, w niczym żadnemu *BSD nie ustępując, a przynajmniej wszystkie polecenia powłoki udostępnione na tym serwerze są takie same, jak w Debianie, i działają tak samo.
Kod:
DUG jacekalex ~ $ uname -a Linux piaskownica 2.6.33.2-grsec-dug-domU #4 SMP Sat Apr 10 12:47:22 CEST 2010 x86_64 Intel(R) Xeon(R) CPU X3430 @ 2.40GHz GenuineIntel GNU/Linux DUG jacekalex ~ $ hostname piaskownica DUG jacekalex ~ $ /sbin/ifconfig -bash: /sbin/ifconfig: Brak dostępu DUG jacekalex ~ $ /sbin/iptables -bash: /sbin/iptables: Brak dostępu DUG jacekalex ~ $ ls -l /dev/grsec crw-rw---- 1 root root 1, 13 02-26 17:43 /dev/grsec DUG jacekalex ~ $ exit logout Connection to shell.dug.net.pl closed.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2011-03-26 05:19:59)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2011-03-26 07:03:17
debianus_userus - Członek DUG
- debianus_userus
- Członek DUG
- Skąd: Warszawa
- Zarejestrowany: 2005-08-29
- Serwis
Re: FreeBSD vs. OpenBSD na serwer
Zdecydowanie brac OpenBSD - nie jest to absolutnie system skomplikowany w instalacji. Na necie masz mase tutkow jak zainstalowac OpenBSD w 5 min :)
http://jakilinux.org/category/bsd/openbsd/
Co do linuksa z latka grsecurity tez jest ciekawym pomyslem, ale ja np. mialem problem z "wspolistnieniem" z serwerami aplikacyjnymi np. JBOSS :( wiec musialem przejsc na kernel firmowy.
Nie bez znaczenia jest, ze takiej latki nie mozna zapodac sobie na distro typu RedHat tzn. jak najbardziej mozna ale traci sie wtedy support...
Offline
#4 2011-03-26 10:49:02
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: FreeBSD vs. OpenBSD na serwer
Grsecurity samo nie jest groźne, natomiast dla aplikacji, które pochodzą z zewnątrz typu flashplayer, java od suna, czy choćby Virtualbox albo JBoss zabójczy jest PAX, zwłaszcza funkcje noexec czy underdef.
Generalnie trochę ten moduł trzeba poznać, żeby zgrać go z takimi aplikacjami.
Natomiast w konfiguracji /etc/grsec/policy możesz tak dowolnie kształtować politykę bezpieczeństwa, że rezygnując z niektórych funkcji domyślnych konfigu na rzecz głównie polityki - można dosłownie każdy scenariusz zaprogramować.
Włącznie z pozornym obniżeniem bezpieczeństwa, czyli pozwoleniem np na otwarcie portu poniżej 1024 (np port 21) z poziomu użytkownika innego niż root, co pozwala nieźle zabezpieczyć m.in serwer ftp (ustawiając mu prawa zapisu/odczytu w normalnym ACL).
Natomiast napisz lepiej, co na tym shellu za programy mają działać, i jakie będą dostępne dla użytkowników.
Bo co do systemów typu Gentoo Hardened, Slackware, OpenBSD, FreeBSD, czy Debian masz dobry support (społeczność i dokumentację), a to jest znacznie lepsze i skuteczniejsze od wspaniałych supportów korporacyjnych, (mam na myśli Polskę, np w USA może wyglądać to inaczej).
Pomijając koszt komercyjnego supportu w kontekście publicznego serwera shell ;)
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2011-03-26 10:59:39)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2011-03-26 12:38:53
Yampress - Imperator
- Yampress
- Imperator
- Zarejestrowany: 2007-10-18
Re: FreeBSD vs. OpenBSD na serwer
" PaX features are part of OpenBSD (MagicPoint presentation)"
"PaX is part of grsecurity"
Pyknij Opena. Po instalacji bardzo mało pracy trzeba włożyć w hardening a od razu uzyskujesz system bardzo bezpieczny.
Offline
#6 2011-03-26 12:44:01
bryn1u - Użytkownik
- bryn1u
- Użytkownik
- Zarejestrowany: 2009-04-17
Re: FreeBSD vs. OpenBSD na serwer
@Jacekalex
Ciekawie piszesz o tym grsec. Masz moze jakies linki, materialy w jezyku polskim o konfiguracji grsec ? Bylbym wdzieczny.
Z gory dziekuje. Pozdrawiam.
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
#7 2011-03-26 15:51:36
womperm - Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
Re: FreeBSD vs. OpenBSD na serwer
Hmm, chyba skusze się na Opena sam instalator był "wypytujący" tak tak to lubię ;)
Programy które będą działać to ekg, mc, screen, irssi. Do tego trzeba będzie nginx-a
zamknąć w jakiejś klatce (jail jest przeportowane z Free, ale czy jest coś natywnego)?
Właściwie musi być bo to "OpenBSD", aha nie wieże coś w te security od pierwszego
boota.
Offline
#8 2011-03-26 18:33:56
Yampress - Imperator
- Yampress
- Imperator
- Zarejestrowany: 2007-10-18
Re: FreeBSD vs. OpenBSD na serwer
w openie w defaulcie- zaraz po instalacji chrootowany jest apache http://www.openbsd.org/faq/faq10.html#httpdchroot
Offline
#9 2011-03-26 19:08:02
bryn1u - Użytkownik
- bryn1u
- Użytkownik
- Zarejestrowany: 2009-04-17
Re: FreeBSD vs. OpenBSD na serwer
[quote=womperm]Hmm, chyba skusze się na Opena sam instalator był "wypytujący" tak tak to lubię ;)
Programy które będą działać to ekg, mc, screen, irssi. Do tego trzeba będzie nginx-a
zamknąć w jakiejś klatce (jail jest przeportowane z Free, ale czy jest coś natywnego)?
Właściwie musi być bo to "OpenBSD", aha nie wieże coś w te security od pierwszego
boota.[/quote]
Jesli chodzi Ci o jaila doslownie przeportowanego z FreeBSD to nie ma czegos takiego. Jest sysjail, ktory juz dawno upadl i nie warto go stosowac. Duzo osob w tym tez developerzy OpenBSD pisza, ze chroot+systrace da podobne "wlasciwosci" co jail we Free jesli chodzi o bezpieczenstwo. Co do samego bezpieczenstwa w OpenBSD:
None of this is necessary or recommended, OpenBSD is already "hardened".. bumping the kern.securelevel will only serve to bite you in the butt.
Setting the schg flag is just silly, you'll have to boot into single-user mode if you ever need to recompile your kernel or adjust firewall rules.. you cannot remove those flags unless the securelevel is <= 0.
Swap is already encrypted, vm.swapencrypt.enable is already 1.. redundant much?
The services running as part of inetd are not insecure, and if you're concerned that someone will find a problem.. block access using pf.
There is no telnetd included with OpenBSD, that makes no sense at all.
OpenBSD "as-is" has been audited by some very intelligent people, the term "secure by default" isn't just a slogan.. they have 10 years of a fairly clean track record to prove it.
Want to harden the system? learn more about it first.. you'll find you have no reason to make such drastic changes to the base system.[/quote]
Hardening OpenBSD:
http://www.daemonforums.org/showthread.php?t=4120Ostatnio edytowany przez bryn1u (2011-03-26 19:08:59)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
#10 2011-03-26 19:17:13
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: FreeBSD vs. OpenBSD na serwer
[quote=bryn1u]@Jacekalex
Ciekawie piszesz o tym grsec. Masz moze jakies linki, materialy w jezyku polskim o konfiguracji grsec ? Bylbym wdzieczny.
Z gory dziekuje. Pozdrawiam.[/quote]
Sznurek: http://forum.dug.net.pl/viewtopic.php?id=18642
Co do jaila, zaintersuj się [url=http://forum.dug.net.pl/viewtopic.php?id=18582]LXC[/url]
Poza tym, chroot, już dawno przestał być skutecznym zabezpieczeniem w wersji standardowej (nie brakuje sposobów do wyrwania się z chroota), ale dzięki kilku drobiazgom w stylu:
Kod:
grep -i chroot /etc/sysctl.conf kernel.grsecurity.chroot_deny_shmat = 1 kernel.grsecurity.chroot_deny_unix = 1 kernel.grsecurity.chroot_deny_mount = 1 kernel.grsecurity.chroot_deny_fchdir = 1 kernel.grsecurity.chroot_deny_chroot = 1 kernel.grsecurity.chroot_deny_pivot = 1 kernel.grsecurity.chroot_enforce_chdir = 1 kernel.grsecurity.chroot_deny_chmod = 1 kernel.grsecurity.chroot_deny_mknod = 1 kernel.grsecurity.chroot_restrict_nice = 1 kernel.grsecurity.chroot_execlog = 1 kernel.grsecurity.chroot_caps = 1 kernel.grsecurity.chroot_deny_sysctl = 1 kernel.grsecurity.chroot_findtask = 1
dostaje drugą młodość ;)
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2011-03-26 19:24:04)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#11 2011-03-26 19:42:53
womperm - Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
Re: FreeBSD vs. OpenBSD na serwer
Echem... Czy systrace jest dziurawy? Może lepiej freebsd?
@Jacekalex, przeczytałeś mojego ostatniego posta w temacie http://forum.dug.net.pl/viewtopic.php?id=18582 ?
Mi nie jest potrzebne wirtualizować cały system tylko dwie usługi - nginx i ssh.
[b]EDIT:[/b]
Wolałbym wszystko w jailu tak jak na freebsd (chyba będę na niego zmuszony).
Ostatnio edytowany przez womperm (2011-03-26 19:44:30)
Offline
#12 2011-03-26 21:18:40
bryn1u - Użytkownik
- bryn1u
- Użytkownik
- Zarejestrowany: 2009-04-17
Re: FreeBSD vs. OpenBSD na serwer
Womperm no to zainstaluje freebsd. Odpisalem ci na pytanie bo chciales openbsd. Openbsd jest bardzo bezpieczny nic nie musisz zamykac po prostu zainstaluj !!!. Jezeli sam czegos nei spieprzysz to system ci bedzie sluzyl dlugie lata.
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
#13 2011-03-27 05:46:54
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: FreeBSD vs. OpenBSD na serwer
[quote=womperm]Echem... Czy systrace jest dziurawy? Może lepiej freebsd?
@Jacekalex, przeczytałeś mojego ostatniego posta w temacie http://forum.dug.net.pl/viewtopic.php?id=18582 ?
Mi nie jest potrzebne wirtualizować cały system tylko dwie usługi - nginx i ssh.
[b]EDIT:[/b]
Wolałbym wszystko w jailu tak jak na freebsd (chyba będę na niego zmuszony).[/quote]
Do nginxa wystarczy profesjonalna konfiguracja i chroot w wersji grsecurity.
Choć osobiście wziąłbym lighttpd z php-fpm, ma wbudowany najlepszy support do skryptów cgi jaki widziałem, wydajność przy php-fpm jakieś 15% mniejszą od nginxa, ale za to jest jakieś 10 razy łatwiejszy w konfiguracji.
@Jacekalex, przeczytałeś mojego ostatniego posta w temacie http://forum.dug.net.pl/viewtopic.php?id=18582 ?
Mi nie jest potrzebne wirtualizować cały system tylko dwie usługi - nginx i ssh.[/quote]
czytałem, i mam takie wnioski:
W Debianie nie zadziałało lxc, czy w innym systemie?
Na jaju systemowym czy domowym?
Poza tym oprócz lxc masz makejail (też nie działał?), jest jeszcze [url=http://www.gentoo-wiki.info/HOWTO_JailKit]jailkit[/url] - dość łatwy w obsłudze, natomiast, co do nie ma jaila jak w *BSD, to jest parawirtualizacja, Vserwer czy OpenVZ, i do tego Xen - para lub pełna wirtualizacja, i KVM - pełna wirtualizacja.
Jest w czym wybierać.
Czy Linux czy *BSD? każdy się nadaje, jak to zrobisz porządnie, i wiesz - jak to zrobić, żaden się nie nada, jeśli nie wiesz jak, lub zrobisz byle jak.
Który jest łatwiejszy? o gustach się nie dyskutuje, przy każdym trochę roboty jest.
Radziłbym się zainteresować OpenVZ, Xenem i KVM, głównie dlatego - że na przyszłość warto te techniki poznać, są stosowane na większości hostingów oferujących serwery VPS, czyżby dlatego, że się nie nadają?
Ja wziąłbym Gentoo - bo mi ten system odpowiada i go nieźle poznałem, ale ma w porównaniu z *BSD "bardzo ubogą" [url=http://www.gentoo.org/doc/pl/index.xml]dokumentację po polsku[/url]. :)
Druga straszna wada,: kłopoty z ssh? nginxem? irsi? - we wszystkich Linuxach są te same programy i takie same logi błędów.
W *BSD są zazwyczaj identyczne lub bardzo podobne.
Co do wirtualizacji ssh, IMHO nie ma to sensu.
SSh ma opcję zamykania usera w chroocie (musi tam mieć jakąś powłokę, żeby się zalogować)Kod:
grep -i chroot /etc/ssh/sshd_config #ChrootDirectory ~/serwery ftp jak pure-ftpd też mają takie funkcje (jednak nie potrzebują shella), a grsec robi z chroota pancerną klatkę, gdzie np nie można zmieniać uprawnień, albo można obciąć inne funkcje [url=http://www.gentoo.org/proj/pl/hardened/capabilities.xml?style=printable]POSIX capabilities[/url].
Dlatego to nie system ma się nadawać, tylko Administrator ma się nadawać,
a system weź taki, jaki potrafisz porządnie skonfigurować i zabezpieczyć.
To by było na tyle
;-)Ostatnio edytowany przez Jacekalex (2011-03-27 05:59:14)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#14 2011-03-27 11:56:34
bryn1u - Użytkownik
- bryn1u
- Użytkownik
- Zarejestrowany: 2009-04-17
Re: FreeBSD vs. OpenBSD na serwer
Zainstaluj sobie freebsd i masz odrazu tuning dla freebsd dla aktywnych 100.000 - 200.000 polaczen. Tutek poczatkowo na prezentacji Igor'a autora nginx'a.
it was initially based on Igor Sysoev's (author of nginx) presentation about FreeBSD tuning up to 100,000-200,000 active connections.[/quote]
http://serverfault.com/questions/64356/freebsd-performance-tuning-sysctls-loader-conf-kernelOstatnio edytowany przez bryn1u (2011-03-27 13:40:59)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
#15 2011-03-27 15:52:13
womperm - Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
Re: FreeBSD vs. OpenBSD na serwer
Wszystko to jest na debianie. Jajko było takie jakie jest obecne w squeeze. Hmm, a co sądzisz o chrootcie + grsecurity?
Skoro mówisz że to jest parawirtualizacja no to po co ludzie to stosują?
Zrobię ssh + chroot (z grsec), powinno być ok? FTP nie używam bo to przeżytek.
Ten serwer to:
Celeron 2.6GHz
256MB RAM
HDD 80GB.
Jak powszechnie wiadomo balerony nie wspierają sprzętowo wirtualizacji.
Brakuje mi do tego jeszcze jakiejś opcji aby user nie mógł uruchamiać jakiś programów np. wget.
Hmm, zapomniałem o separacji procesów, chyba właśnie dlatego ludzie używają jail ;)
Ostatnio edytowany przez womperm (2011-03-27 15:58:37)
Offline
#16 2011-03-27 16:08:20
bryn1u - Użytkownik
- bryn1u
- Użytkownik
- Zarejestrowany: 2009-04-17
Re: FreeBSD vs. OpenBSD na serwer
Chroot + grsec jak najbardziej ok. Co do programow typu wget uzywasz poprostu chmoda. Robisz sobie grupe i userzy dopisani do tej grupy moga korzystac z wget. To samo mozesz zrobic z ifconfig, uname z kompilatorami i innymi programami. Dla pocieszenia w grsec masz opcje, ktora nie pozwala userowi widziec wiecej procesow niz swoich.
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
#17 2011-03-27 17:59:49
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: FreeBSD vs. OpenBSD na serwer
Jeśli to Celeron i 256 ramu, to chociaż nie potrzebujesz zbyt wielu programów (KDE na shellu nie pójdzie ;) ), ale w przypadku Gentoo zainteresuj się [url=http://tinderbox.dev.gentoo.org/]tinderboxem[/url].
Pozdrawiam
;-)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#18 2011-03-27 18:05:33
womperm - Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
Re: FreeBSD vs. OpenBSD na serwer
KDE 3.5 poszło na tym sprzęcie, tylko za mało ramu było, ale po co X'y stawiać?
Jaka to jest opcja w grsec żeby user nie widział więcej procesów niż swoich?
Offline
#19 2011-03-27 18:31:35
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: FreeBSD vs. OpenBSD na serwer
To ta:
CONFIG_GRKERNSEC_PROC=y
# [b]CONFIG_GRKERNSEC_PROC_USER[/b] is not set
CONFIG_GRKERNSEC_PROC_USERGROUP=y
CONFIG_GRKERNSEC_PROC_GID=100
CONFIG_GRKERNSEC_PROC_ADD=y
CONFIG_GRKERNSEC_PROC_IPADDR=y
CONFIG_KEYS_DEBUG_PROC_KEYS=y[/quote]
W konfigu kernela masz opisy przy każdej funkcji grsec/paxa.
Widać je w xconfig.
Na serwerze włączyłbym m in:Kod:
CONFIG_GRKERNSEC_IO CONFIG_PAX_MEMORY_UDEREF CONFIG_PAX_NOEXECNa desktopie nie używam ich, bo blokują m.in xserver.
Ale na shellu, gdzie soft masz z repo, lub kompilowany, problemu raczej nie będzie.
Pozdrawiam
;-)Ostatnio edytowany przez Jacekalex (2011-03-27 18:37:34)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#20 2011-03-27 19:09:27
womperm - Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
Re: FreeBSD vs. OpenBSD na serwer
Tylko że u mnie czegoś takiego niema. Jajo 2.6.32-5-686.
Co to znalazłem w "security"
Kod:
# # Security options # CONFIG_KEYS=y CONFIG_KEYS_DEBUG_PROC_KEYS=y CONFIG_SECURITY=y CONFIG_SECURITYFS=y CONFIG_SECURITY_NETWORK=y CONFIG_SECURITY_NETWORK_XFRM=y CONFIG_SECURITY_PATH=y CONFIG_SECURITY_FILE_CAPABILITIES=y # CONFIG_INTEL_TXT is not set CONFIG_LSM_MMAP_MIN_ADDR=0 CONFIG_SECURITY_SELINUX=y CONFIG_SECURITY_SELINUX_BOOTPARAM=y CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0 CONFIG_SECURITY_SELINUX_DISABLE=y CONFIG_SECURITY_SELINUX_DEVELOP=y CONFIG_SECURITY_SELINUX_AVC_STATS=y CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1 # CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set CONFIG_SECURITY_TOMOYO=y # CONFIG_IMA is not set CONFIG_XOR_BLOCKS=m CONFIG_ASYNC_CORE=m CONFIG_ASYNC_MEMCPY=m CONFIG_ASYNC_XOR=m CONFIG_ASYNC_PQ=m CONFIG_ASYNC_RAID6_RECOV=m CONFIG_ASYNC_TX_DISABLE_PQ_VAL_DMA=y CONFIG_ASYNC_TX_DISABLE_XOR_VAL_DMA=y CONFIG_CRYPTO=y
Aha mam
Kod:
Automatically generated make config: don't edit
Nie jestem pewny ale jeśli zmienił bym coś w configu no to musiał bym jądro prze-kompilować?
Przecież na tym sprzęcie to mordęga.
Offline
#21 2011-03-27 19:10:30
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: FreeBSD vs. OpenBSD na serwer
A łata grsecurity nałożona?
Poza tym weź sobie to repo:
Sznurek: http://kernelsec.cr0.org/
Zainstaluj z niego linux-sources, gradm, paxctl i paxtest - źródła i narzędzia do grsec/paxa.
A potem szukaj w configu źródła z kernelsec.
Tam też jest gotowe jajo, z domyślnym maksymalnym stopniem ochrony (high), i o ile pamiętam, bez supportu sysctl.
Może wystarczy.
Ostatnio edytowany przez Jacekalex (2011-03-27 19:15:18)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#22 2011-03-27 21:56:13
Yampress - Imperator
- Yampress
- Imperator
- Zarejestrowany: 2007-10-18
Re: FreeBSD vs. OpenBSD na serwer
[quote=bryn1u]. Dla pocieszenia w grsec masz opcje, ktora nie pozwala userowi widziec wiecej procesow niz swoich.[/quote]
A w bsd tego nie ma ??? Nawet nie trzeba łat nakładać wystarczy opcja sysctl
Offline
#23 2011-03-28 01:15:39
womperm - Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
Re: FreeBSD vs. OpenBSD na serwer
Jacekalex: chodzi Ci o pakiet linux-image-2.6.32.15-1-grsec?
Te jajko jest nowsze niż u mnie w stable, debian znowu w tyle.
Wystarczy pewnie, do jakiegoś czasu :-)
//edit: ktoś może pamięta user dir do nginx-a żeby wskazywał na
adres nazwa-uzyszkodnika.domena.pl. Na wiki jest opis tylko do
"apachowego" tzw. domena/~nazwa-uzytkownika.
Ostatnio edytowany przez womperm (2011-03-28 01:37:06)
Offline
#24 2011-03-28 01:39:46
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: FreeBSD vs. OpenBSD na serwer
Linux-image -jak ostatnio miałem z nim do czynienia, nie miał supportu sysctl, przez co trudniej było nad nim zapanować.
Radziłbym go spróbować, ale na bazie jego konfigu skompilować własne jajo, żeby stworzyć sobie lepsze możliwości konfiguracji.
Poza tym przy kompilacji radzę dorzucić kluczowe sterowniki (niezbędne serwerowi do życia) statycznie w jajo, resztę wywalić całkiem, co zauważalnie poprawi stabilność serwera, i zaoszczędzi kilka MB na dysku.
Nie mniej jednak spróbuj linux-image-grsec, ma włączony najwyższy poziom ochrony, i jeśli wszystkie programy będą na nim działać prawidłowo, to może zostać.
Kompilacja może być potrzebna, gdyby np z jajem grsec z paczki nie działał LXC, czy jakaś parawirtualizacja, lub potrzebowałbyś włączać i wyłączać różne funkcje grsec przez sysyctl.
Co do ftp -to szyfrowany ftp ma tą przewagę nad ssh, że z poziomu ftp możesz wejść do folderu zabezpieczonego mechanizmem chroot, bez aktywnej powłoki shell, ssh w takim przypadku nie zaloguje użytkownika nawet przy sftp (przynajmniej u mnie).
Także każde narzędzie ma swoje wady i zalety.
Osobiście wziąłbym na ten serwer ( o ile nie Gentoo, to Ubuntu Serwer -ma wsparcie dla ochrony poszczególnych aplikacji poprzez apparmora, sciągnąłbym linux-source Ubuntu, dorzucił mu grsec/paxa jako dodatkową globalną ochronę, i spał spokojnie ;).
Mam tak w domu, żadnej kolizji międzi Grsecurity a Apparmorem nie widzę, Grsecurity zapewnia globalną ochronę systemu, Ww Apparmorze znacznie łatwiej konfigurować profile dla poszczególnych aplikacji, jest sporo gotowych profili w paczkach i na necie.
Ubuntu w stosunku do Squeeze, w najnowszych wersjach dalej zaszło w stosowaniu wzmocnionych flag kompilacji, typu np ASLR i PIE.
W Debianie mają z tym lekkie opóźnienie, które chyba (mam nadzieję) wkrótce zostanie nadrobione (Developerzy Debiana pracują nad tym).
Te wzmocnienia na poziomie kompilatora są głownie skuteczne przy blokowaniu exploitów atakujących m.in bufor i stos.
W Gentoo hardened wzmocnione flagi kompilatora są od ponad 6 - 7 lat.
I chyba właśnie dlatego Biexi postawiła DUGA na Gentoo, - hakerzy do samego systemu się tu jeszcze nie dobrali, raz tylko włamali się do PhpBB - gdzie winny był wadliwy skrypt forum.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-03-28 01:44:33)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#25 2011-03-28 07:32:03
womperm - Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
Re: FreeBSD vs. OpenBSD na serwer
Widzę że zakochany jesteś w Gentoo, chciałem postawić go na desktopie ale mój procesor (pentium 4 2.8ghz) mi na to nie pozwalał.
Jak pentium nie pozwalał to co dopiero celeron. Debian ma SELinuksa zamast apparmora. Dobra, dobra ja muszę już iść.
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00105 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.218.73.233' WHERE u.id=1 |
| 0.00091 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.218.73.233', 1732221154) |
| 0.00049 | SELECT * FROM punbb_online WHERE logged<1732220854 |
| 0.00057 | SELECT topic_id FROM punbb_posts WHERE id=169372 |
| 0.00010 | SELECT id FROM punbb_posts WHERE topic_id=18643 ORDER BY posted |
| 0.00056 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18643 AND t.moved_to IS NULL |
| 0.00008 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00122 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18643 ORDER BY p.id LIMIT 0,25 |
| 0.00093 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18643 |
| Total query time: 0.00604 s | |