Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
[b]End of the m0n0wall project[/b]
m0n0wall is a project aimed at creating a complete, embedded firewall software package that, when used together with an embedded PC, provides all the important features of commercial firewall boxes (including ease of use) at a fraction of the price (free software).[/quote]
Dear m0n0wall enthusiasts,
on this day 12 years ago, I have released the first version of m0n0wall to the public. In theory, one could still run that version - pb1 it was called - on a suitably old PC and use it to control the Internet access of a small LAN (not that it would be recommended security-wise). However, the world keeps turning, and while m0n0wall has made an effort to keep up, there are now better solutions available and under active development.
Therefore, today I announce that the m0n0wall project has officially ended. No development will be done anymore, and there will be no further releases.
The forums and the mailing list will be frozen at the end of this month. All the contents of the website, repository, downloads, mailing list and forum will be archived in a permanent location on the web so that they remain accessible indefinitely to anyone who might be interested in them.
m0n0wall has served as the seed for several other well known open source projects, like pfSense, FreeNAS and AskoziaPBX. The newest offspring, OPNsense (https://opnsense.org), aims to continue the open source spirit of m0n0wall while updating the technology to be ready for the future. In my view, it is the perfect way to bring the m0n0wall idea into 2015, and I encourage all current m0n0wall users to check out OPNsense and contribute if they can.
Finally, I would like to take this opportunity to thank everyone who has been involved in the m0n0wall project and helped in some way or another - by contributing code, documentation, answering questions on the mailing list or the forum, donating or just spreading the word. It has been a great journey for me, and I'm convinced that even now that it has come to an end, the m0n0wall spirit will live on in the various projects it has spawned.
Manuel Kasper
15 February 2015[/quote]Offline
1696
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:12:33)
Offline
Nastepna piekna rzecz, ktora bedzie we FreeBSD 11 - HARDENEDBSD.
Opis i funkcje
https://www.soldierx.com/news/HardenedBSDs-Integriforce
Porownanie, odpowiednik NETBSD:
https://netbsd.org/docs/guide/en/chap-veriexec.html
Screen z zastosowania:
http://i.imgur.com/wHp2eAN.png
FreeBSD 11 bedzie miazdzylo po calosci !
Offline
1716
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:13:01)
Offline
Przeciez openbsd na desktopie to prawie nikt nie uzywa
Offline
1719
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:13:05)
Offline
[quote=uzytkownikubunt][quote=Yampress]Przeciez openbsd na desktopie prawie nikt nie uzywa[/quote]
Selekcja. Przecież pisałem ;)
W razie czego jednak jest KDE (3 i 4), Gnome, Xfce, Fluxbox, Openbox w portach :D[/quote]
Nie selekcja. Po protu wybór... Uważasz ze openbsd jest tak ciężkie aby go się nauczyć? i To tworzy selekcje?
Jest na desktop ciężkie w użytkowaniu, bo wielu rzeczy nie uruchomisz na nim tak jak na linuxie . I nawet nie chodzi tutaj o prędkość działania tylko o multimedialność.
Dla mnie systemy BSD są prostsze od linuxa. Tylko netbsd daje jakiś poziom skomplikowania. FreeBSD to aktualnie jest banalne.
Offline
1720
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:13:06)
Offline
[quote=uzytkownikubunt][quote=bryn1u]Nastepna piekna rzecz, ktora bedzie we FreeBSD 11 - HARDENEDBSD.
Opis i funkcje
https://www.soldierx.com/news/HardenedBSDs-Integriforce
Porownanie, odpowiednik NETBSD:
https://netbsd.org/docs/guide/en/chap-veriexec.html
Screen z zastosowania:
http://i.imgur.com/wHp2eAN.png
FreeBSD 11 bedzie miazdzylo po calosci ![/quote]
Co z tego, że będą takie zabezpieczenia skoro na pakietach binarnych ich nie będziesz mógł włączyć, bo nie będą skompilowane z odpowiednimi opcjami? Ja wiem, że w społeczności FreeBSD i Linuksa są eksperci i/lub jednostki lubiące bezpieczeństwo i stabilność, ale na każdą taką osobę przypada odpowiednio ze 100 i 500 osób, które się na tym nie znają lub wolą zamiast tego, by system się trochę szybciej uruchamiał. Tylko wśród OpenBSD jest społeczność ludzi, którzy są w stanie w imię wartości - bezpieczeństwa, poświęcić odrobinę innych cech. Tak sobie nawet myślę, że to nawet dobrze, że w OpenBSD nie ma wielu sterowników i nie działa na wielu laptopach tak enerooszczędnie jak Linux. Dzięki temu następuje selekcja w czasie której część ludzi odpada :)[/quote]
Musze cie rozczarowac w zwiazku z pakietami binarnymi :(
HardenedBSD: { url: "http://pkg.hardenedbsd.org/current/${ABI}" mirror_type: "http", signature_type: "pubkey", pubkey: "/usr/share/keys/pkg/trusted/hardenedbsd.crt.2014-09-04", enabled: yes }
Offline
1722
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:13:09)
Offline
http://pkg.hardenedbsd.org/current/amd64/All/
Offline
1723
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:13:10)
Offline
Pozyjemy zobaczymy. Chyba nie jest problemem przekompilowac wszystkie porty z dodatkowymi opcjami i zrobic paczki. Do tego wystarczy skrypt. Gdzies sie natchnalem, ze beda dwa repa. Jedno normalne a drugie hardened. Zreszta do FreeBSD - 11 jest jeszcze troche czasu. Nie ukrywam, ze bedzie to ogromny skok zarowno na warstwie emulacji linux_compat, writualizacji min. bhyve oraz bardzo rozbudowanej warstwie zabezpieczen. Badzmy optymistami.
Offline
[quote=uzytkownikubunt][quote=uzytkownikubunt]Nawet w Debianie już powłączali na sporej ilości pakietów PIE oraz SSP.
Dzisiaj zainstalowany Debian testing, skoro zaszło mrożenie to bardzo podobny będzie oficjalny Debian 8 Jessie: http://wklej.dug.net.pl/4928[/quote]
Dla ciekawostki wynik z OpenBSD:
http://wklej.dug.net.pl/4929[/quote]
Tutaj masz wynik z FreeBSD-11 na dzien dzisiejszy, prowonaj z OpenBSD. Co sie zmienilo od ostatniego mojego postu:
[url]https://proton.edu.pl/~bryn1u/Security/Paxtest/[/url]
Opcje w jajku:
# HardenedBSD hardening options options PAX options PAX_ASLR # Address Space Layout Randomization options PAX_HARDENING # Various hardening options options PAX_SYSCTLS # sysctls for run-time options options PAX_SEGVGUARD # prevent brute-force attacks options PAX_PTRACE_HARDENING options PAX_PTRACE_HARDENING_GRP=50000 options KTR options UFS_EXTATTR
Jak na Current nie wyglada chyba az tak zle.
Ostatnio edytowany przez bryn1u (2015-03-19 14:18:36)
Offline
1775
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:14:16)
Offline
[quote=bryn1u][quote=uzytkownikubunt][quote=uzytkownikubunt]Nawet w Debianie już powłączali na sporej ilości pakietów PIE oraz SSP.
Dzisiaj zainstalowany Debian testing, skoro zaszło mrożenie to bardzo podobny będzie oficjalny Debian 8 Jessie: .....[/quote]
[/quote]
[/quote]
Tymczasem Gentuś:
paxtest blackhat PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org> Released under the GNU Public Licence version 2 or later Writing output to paxtest.log It may take a while for the tests to complete Test results: PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org> Released under the GNU Public Licence version 2 or later Mode: blackhat Linux localhost 3.19.2-gr1 #1 SMP PREEMPT Thu Mar 19 11:30:55 CET 2015 x86_64 Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz GenuineIntel GNU/Linux Executable anonymous mapping : Killed Executable bss : Killed Executable data : Killed Executable heap : Killed Executable stack : Killed Executable shared library bss : Killed Executable shared library data : Killed Executable anonymous mapping (mprotect) : Killed Executable bss (mprotect) : Killed Executable data (mprotect) : Killed Executable heap (mprotect) : Killed Executable stack (mprotect) : Killed Executable shared library bss (mprotect) : Killed Executable shared library data (mprotect): Killed Writable text segments : Killed Anonymous mapping randomisation test : 29 bits (guessed) Heap randomisation test (ET_EXEC) : 23 bits (guessed) Heap randomisation test (PIE) : 35 bits (guessed) Main executable randomisation (ET_EXEC) : 29 bits (guessed) Main executable randomisation (PIE) : 29 bits (guessed) Shared library randomisation test : 29 bits (guessed) Stack randomisation test (SEGMEXEC) : 35 bits (guessed) Stack randomisation test (PAGEEXEC) : 35 bits (guessed) Return to function (strcpy) : paxtest: return address contains a NULL byte. Return to function (memcpy) : Killed Return to function (strcpy, PIE) : paxtest: return address contains a NULL byte. Return to function (memcpy, PIE) : Killed
Zarówno w Jessie (standard) jak i w OpenBSD (troszkę dziwne) najpoważniejszą podatnością jest:
Writable text segments : Vulnerable
Także jeszcze troszkę roboty przed Developerami *BSD i Debiana. ;)
SOA#1
xD
Ostatnio edytowany przez Jacekalex (2015-03-19 15:00:16)
Offline
No i stalo sie. Panowie do jajka doszla nowa opcja:
PAX_NOEXEC # Remove WX pages from user-space and enforce W^X
Offline
1792
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:14:37)
Offline
@uzytkownik
Ostatnie zdania sa dla ciebie :P Jest tam tez fraza na ktora czekasz tzw: firefox :D
Over the past few months, Oliver has been busy writing a new exploit mitigation feature for HardenedBSD: NoExec. The first part of this project was merged into master tree, and there are still ongoing issues to solve. Our implementation is inspired by PaX's. NoExec prevents pages that are marked as writable from being marked executable as well. It also prevents using mprotect(2) to change a non-executable page to an executable one. This, of course, can cause issues with applications that expect to be able to mark existing pages as executable. Firefox is a good example. You will need to either jail the application in a jail with NoExec turned off or use secadm to turn off NoExec for that application.
This feature bumps the HardenedBSD version number up to 17. We're doing a new package build as well. You'll also get some applications built as Position-Independent Executables (PIEs) with this package build.[/quote]
Sysctl hardeningKod:
[root@Indyferentny ~/paxtest-0.9.11]# sysctl hardening hardening.pax.aslr.status: 2 hardening.pax.aslr.mmap_len: 30 hardening.pax.aslr.stack_len: 20 hardening.pax.aslr.exec_len: 21 hardening.pax.aslr.compat.status: 2 hardening.pax.aslr.compat.mmap_len: 8 hardening.pax.aslr.compat.stack_len: 8 hardening.pax.aslr.compat.exec_len: 8 hardening.pax.pageexec.status: 2 hardening.pax.mprotect.status: 2 hardening.pax.segvguard.status: 1 hardening.pax.segvguard.debug: 0 hardening.pax.segvguard.expiry_timeout: 120 hardening.pax.segvguard.suspend_timeout: 600 hardening.pax.segvguard.max_crashes: 5 hardening.version: 17 hardening.log.log: 1 hardening.log.ulog: 0 hardening.allow_map32bit: 0 hardening.procfs_harden: 1 hardening.ptrace_hardening.status: 1 hardening.ptrace_hardening.gid: 50000 [root@Indyferentny ~/paxtest-0.9.11]#https://www.freebsd.org/cgi/man.cgi?query=mprotect&apropos=0&sektion=0&manpath=FreeBSD+10.1-RELEASE&arch=default&format=html
Ostatnio edytowany przez bryn1u (2015-03-26 19:07:56)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
@up
To jest ten nowy HardenedBSD, OpenBSD czy FBSD w końcu?
Ostatnio edytowany przez Jacekalex (2015-03-26 19:37:22)
Offline
Z tego co sie doczytalem to FreeBSD (inne odnogi nie wchodza w rachube) jak sie myle to poprawcie.
Offline
[quote=Jacekalex]@up
To jest ten nowy HardenedBSD, OpenBSD czy FBSD w końcu?[/quote]
@Jacek
Tak to jest ten nowy hardenedbsd bazujacy na FreeBSD 11 - current. Powiedzmy ze jest to takie przejscie jak przejscie z gentoo na gentoo-hardened, ale zdecydowanie inna droga. W koncowym efekcie bedzie to normalnie FreeBSD 11 - Release wlasnie z tymi wszystkim opcjami, ktore jeszcze dojda i caly czas dochodza jak widac. Praca idzie pelna para.
Tu masz taki paxctl zwany secadm:
{ "applications": [ { "path": "/usr/local/lib/firefox/firefox-bin", "features": { "pageexec" : false, "mprotect": false, "aslr": false, } } { "path": "/usr/local/lib/firefox/firefox", "features": { "pageexec" : false, "mprotect": false, "aslr": false, } } { "path": "/usr/local/bin/firefox", "features": { "pageexec" : false, "mprotect": false, "aslr": false, } } { "path": "/usr/local/openjdk7/bin/java", "features": { "pageexec": false, "mprotect": false, } } ] }
Tu ladniej widac: https://github.com/HardenedBSD/secadm/blob/master/etc/secadm-desktop.rules.example
Ostatnio edytowany przez bryn1u (2015-03-26 20:24:42)
Offline
Ten konfig, to jakiś horror.
W Gentoo flagi Paxa się teraz nakłada przy pomocy XATTR, i to jest najwygodniejsza opcja.
# file: usr/bin/mplayer user.pax.flags="PemRS"
ale root może je modyfikować.
Jak chcesz bezpieczniej np na serwerze, to od tego są [url=https://grsecurity.net/gracldoc.htm#PaX_flags_and_caveats]literki[/url] w [b]/etc/grsec/policy[/b]
A tutaj dokumentacja:
http://www.gentoo.org/proj/pl/hardened/grsecurity2.xml#doc_chap3
http://www.grsecurity.net/~spender/newDoc.pdf
https://grsecurity.net/gracldoc.htm
Jest jeszcze demon Paxa, do automatycznego ustawiania flag, [url=http://gpo.zugaina.org/sys-apps/paxctld]paxctld[/url], ale na razie w wersji dosyć dziecięcej. ;)
Ostatnio edytowany przez Jacekalex (2015-03-26 21:25:09)
Offline
Jaki horror. Podajesz sciezke dostepu w configu do binarki i sobie wlaczasz albo wylaczasz. Jaki tu widzisz horror ? Horror to jest w linuxie od nasranych flag paxct'low, chpaxow, i teraz jeszcze xattr. Czytalem te dokumentacje i stwierdzam, ze pod freebsd jest to zdecydowanie latwiej rozwiazane.
Co tu jest skomplikowanego ?
"path": "/usr/local/lib/firefox/firefox-bin",
"features":
"pageexec" : false,
"mprotect": false,
"aslr": false,[/quote]
Wpisujesz albo false albo true do opcji i tyle. Czyli tak albo nie. Z gory zalozyles, ze to horror no bo to FreeBSD.
P.S
A tak poza tematem. Co jest pod debianem jesli chodzi o flagi ? Bo tam ten paxctl jest tak kiepski, ze sam sobie zmienia flagi nawet chattr +i nic nie daje.Ostatnio edytowany przez bryn1u (2015-03-26 21:27:22)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
Chattr dodaje flagi na pliku, a nie na atrybutach XATTR, które są częścią systemu plików.
Flagi do pliku dodaje opcja CONFIG_PAX_PT_PAX_FLAGS z kernela.
Z resztą chciałbyś klepać taki konfig do np 150 albo 300 binarek? Bo ja nie bardzo. :D
W kompie mam już zrobiony konfig (do demona paxctld) i ten liczy sobie tylko 807 pozycji, a to jeszcze nie koniec.
Oczywiście na serwerach jest tego dużo mniej, tam się nie pakuje Mate, KDE i LXQT, ale tam lepiej to w polityce grsec opisać, jest prostsza, niż ten Twój konfig, a przy okazji masz w niej dużo więcej możliwości, np CAPABILITIES, dodatkowy FW (na razie dla IPv4), i możliwość dokładnego zdefiniowane, co dany program może otworzyć, a także np ile pamięci i czasu procesora może użyć (limity zgodne z ulimit, ale lichsze, niż przez cgroup), to wszystko dostępne z poziomu tylko powyżej roota, bo nawet root nie może choćby zajrzeć do polityki grsec, jeśli nie zaloguje się do roli admina w gradm.
Przykład polityki domyślnej dla wszystkiego i wyjątku dla sshd masz w tym dokumencie:
http://grsecurity.net/researchpaper.pdf
Krótko pisząc, filozofia konfiguracji inna ale skuteczność bardzo wysoka, ciekawe tylko, dlaczego nagle zaczęli ładować Paxa do FBSD, w czasie migracji na Clanga.
W każdym razie, Linux z Grseciem & Paxem daje radę, a FBSD się dopiero uczy, czy raczej zaczyna bawić takimi klockami. ;)
Jedyna ważna zaleta we FBSD będzie taka, ze to się znajdzie w defaultowym systemie, podczas, gdy w Linuxie żadna duża dystrybucja (może z wyjątkiem Archa) nie dostarcza gotowego jajka z Grsec, trzeba przeważnie kompilować jajo samodzielnie, czego 95% tzw "adminów" nie potrafi. ;)
Przy okazji: Czy w w tym HardenedBSD lub FBSD planują coś w typie Trusted_Patch_Execution, Harden_Ipc, czy np Deny-New_USB (przełączane przez sysctl/proc) - tego można łatwo zapiąć np do wygaszacza ekranu.
Pytam, bo Pax jest tylko ważnym, ale nie najważniejszym załącznikiem do Grseca.
Tu masz porównanie z SElinuxem i Apparmorem:
https://grsecurity.net/compare.php
Co prawda nie zagłębialem się w szczegóły, ale przy włączonym harden_ipc, uprawnienia semaforów i połączeń IPC mają wartości 600 lub 700
ipcs -a ------ Kolejki komunikatów --- klucz id_msq właściciel uprawn. bajtów komunikatów ------ Segmenty pamięci dzielonej ---- klucz id_shm właściciel uprawn. bajtów podłączeń stan 0x00000000 0 pacjent 600 393216 2 dest 0x00000000 98305 pacjent 600 393216 2 dest 0x00000000 131074 pacjent 600 393216 2 dest 0x00000000 294915 pacjent 600 67108864 2 dest 0x00000000 589828 pacjent 600 524288 2 dest 0x00000000 688133 pacjent 600 393216 2 dest 0x00000000 851974 pacjent 600 393216 2 dest 0x00000000 884743 pacjent 600 393216 2 dest 0x00000000 917512 pacjent 600 393216 2 dest 0x00000000 950281 pacjent 600 393216 2 dest 0x00000000 1048586 pacjent 600 393216 2 dest 0x00000000 1146891 pacjent 600 393216 2 dest 0x00000000 1310732 pacjent 600 393216 2 dest 0x00000000 1409037 pacjent 600 393216 2 dest 0x00000000 1638414 pacjent 600 393216 2 dest 0x00000000 3375119 pacjent 600 524288 2 dest 0x00000000 1835024 pacjent 600 393216 2 dest 0x00000000 17203217 pacjent 600 393216 2 dest 0x00000000 2457618 pacjent 600 393216 2 dest 0x00000000 2129939 pacjent 600 393216 2 dest 0x00000000 40271892 pacjent 600 524288 2 dest 0x00000000 2293781 pacjent 600 524288 2 dest 0x00000000 2490390 pacjent 700 4828160 2 dest 0x00000000 17367063 pacjent 600 393216 2 dest 0x00000000 2883608 pacjent 600 393216 2 dest 0x00000000 2981913 pacjent 600 393216 2 dest 0x00000000 3014682 pacjent 600 524288 2 dest 0x00000000 44040219 pacjent 600 524288 2 dest 0x00000000 40304668 pacjent 600 4194304 2 dest 0x00000000 42827805 pacjent 600 393216 2 dest ------ Tablice semaforów ------- klucz id_sem właściciel uprawn. lsem 0x00000000 3538944 nginx 600 1 0x00000000 3571713 nginx 600 1 0x00000000 3080194 apache 600 1 0x00000000 3112963 apache 600 1 0x00000000 3145732 apache 600 1 0x00000000 3178501 apache 600 1 0x00000000 3211270 nginx 600 1 0x00000000 3244039 nginx 600 1 0x00000000 3342344 nginx 600 1 0x00000000 3375113 nginx 600 1 0x00000000 3473418 nginx 600 1 0x00000000 3506187 nginx 600 1
Wcześniej miały przeważnie z umask, a czasami jakieś wariactwa, np 666 lub 777.
Pokaż, jak uzbrojone są połączenia IPC w tym HardBSD, bo co to znaczy wbić się do IPC jakiegoś ważnego programu, to oznacza praktycznie kontrolę nad tym programem.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2015-03-27 01:14:24)
Offline
Time (s) | Query |
---|---|
0.00014 | SET CHARSET latin2 |
0.00006 | SET NAMES latin2 |
0.00140 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.119.141.115' WHERE u.id=1 |
0.00098 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.119.141.115', 1733982423) |
0.00062 | SELECT * FROM punbb_online WHERE logged<1733982123 |
0.00035 | SELECT topic_id FROM punbb_posts WHERE id=285103 |
0.00041 | SELECT id FROM punbb_posts WHERE topic_id=20635 ORDER BY posted |
0.00078 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20635 AND t.moved_to IS NULL |
0.00007 | SELECT search_for, replace_with FROM punbb_censoring |
0.00525 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20635 ORDER BY p.id LIMIT 250,25 |
0.00106 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20635 |
Total query time: 0.01112 s |