Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2015-05-31 16:14:22

  Lopus2 - Użytkownik

Lopus2
Użytkownik
Zarejestrowany: 2012-01-22

FreeBSD - zabezpieczenie serwera

Witajcie :)

Czy możecie pokazać mi artykuły opisujące zabezpieczanie maszyny przed:

- Zabezpieczenia anty DDoS (Ochrona przed atakami typu ssdp , snmp , dominate , rap , xns i inne)
- Zabezpieczenia przed atakami z serii layer7 (http flood)
- Instalacja oraz konfiguracja firewalla.

Offline

 

#2  2015-05-31 16:26:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD - zabezpieczenie serwera

Security level 1 - to się ustawia w konfigu, opcja [b]kern.securelevel [/b]w [b]sysctl[/b].

PF - na otwartych portach robisz limity połączeń z jednego Ip, globalnie.
Polecam go zamiast domyślnego IPFW.

Tu masz dokumentację do PF, ma swoje lata, ale nieźle rozjaśnia łepetynę:
http://openbsdpl.sourceforge.net/www/faq/pf/pl/index.html

Na DOS/DDOS zainteresuj się tym przykładem:

table <abusive_hosts> persist
    block in quick from <abusive_hosts>

    pass in on $ext_if proto tcp to $web_server \
        port www flags S/SA keep state \
        (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts> flush)[/quote]
Sznurek:
http://openbsdpl.sourceforge.net/www/faq/pf/pl/filter.html#stateopts

Zainteresuj się też opcją synproxy.

Ostatnio edytowany przez Jacekalex (2015-05-31 16:33:58)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2015-06-01 11:04:58

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: FreeBSD - zabezpieczenie serwera

zabezpieczenie sewrewa nie kończy sie na postawieniu zapory i ustwawieniu poziomu  security kernela...

szujkaj,  w intermecie jest trochę poradników o zabezpieczaniu free.   Gdybyś jednak chciał zainstalować openbsd tam nic nie będziesz musiał
zabezpieczać. Bo po instalacji system jest już zabezpieczony. wtedy możesz ustawić firewala i kern.securitylevel=2.


securelevel -1 : There's no additional kernel security and many of the normal security features, such as permissions, are functional. Use this level for machines not in production use.
    securelevel 0 : When OpenBSD first boots up securelevel 0 is used. If this level is set in your rc.securelevel file securelevel 1 will actually be used when the boot process is finished. There are no added features of securelevel 0.
    securelevel 1 : OpenBSD's default securelevel. Writing to /dev/mem and /dev/kmem won't work. Raw disk devices are read-only. Schg and sappnd flags cannot be removed. Kernel modules cannot be loaded or unloaded 'on the fly'.
    securelevel 2 : Includes all securelevel 1 features plus: Limited setting of the system clock. pfctl cannot change PF or NAT rules. DDB kernel debugger sysclt values cannot be changed.[/quote]

Offline

 

#4  2015-06-01 11:44:36

  Lopus2 - Użytkownik

Lopus2
Użytkownik
Zarejestrowany: 2012-01-22

Re: FreeBSD - zabezpieczenie serwera

a czy na OpenBSD moge bezproblemowo skompilować oraz uruchomić aplikację, których używam na FreeBSD 9.3 32 bit?

Offline

 

#5  2015-06-01 16:08:58

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD - zabezpieczenie serwera

To już musisz sprawdzić sam, zwłaszcza, jak chodzi o Metina.

Poza tym OpenBSD nie toleruje żadnych zamkniętych blobów (firmware),
dlatego mogą być z nim jazdy na rozmaitym sprzęcie, na sewerze musisz sprawdzić przede wszystkim, czy interfejs 10Gbit będzie chodził z Openem.

I oczywiście czy OpenBSD jest dostępny, bo z tym różnie bywa w różnych serwerowniach.

Ostatnio edytowany przez Jacekalex (2015-06-01 16:17:31)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2015-06-01 16:35:48

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: FreeBSD - zabezpieczenie serwera

openbsd ma batrdzo wielka baze sterowników kart sieciowych :P

Offline

 

#7  2015-06-01 16:38:42

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD - zabezpieczenie serwera

[quote=Yampress]openbsd ma batrdzo wielka baze sterowników kart sieciowych :P[/quote]
Powiedz to producentom hardwaru, nawet durny Realtek r8111C potrzebuje blobów, gdyby nie polityka intela w zakresie sterów, to w ogóle by była jedna wielka bombonierka na serwerach.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2015-06-03 21:10:09

  Lopus2 - Użytkownik

Lopus2
Użytkownik
Zarejestrowany: 2012-01-22

Re: FreeBSD - zabezpieczenie serwera

a jeszcze mam takie pytanie apropo OVH
czy ich standardowy pakiet anty ddos jest dobrym wyborem czy radzicie zakupić opcję premium?

Offline

 

#9  2015-06-03 21:14:26

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD - zabezpieczenie serwera

Na początek zostaw standardowy, ten drugi możesz zawsze dokupić w razie potrzeby.
Przy czym kalkulując wydatki, lepiej się przygotować na ewentualny koszt tego pakietu pro.

Jak sensownie skonfigurujesz serwer, to standardowy powinien starczyć.
W każdym razie admin serwera nie jest bezbronny pod tym względem.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2015-06-04 17:05:29

  Lopus2 - Użytkownik

Lopus2
Użytkownik
Zarejestrowany: 2012-01-22

Re: FreeBSD - zabezpieczenie serwera

Rozumiem, zastaosowanie konfiguracji, którą podesłałeś mi w twoim pierwszym poście jest odpowiednie czy powinienem jeszcze pogrzebać?

Offline

 

#11  2015-06-04 17:25:57

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD - zabezpieczenie serwera

[quote=Lopus2]Rozumiem, zastaosowanie konfiguracji, którą podesłałeś mi w twoim pierwszym poście jest odpowiednie czy powinienem jeszcze pogrzebać?[/quote]
Czy Ty w ogóle czaisz bazę, tzn rozumiesz zasady działania FreeBSD?

Bo żeby administrować systemem, to trzeba albo go dobrze znać, albo przekopać parę tys ton dokumentacji i zdobyć trochę doświadczenia w admince danym systemem, zanim zaczniesz go używać na serwerze produkcyjnym.

Ostatnio edytowany przez Jacekalex (2015-06-04 17:31:49)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2015-06-04 20:49:19

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: FreeBSD - zabezpieczenie serwera

Dziś wszyscy myśklą, że przeczytanie artykułu/dwóch  artukułów  to już posiadanie umiejętności zarządzania serwerem.
10 tys stron manuali i howto to ja kiedyś miałem w papierze... I to nie wystarczyło aby być  doświadczonym administratorem... Bo trzeba jeszcze doświadczenie mieć.


Wiesz, nie myśl ,że jak zainstalujesz FreeBSD to już nikt tego nie rozwali. Sony też tak kiedyś myślało no i ...  wyciekło mnóstwo danych.
System jest tak silny jak administrator nim zarządzający. Wprawdzie jest system z którym nic nie trzeba robić po instalacji :P

Offline

 

#13  2015-06-04 21:44:13

  Lopus2 - Użytkownik

Lopus2
Użytkownik
Zarejestrowany: 2012-01-22

Re: FreeBSD - zabezpieczenie serwera

cóż, nie mówie że po tym będę potrafił lecz każdy z Was kiedys zaczynał, dlatego napisalem tutaj temat i zadaje pytania

Offline

 

#14  2015-06-18 15:23:09

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD - zabezpieczenie serwera

Odnosnie neta.

Mozesz wrzucic do sysctl.conf

Kod:

net.link.ether.inet.log_arp_movements=0
net.inet6.ip6.accept_rtadv=0
net.inet6.ip6.auto_linklocal=0

security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.hardlink_check_gid=1
security.bsd.hardlink_check_uid=1
security.bsd.unprivileged_read_msgbuf=0
security.bsd.stack_guard_page=1
kern.maxfiles=65536
kern.maxfilesperproc=32768
kern.ipc.nmbclusters=65536
kern.ipc.maxsockets=163840
kern.ipc.somaxconn=1024
net.inet.tcp.msl=7500
net.inet.tcp.syncookies=1
net.inet.tcp.syncookies_only=1
net.inet.tcp.drop_synfin=1
net.inet.tcp.icmp_may_rst=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.icmp.drop_redirect=1
net.inet.ip.random_id=1
net.inet.ip.redirect=0
net.inet.ip.rtexpire=2
net.inet.ip.rtminexpire=2
net.inet.ip.rtmaxcache=256
net.inet6.ip6.redirect=0
net.inet6.ip6.rtexpire=2
net.inet6.ip6.rtminexpire=2
net.inet6.ip6.rtmaxcache=256

Ostatnio edytowany przez bryn1u (2015-06-18 15:24:05)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.010 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00125 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.196.150' WHERE u.id=1
0.00068 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.196.150', 1732256200)
0.00043 SELECT * FROM punbb_online WHERE logged<1732255900
0.00067 DELETE FROM punbb_online WHERE ident='54.36.149.26'
0.00082 SELECT topic_id FROM punbb_posts WHERE id=287717
0.00006 SELECT id FROM punbb_posts WHERE topic_id=27452 ORDER BY posted
0.00058 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27452 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00195 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27452 ORDER BY p.id LIMIT 0,25
0.00073 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27452
Total query time: 0.00739 s