Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-03-26 00:33:12

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

FreeBSD vs. OpenBSD na serwer

Witam, które z tych systemów spełnią najlepiej rolę serwera publicznego typu shell?
Myślałem na OpenBSD ale podobno trudniejszy niż Free, ale w sumie w Free mamy
sysinstall no to nie jest tak źle. Brać Opena? A debian to moim zdaniem bardziej na
prywatne serwery.

Offline

 

#2  2011-03-26 05:16:47

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

Zauważ, że na serwerze publicznym niewielu ludzi zna *BSD, więc w takim shellu niewielu będzie umiało cokolwiek zrobić, a administrację  szybko makówka rozboli od narzekań i płaczów.

Poza tym np shell Duga chodzi na Gentoo hardened - jajo z grsecurity, i działa dobrze, w niczym żadnemu *BSD nie ustępując, a przynajmniej wszystkie polecenia powłoki udostępnione na tym serwerze są takie same, jak w Debianie, i działają tak samo.

Kod:

 DUG jacekalex ~ $ uname -a
Linux piaskownica 2.6.33.2-grsec-dug-domU #4 SMP Sat Apr 10 12:47:22 CEST 2010 x86_64 Intel(R) Xeon(R) CPU X3430 @ 2.40GHz GenuineIntel GNU/Linux
DUG jacekalex ~ $ hostname
piaskownica
DUG jacekalex ~ $ /sbin/ifconfig
-bash: /sbin/ifconfig: Brak dostępu
 DUG jacekalex ~ $ /sbin/iptables
-bash: /sbin/iptables: Brak dostępu
DUG jacekalex ~ $ ls -l /dev/grsec
crw-rw---- 1 root root 1, 13 02-26 17:43 /dev/grsec
 DUG jacekalex ~ $ exit
logout
Connection to shell.dug.net.pl closed.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-03-26 05:19:59)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2011-03-26 07:03:17

  debianus_userus - Członek DUG

debianus_userus
Członek DUG
Skąd: Warszawa
Zarejestrowany: 2005-08-29
Serwis

Re: FreeBSD vs. OpenBSD na serwer

Zdecydowanie brac OpenBSD - nie jest to absolutnie system skomplikowany w instalacji. Na necie masz mase tutkow jak zainstalowac OpenBSD w 5 min :)
http://jakilinux.org/category/bsd/openbsd/
Co do linuksa z latka grsecurity tez jest ciekawym pomyslem, ale ja np. mialem problem z "wspolistnieniem" z serwerami aplikacyjnymi np. JBOSS :( wiec musialem przejsc na kernel firmowy.
Nie bez znaczenia jest, ze takiej latki nie mozna zapodac sobie na distro typu RedHat tzn. jak najbardziej mozna ale traci sie wtedy support...

Offline

 

#4  2011-03-26 10:49:02

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

Grsecurity samo nie jest groźne, natomiast dla aplikacji, które pochodzą z zewnątrz typu flashplayer, java od suna, czy choćby Virtualbox albo JBoss zabójczy jest PAX, zwłaszcza funkcje noexec czy underdef.

Generalnie trochę ten moduł trzeba poznać, żeby zgrać go z takimi aplikacjami.
Natomiast w konfiguracji /etc/grsec/policy możesz tak dowolnie kształtować politykę bezpieczeństwa, że rezygnując z niektórych funkcji domyślnych konfigu na rzecz głównie  polityki - można dosłownie każdy scenariusz zaprogramować.
Włącznie z pozornym obniżeniem bezpieczeństwa, czyli pozwoleniem np na otwarcie portu poniżej 1024 (np port 21) z poziomu użytkownika innego niż root, co pozwala nieźle zabezpieczyć  m.in serwer ftp (ustawiając mu prawa zapisu/odczytu w normalnym ACL).

Natomiast napisz lepiej, co na tym shellu za programy mają działać, i jakie będą dostępne dla użytkowników.

Bo co do systemów typu Gentoo Hardened, Slackware, OpenBSD, FreeBSD, czy Debian masz dobry  support (społeczność i dokumentację), a to jest znacznie lepsze i skuteczniejsze od wspaniałych supportów korporacyjnych, (mam na myśli Polskę, np w USA może wyglądać to inaczej).

Pomijając koszt komercyjnego supportu w kontekście publicznego serwera shell ;)

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-03-26 10:59:39)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2011-03-26 12:38:53

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: FreeBSD vs. OpenBSD na serwer

" PaX features are part of OpenBSD (MagicPoint presentation)"
"PaX is part of grsecurity"

Pyknij Opena. Po instalacji bardzo mało pracy trzeba włożyć w hardening a od razu uzyskujesz system bardzo bezpieczny.

Offline

 

#6  2011-03-26 12:44:01

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

@Jacekalex

Ciekawie piszesz o tym grsec. Masz moze jakies linki, materialy w jezyku polskim o konfiguracji grsec ? Bylbym wdzieczny.

Z gory dziekuje. Pozdrawiam.


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#7  2011-03-26 15:51:36

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

Hmm, chyba skusze się na Opena sam instalator był "wypytujący" tak tak to lubię ;)
Programy które będą działać to ekg, mc, screen, irssi. Do tego trzeba będzie nginx-a
zamknąć w jakiejś klatce (jail jest przeportowane z  Free, ale czy jest coś natywnego)?
Właściwie musi być bo to "OpenBSD", aha nie wieże coś w te security od pierwszego
boota.

Offline

 

#8  2011-03-26 18:33:56

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: FreeBSD vs. OpenBSD na serwer

w openie w defaulcie- zaraz po instalacji  chrootowany jest apache http://www.openbsd.org/faq/faq10.html#httpdchroot

Offline

 

#9  2011-03-26 19:08:02

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

[quote=womperm]Hmm, chyba skusze się na Opena sam instalator był "wypytujący" tak tak to lubię ;)
Programy które będą działać to ekg, mc, screen, irssi. Do tego trzeba będzie nginx-a
zamknąć w jakiejś klatce (jail jest przeportowane z  Free, ale czy jest coś natywnego)?
Właściwie musi być bo to "OpenBSD", aha nie wieże coś w te security od pierwszego
boota.[/quote]
Jesli chodzi Ci o jaila doslownie przeportowanego z FreeBSD to nie ma czegos takiego. Jest sysjail, ktory juz dawno upadl i nie warto go stosowac. Duzo osob w tym tez developerzy OpenBSD pisza, ze chroot+systrace da podobne "wlasciwosci" co jail we Free jesli chodzi o bezpieczenstwo. Co do samego bezpieczenstwa w OpenBSD:

None of this is necessary or recommended, OpenBSD is already "hardened".. bumping the kern.securelevel will only serve to bite you in the butt.

Setting the schg flag is just silly, you'll have to boot into single-user mode if you ever need to recompile your kernel or adjust firewall rules.. you cannot remove those flags unless the securelevel is <= 0.

Swap is already encrypted, vm.swapencrypt.enable is already 1.. redundant much?

The services running as part of inetd are not insecure, and if you're concerned that someone will find a problem.. block access using pf.

There is no telnetd included with OpenBSD, that makes no sense at all.

OpenBSD "as-is" has been audited by some very intelligent people, the term "secure by default" isn't just a slogan.. they have 10 years of a fairly clean track record to prove it.

Want to harden the system? learn more about it first.. you'll find you have no reason to make such drastic changes to the base system.[/quote]
Hardening OpenBSD:

http://www.daemonforums.org/showthread.php?t=4120

Ostatnio edytowany przez bryn1u (2011-03-26 19:08:59)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#10  2011-03-26 19:17:13

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

[quote=bryn1u]@Jacekalex

Ciekawie piszesz o tym grsec. Masz moze jakies linki, materialy w jezyku polskim o konfiguracji grsec ? Bylbym wdzieczny.

Z gory dziekuje. Pozdrawiam.[/quote]
Sznurek: http://forum.dug.net.pl/viewtopic.php?id=18642

Co do jaila, zaintersuj się [url=http://forum.dug.net.pl/viewtopic.php?id=18582]LXC[/url]

Poza tym, chroot, już dawno przestał być skutecznym zabezpieczeniem w wersji standardowej (nie brakuje sposobów do wyrwania się z chroota), ale dzięki kilku drobiazgom w stylu:

Kod:

grep -i chroot /etc/sysctl.conf 
kernel.grsecurity.chroot_deny_shmat = 1
kernel.grsecurity.chroot_deny_unix = 1
kernel.grsecurity.chroot_deny_mount = 1
kernel.grsecurity.chroot_deny_fchdir = 1
kernel.grsecurity.chroot_deny_chroot = 1
kernel.grsecurity.chroot_deny_pivot = 1
kernel.grsecurity.chroot_enforce_chdir = 1
kernel.grsecurity.chroot_deny_chmod = 1
kernel.grsecurity.chroot_deny_mknod = 1
kernel.grsecurity.chroot_restrict_nice = 1
kernel.grsecurity.chroot_execlog = 1
kernel.grsecurity.chroot_caps = 1
kernel.grsecurity.chroot_deny_sysctl = 1
kernel.grsecurity.chroot_findtask = 1

dostaje drugą młodość ;)

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-03-26 19:24:04)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2011-03-26 19:42:53

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

Echem... Czy systrace jest dziurawy? Może lepiej freebsd?

@Jacekalex, przeczytałeś mojego ostatniego posta w temacie http://forum.dug.net.pl/viewtopic.php?id=18582 ?
Mi nie jest potrzebne wirtualizować cały system tylko dwie usługi - nginx i ssh.
[b]EDIT:[/b]
Wolałbym wszystko w jailu tak jak na freebsd (chyba będę na niego zmuszony).

Ostatnio edytowany przez womperm (2011-03-26 19:44:30)

Offline

 

#12  2011-03-26 21:18:40

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

Womperm no to zainstaluje freebsd. Odpisalem ci na pytanie bo chciales openbsd. Openbsd jest bardzo bezpieczny nic nie musisz zamykac po prostu zainstaluj !!!. Jezeli sam czegos nei spieprzysz to system ci bedzie sluzyl dlugie lata.


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#13  2011-03-27 05:46:54

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

[quote=womperm]Echem... Czy systrace jest dziurawy? Może lepiej freebsd?

@Jacekalex, przeczytałeś mojego ostatniego posta w temacie http://forum.dug.net.pl/viewtopic.php?id=18582 ?
Mi nie jest potrzebne wirtualizować cały system tylko dwie usługi - nginx i ssh.
[b]EDIT:[/b]
Wolałbym wszystko w jailu tak jak na freebsd (chyba będę na niego zmuszony).[/quote]
Do nginxa wystarczy profesjonalna konfiguracja i chroot w wersji grsecurity.
Choć osobiście wziąłbym lighttpd z php-fpm, ma wbudowany najlepszy support do skryptów cgi jaki widziałem, wydajność przy  php-fpm jakieś 15% mniejszą od nginxa, ale za to jest jakieś 10 razy łatwiejszy w konfiguracji.

@Jacekalex, przeczytałeś mojego ostatniego posta w temacie http://forum.dug.net.pl/viewtopic.php?id=18582 ?
Mi nie jest potrzebne wirtualizować cały system tylko dwie usługi - nginx i ssh.[/quote]
czytałem, i mam takie wnioski:
W Debianie nie zadziałało lxc, czy w innym systemie?
Na jaju systemowym czy domowym?

Poza tym oprócz lxc masz makejail (też nie działał?), jest jeszcze [url=http://www.gentoo-wiki.info/HOWTO_JailKit]jailkit[/url] - dość łatwy w obsłudze, natomiast, co do  nie ma jaila jak w *BSD, to jest parawirtualizacja, Vserwer czy OpenVZ, i do tego Xen - para lub pełna wirtualizacja, i KVM - pełna wirtualizacja.
Jest w czym wybierać.

Czy Linux czy *BSD? każdy się nadaje, jak to zrobisz porządnie, i wiesz - jak to zrobić, żaden się nie nada, jeśli nie wiesz jak, lub zrobisz byle jak.

Który jest łatwiejszy? o gustach się nie dyskutuje, przy każdym trochę roboty jest.
Radziłbym się zainteresować OpenVZ, Xenem i KVM, głównie dlatego - że na przyszłość warto te techniki poznać, są stosowane na większości hostingów oferujących serwery VPS, czyżby dlatego, że się nie nadają?

Ja wziąłbym Gentoo - bo mi ten system odpowiada i go nieźle poznałem, ale ma w porównaniu z *BSD "bardzo ubogą" [url=http://www.gentoo.org/doc/pl/index.xml]dokumentację po polsku[/url]. :)
Druga straszna wada,: kłopoty z ssh? nginxem? irsi? - we wszystkich Linuxach są te same programy i takie same logi błędów.
W *BSD są zazwyczaj identyczne lub bardzo podobne.

Co do wirtualizacji ssh, IMHO nie ma to sensu.
SSh ma opcję zamykania usera w chroocie (musi tam mieć jakąś powłokę, żeby się zalogować)

Kod:

grep -i chroot /etc/ssh/sshd_config
#ChrootDirectory ~/

serwery ftp jak pure-ftpd też mają takie funkcje (jednak nie potrzebują shella), a grsec robi z chroota pancerną klatkę, gdzie np nie można zmieniać uprawnień, albo można obciąć inne funkcje [url=http://www.gentoo.org/proj/pl/hardened/capabilities.xml?style=printable]POSIX capabilities[/url].

Dlatego to nie system ma się nadawać, tylko Administrator ma się nadawać,
a system weź taki, jaki potrafisz porządnie skonfigurować i zabezpieczyć.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-03-27 05:59:14)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#14  2011-03-27 11:56:34

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

Zainstaluj sobie freebsd i masz odrazu tuning dla freebsd dla aktywnych 100.000 - 200.000 polaczen. Tutek poczatkowo na prezentacji Igor'a autora nginx'a.

it was initially based on Igor Sysoev's (author of nginx) presentation about FreeBSD tuning up to 100,000-200,000 active connections.[/quote]
http://serverfault.com/questions/64356/freebsd-performance-tuning-sysctls-loader-conf-kernel

Ostatnio edytowany przez bryn1u (2011-03-27 13:40:59)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#15  2011-03-27 15:52:13

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

Wszystko to jest na debianie. Jajko było takie jakie jest obecne w squeeze. Hmm, a co sądzisz o chrootcie + grsecurity?
Skoro mówisz że to jest parawirtualizacja no to po co ludzie to stosują?
Zrobię ssh + chroot (z grsec), powinno być ok? FTP nie używam bo to przeżytek.
Ten serwer to:
Celeron 2.6GHz
256MB RAM
HDD 80GB.
Jak powszechnie wiadomo balerony nie wspierają sprzętowo wirtualizacji.
Brakuje mi do tego jeszcze jakiejś opcji aby user nie mógł uruchamiać jakiś programów np. wget.
Hmm, zapomniałem o separacji procesów, chyba właśnie dlatego ludzie używają jail ;)

Ostatnio edytowany przez womperm (2011-03-27 15:58:37)

Offline

 

#16  2011-03-27 16:08:20

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

Chroot + grsec jak najbardziej ok. Co do programow typu wget uzywasz poprostu chmoda. Robisz sobie grupe i userzy dopisani do tej grupy moga korzystac z wget. To samo mozesz zrobic z ifconfig, uname z kompilatorami i innymi programami. Dla pocieszenia w grsec masz opcje, ktora nie pozwala userowi widziec wiecej procesow niz swoich.


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#17  2011-03-27 17:59:49

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

Jeśli to Celeron i 256 ramu, to chociaż nie potrzebujesz zbyt wielu programów (KDE na shellu nie pójdzie ;) ), ale w przypadku Gentoo zainteresuj się [url=http://tinderbox.dev.gentoo.org/]tinderboxem[/url].

Pozdrawiam
;-)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#18  2011-03-27 18:05:33

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

KDE 3.5 poszło na tym sprzęcie, tylko za mało ramu było, ale po co X'y stawiać?
Jaka to jest opcja w grsec żeby user nie widział więcej procesów niż swoich?

Offline

 

#19  2011-03-27 18:31:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

To ta:

CONFIG_GRKERNSEC_PROC=y
# [b]CONFIG_GRKERNSEC_PROC_USER[/b] is not set
CONFIG_GRKERNSEC_PROC_USERGROUP=y
CONFIG_GRKERNSEC_PROC_GID=100
CONFIG_GRKERNSEC_PROC_ADD=y
CONFIG_GRKERNSEC_PROC_IPADDR=y
CONFIG_KEYS_DEBUG_PROC_KEYS=y[/quote]
W konfigu kernela masz opisy przy każdej funkcji grsec/paxa.
Widać je w xconfig.
Na serwerze włączyłbym m in:

Kod:

CONFIG_GRKERNSEC_IO
CONFIG_PAX_MEMORY_UDEREF 
CONFIG_PAX_NOEXEC

Na desktopie nie używam ich, bo blokują m.in xserver.
Ale na shellu, gdzie soft masz z repo, lub kompilowany, problemu raczej nie będzie.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-03-27 18:37:34)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#20  2011-03-27 19:09:27

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

Tylko że u mnie czegoś takiego niema. Jajo 2.6.32-5-686.
Co to znalazłem w "security"

Kod:

#
# Security options
#
CONFIG_KEYS=y
CONFIG_KEYS_DEBUG_PROC_KEYS=y
CONFIG_SECURITY=y
CONFIG_SECURITYFS=y
CONFIG_SECURITY_NETWORK=y
CONFIG_SECURITY_NETWORK_XFRM=y
CONFIG_SECURITY_PATH=y
CONFIG_SECURITY_FILE_CAPABILITIES=y
# CONFIG_INTEL_TXT is not set
CONFIG_LSM_MMAP_MIN_ADDR=0
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0
CONFIG_SECURITY_SELINUX_DISABLE=y
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
# CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set
CONFIG_SECURITY_TOMOYO=y
# CONFIG_IMA is not set
CONFIG_XOR_BLOCKS=m
CONFIG_ASYNC_CORE=m
CONFIG_ASYNC_MEMCPY=m
CONFIG_ASYNC_XOR=m
CONFIG_ASYNC_PQ=m
CONFIG_ASYNC_RAID6_RECOV=m
CONFIG_ASYNC_TX_DISABLE_PQ_VAL_DMA=y
CONFIG_ASYNC_TX_DISABLE_XOR_VAL_DMA=y
CONFIG_CRYPTO=y

Aha mam

Kod:

Automatically generated make config: don't edit

Nie jestem pewny ale jeśli zmienił bym coś w configu no to musiał bym jądro prze-kompilować?
Przecież na tym sprzęcie to mordęga.

Offline

 

#21  2011-03-27 19:10:30

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

A łata grsecurity nałożona?

Poza tym weź sobie to repo:
Sznurek: http://kernelsec.cr0.org/
Zainstaluj z niego linux-sources, gradm, paxctl i paxtest - źródła i narzędzia do grsec/paxa.

A potem szukaj w configu źródła z kernelsec.

Tam też jest gotowe jajo, z domyślnym maksymalnym stopniem ochrony (high), i o ile pamiętam, bez supportu sysctl.
Może wystarczy.

Ostatnio edytowany przez Jacekalex (2011-03-27 19:15:18)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#22  2011-03-27 21:56:13

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: FreeBSD vs. OpenBSD na serwer

[quote=bryn1u]. Dla pocieszenia w grsec masz opcje, ktora nie pozwala userowi widziec wiecej procesow niz swoich.[/quote]
A w bsd tego nie ma ??? Nawet nie trzeba łat nakładać wystarczy opcja sysctl

Offline

 

#23  2011-03-28 01:15:39

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

Jacekalex: chodzi Ci o pakiet linux-image-2.6.32.15-1-grsec?
Te jajko jest nowsze niż u mnie w stable, debian znowu w tyle.
Wystarczy pewnie, do jakiegoś czasu :-)
//edit: ktoś może pamięta user dir do nginx-a żeby wskazywał na
adres nazwa-uzyszkodnika.domena.pl. Na wiki jest opis tylko do
"apachowego" tzw. domena/~nazwa-uzytkownika.

Ostatnio edytowany przez womperm (2011-03-28 01:37:06)

Offline

 

#24  2011-03-28 01:39:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

Linux-image -jak ostatnio miałem z nim do czynienia, nie miał supportu sysctl, przez co trudniej było nad nim zapanować.

Radziłbym go spróbować, ale na bazie jego konfigu skompilować własne jajo, żeby stworzyć sobie lepsze możliwości konfiguracji.
Poza tym przy kompilacji radzę dorzucić kluczowe sterowniki (niezbędne serwerowi do życia) statycznie w jajo, resztę wywalić całkiem, co zauważalnie  poprawi stabilność serwera, i zaoszczędzi kilka MB na dysku.

Nie mniej jednak spróbuj linux-image-grsec, ma włączony najwyższy poziom ochrony, i jeśli wszystkie programy będą na nim działać prawidłowo, to może zostać.
Kompilacja  może być potrzebna, gdyby np z jajem grsec z paczki nie działał LXC, czy jakaś parawirtualizacja, lub potrzebowałbyś włączać i wyłączać różne funkcje grsec przez sysyctl.

Co do ftp -to szyfrowany ftp ma tą przewagę nad ssh, że z poziomu ftp możesz wejść do folderu zabezpieczonego mechanizmem chroot, bez aktywnej powłoki shell, ssh w takim przypadku nie zaloguje użytkownika nawet przy sftp (przynajmniej u mnie).

Także każde narzędzie ma swoje wady i zalety.
Osobiście wziąłbym na ten serwer ( o ile nie Gentoo, to Ubuntu Serwer -ma wsparcie dla ochrony poszczególnych aplikacji poprzez apparmora, sciągnąłbym linux-source Ubuntu, dorzucił mu grsec/paxa jako dodatkową globalną ochronę, i spał spokojnie ;).
Mam tak w domu, żadnej kolizji międzi Grsecurity a Apparmorem nie widzę, Grsecurity zapewnia globalną ochronę systemu, Ww Apparmorze znacznie łatwiej konfigurować profile dla poszczególnych aplikacji, jest sporo gotowych profili w paczkach i na necie.
Ubuntu w stosunku do Squeeze, w najnowszych wersjach dalej zaszło w stosowaniu wzmocnionych flag kompilacji, typu np ASLR i PIE.
W Debianie mają z tym lekkie opóźnienie, które chyba (mam nadzieję) wkrótce zostanie nadrobione (Developerzy Debiana pracują nad tym).
Te wzmocnienia na poziomie kompilatora są głownie skuteczne przy blokowaniu exploitów atakujących m.in bufor i stos.

W Gentoo hardened wzmocnione flagi kompilatora są od ponad 6 - 7 lat.
I chyba właśnie dlatego Biexi postawiła DUGA na Gentoo, - hakerzy do samego systemu się tu jeszcze nie dobrali, raz tylko włamali się do PhpBB - gdzie winny był wadliwy skrypt forum.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-03-28 01:44:33)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#25  2011-03-28 07:32:03

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

Widzę że zakochany jesteś w Gentoo, chciałem postawić go na desktopie ale mój procesor (pentium 4 2.8ghz) mi na to nie pozwalał.
Jak pentium nie pozwalał to co dopiero celeron. Debian ma SELinuksa zamast apparmora. Dobra, dobra ja muszę już iść.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.014 seconds, 13 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00006 SET NAMES latin2
0.00104 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='13.59.198.150' WHERE u.id=1
0.00212 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '13.59.198.150', 1732450778)
0.00054 SELECT * FROM punbb_online WHERE logged<1732450478
0.00067 DELETE FROM punbb_online WHERE ident='18.216.53.7'
0.00062 DELETE FROM punbb_online WHERE ident='3.16.75.156'
0.00171 SELECT topic_id FROM punbb_posts WHERE id=169472
0.00009 SELECT id FROM punbb_posts WHERE topic_id=18643 ORDER BY posted
0.00080 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18643 AND t.moved_to IS NULL
0.00007 SELECT search_for, replace_with FROM punbb_censoring
0.00117 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18643 ORDER BY p.id LIMIT 0,25
0.00079 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18643
Total query time: 0.0098 s