Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2015-05-31 16:14:22

  Lopus2 - Użytkownik

Lopus2
Użytkownik
Zarejestrowany: 2012-01-22

FreeBSD - zabezpieczenie serwera

Witajcie :)

Czy możecie pokazać mi artykuły opisujące zabezpieczanie maszyny przed:

- Zabezpieczenia anty DDoS (Ochrona przed atakami typu ssdp , snmp , dominate , rap , xns i inne)
- Zabezpieczenia przed atakami z serii layer7 (http flood)
- Instalacja oraz konfiguracja firewalla.

Offline

 

#2  2015-05-31 16:26:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: FreeBSD - zabezpieczenie serwera

Security level 1 - to się ustawia w konfigu, opcja kern.securelevel w sysctl.

PF - na otwartych portach robisz limity połączeń z jednego Ip, globalnie.
Polecam go zamiast domyślnego IPFW.

Tu masz dokumentację do PF, ma swoje lata, ale nieźle rozjaśnia łepetynę:
http://openbsdpl.sourceforge.net/www/faq/pf/pl/index.html

Na DOS/DDOS zainteresuj się tym przykładem:

table <abusive_hosts> persist
    block in quick from <abusive_hosts>

    pass in on $ext_if proto tcp to $web_server \
        port www flags S/SA keep state \
        (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts> flush)

Sznurek:
http://openbsdpl.sourceforge.net/www/faq/pf/pl/filter.html#stateopts

Zainteresuj się też opcją synproxy.

Ostatnio edytowany przez Jacekalex (2015-05-31 16:33:58)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2015-06-01 11:04:58

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: FreeBSD - zabezpieczenie serwera

zabezpieczenie sewrewa nie kończy sie na postawieniu zapory i ustwawieniu poziomu  security kernela...

szujkaj,  w intermecie jest trochę poradników o zabezpieczaniu free.   Gdybyś jednak chciał zainstalować openbsd tam nic nie będziesz musiał
zabezpieczać. Bo po instalacji system jest już zabezpieczony. wtedy możesz ustawić firewala i kern.securitylevel=2.


securelevel -1 : There's no additional kernel security and many of the normal security features, such as permissions, are functional. Use this level for machines not in production use.
    securelevel 0 : When OpenBSD first boots up securelevel 0 is used. If this level is set in your rc.securelevel file securelevel 1 will actually be used when the boot process is finished. There are no added features of securelevel 0.
    securelevel 1 : OpenBSD's default securelevel. Writing to /dev/mem and /dev/kmem won't work. Raw disk devices are read-only. Schg and sappnd flags cannot be removed. Kernel modules cannot be loaded or unloaded 'on the fly'.
    securelevel 2 : Includes all securelevel 1 features plus: Limited setting of the system clock. pfctl cannot change PF or NAT rules. DDB kernel debugger sysclt values cannot be changed.

Offline

 

#4  2015-06-01 11:44:36

  Lopus2 - Użytkownik

Lopus2
Użytkownik
Zarejestrowany: 2012-01-22

Re: FreeBSD - zabezpieczenie serwera

a czy na OpenBSD moge bezproblemowo skompilować oraz uruchomić aplikację, których używam na FreeBSD 9.3 32 bit?

Offline

 

#5  2015-06-01 16:08:58

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: FreeBSD - zabezpieczenie serwera

To już musisz sprawdzić sam, zwłaszcza, jak chodzi o Metina.

Poza tym OpenBSD nie toleruje żadnych zamkniętych blobów (firmware),
dlatego mogą być z nim jazdy na rozmaitym sprzęcie, na sewerze musisz sprawdzić przede wszystkim, czy interfejs 10Gbit będzie chodził z Openem.

I oczywiście czy OpenBSD jest dostępny, bo z tym różnie bywa w różnych serwerowniach.

Ostatnio edytowany przez Jacekalex (2015-06-01 16:17:31)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2015-06-01 16:35:48

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: FreeBSD - zabezpieczenie serwera

openbsd ma batrdzo wielka baze sterowników kart sieciowych :P

Offline

 

#7  2015-06-01 16:38:42

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: FreeBSD - zabezpieczenie serwera

Yampress napisał(-a):

openbsd ma batrdzo wielka baze sterowników kart sieciowych :P

Powiedz to producentom hardwaru, nawet durny Realtek r8111C potrzebuje blobów, gdyby nie polityka intela w zakresie sterów, to w ogóle by była jedna wielka bombonierka na serwerach.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2015-06-03 21:10:09

  Lopus2 - Użytkownik

Lopus2
Użytkownik
Zarejestrowany: 2012-01-22

Re: FreeBSD - zabezpieczenie serwera

a jeszcze mam takie pytanie apropo OVH
czy ich standardowy pakiet anty ddos jest dobrym wyborem czy radzicie zakupić opcję premium?

Offline

 

#9  2015-06-03 21:14:26

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: FreeBSD - zabezpieczenie serwera

Na początek zostaw standardowy, ten drugi możesz zawsze dokupić w razie potrzeby.
Przy czym kalkulując wydatki, lepiej się przygotować na ewentualny koszt tego pakietu pro.

Jak sensownie skonfigurujesz serwer, to standardowy powinien starczyć.
W każdym razie admin serwera nie jest bezbronny pod tym względem.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2015-06-04 17:05:29

  Lopus2 - Użytkownik

Lopus2
Użytkownik
Zarejestrowany: 2012-01-22

Re: FreeBSD - zabezpieczenie serwera

Rozumiem, zastaosowanie konfiguracji, którą podesłałeś mi w twoim pierwszym poście jest odpowiednie czy powinienem jeszcze pogrzebać?

Offline

 

#11  2015-06-04 17:25:57

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: FreeBSD - zabezpieczenie serwera

Lopus2 napisał(-a):

Rozumiem, zastaosowanie konfiguracji, którą podesłałeś mi w twoim pierwszym poście jest odpowiednie czy powinienem jeszcze pogrzebać?

Czy Ty w ogóle czaisz bazę, tzn rozumiesz zasady działania FreeBSD?

Bo żeby administrować systemem, to trzeba albo go dobrze znać, albo przekopać parę tys ton dokumentacji i zdobyć trochę doświadczenia w admince danym systemem, zanim zaczniesz go używać na serwerze produkcyjnym.

Ostatnio edytowany przez Jacekalex (2015-06-04 17:31:49)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2015-06-04 20:49:19

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: FreeBSD - zabezpieczenie serwera

Dziś wszyscy myśklą, że przeczytanie artykułu/dwóch  artukułów  to już posiadanie umiejętności zarządzania serwerem.
10 tys stron manuali i howto to ja kiedyś miałem w papierze... I to nie wystarczyło aby być  doświadczonym administratorem... Bo trzeba jeszcze doświadczenie mieć.


Wiesz, nie myśl ,że jak zainstalujesz FreeBSD to już nikt tego nie rozwali. Sony też tak kiedyś myślało no i ...  wyciekło mnóstwo danych.
System jest tak silny jak administrator nim zarządzający. Wprawdzie jest system z którym nic nie trzeba robić po instalacji :P

Offline

 

#13  2015-06-04 21:44:13

  Lopus2 - Użytkownik

Lopus2
Użytkownik
Zarejestrowany: 2012-01-22

Re: FreeBSD - zabezpieczenie serwera

cóż, nie mówie że po tym będę potrafił lecz każdy z Was kiedys zaczynał, dlatego napisalem tutaj temat i zadaje pytania

Offline

 

#14  2015-06-18 15:23:09

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD - zabezpieczenie serwera

Odnosnie neta.

Mozesz wrzucic do sysctl.conf

Kod:

net.link.ether.inet.log_arp_movements=0
net.inet6.ip6.accept_rtadv=0
net.inet6.ip6.auto_linklocal=0

security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.hardlink_check_gid=1
security.bsd.hardlink_check_uid=1
security.bsd.unprivileged_read_msgbuf=0
security.bsd.stack_guard_page=1
kern.maxfiles=65536
kern.maxfilesperproc=32768
kern.ipc.nmbclusters=65536
kern.ipc.maxsockets=163840
kern.ipc.somaxconn=1024
net.inet.tcp.msl=7500
net.inet.tcp.syncookies=1
net.inet.tcp.syncookies_only=1
net.inet.tcp.drop_synfin=1
net.inet.tcp.icmp_may_rst=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.icmp.drop_redirect=1
net.inet.ip.random_id=1
net.inet.ip.redirect=0
net.inet.ip.rtexpire=2
net.inet.ip.rtminexpire=2
net.inet.ip.rtmaxcache=256
net.inet6.ip6.redirect=0
net.inet6.ip6.rtexpire=2
net.inet6.ip6.rtminexpire=2
net.inet6.ip6.rtmaxcache=256

Ostatnio edytowany przez bryn1u (2015-06-18 15:24:05)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)