Linux-security

Sziasztok,
jobb hijan a biztonsagi temak ala postolok. SLES10 alatt futo Apache-om logjaban egyre szaporodnak a mindenfele IP-rol erkezo, vszinusithetoen taviranyitott gepek bejegyzesei, amelyek latszolag semmi mast nem tesznek, csak HEAD-elve referrer-kent mindenfele otvar oldalt tolnak be a log-ba, amit utana a (korabban publikusan is elerheto) webalizer output aztan szepen megmutatott... Sajna nem egeszen idoben, de eszbekaptam es azota butitottam is a webalizer publikusan is lathato kimenetet referrer-eket egyaltalan nem mutatora; kerdeznem azonban, erdemes-e, ill. hogyan tudnam a tovabbiakban a HEAD-es lekereseket abszolut tiltani?!
Par pelda, referrer-ek kisse valtoztatva:

125.163.238.199 - - [20/Jan/2010:19:12:36 +0100] "HEAD / HTTP/1.1" 200 - "http://valami/nespresso-preisvergleich-21" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; Media Center PC 6.0; InfoPath.2; MS-RTC LM 8)"

113.53.76.245 - - [21/Jan/2010:01:58:34 +0100] "HEAD / HTTP/1.0" 200 - "http://valami/nespresso-preisvergleich-21" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-GB; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3"

120.29.157.46 - - [21/Jan/2010:09:08:36 +0100] "HEAD / HTTP/1.1" 200 - "http://valami/kindle-2-deutsch-21" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3"

118.173.86.63 - - [21/Jan/2010:15:52:07 +0100] "HEAD / HTTP/1.0" 200 - "http://valami/kindle-2-deutsch-21" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3"

118.173.75.219 - - [22/Jan/2010:12:44:30 +0100] "HEAD / HTTP/1.0" 200 - "http://valami/nespresso-preisvergleich-21" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)"

118.173.80.99 - - [22/Jan/2010:19:11:47 +0100] "HEAD / HTTP/1.0" 200 - "http://valami/paulchen-vibrator-21" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.50"

Az utolsobol is lathato, hogy itt mar kezdett igazan fajni a dolog, de ezt mar ugyis csak en latom. Meg persze Ti most:)
Nem az en szerverem, de egy egyszeru Google kereses alapjan nem vagyok egyedul, mert pl. http://shop.webpoint.at/stats/ref_201001.html
is hasonlo vackokkal van elcsufitva...

Elore is koszonom,
Pelibali

Sziasztok!

Két problémám adódott az rkhunterrel.

1. Mi lehet a gondja az rkhunternek a lentebb említett alkalmazások verziójával

   [22:41:13] Checking version of GnuPG [ Warning ]
   [22:41:13] Warning: Application 'gpg', version '1.4.9', is out of date, and possibly a security risk.
   [22:41:13] Checking version of OpenSSL [ Warning ]
   [22:41:14] Warning: Application 'openssl', version '0.9.8g', is out of date, and possibly a security risk.
   [22:41:14] Checking version of ProFTPd [ Warning ]
   [22:41:14] Warning: Application 'proftpd', version '1.3.1', is out of date, and possibly a security risk.
   [22:41:14] Checking version of OpenSSH [ Warning ]
   [22:41:14] Warning: Application 'sshd', version '5.1p1', is out of date, and possibly a security risk.

2. Módosítottam az /usr/bin/rkhunter scriptet, hogy két mailt küldjön, ha gyanúsat észlel, és a logból is idézzen nekem néhány sort.
   A problémám ezzel az, hogy mióta szerkesztettem a scriptjét, veszélyt jelez rá. Erre meg is találtam a választ. Ez pedig a következő: A konfigbaban be van állítva a PKGMR (csomagkezelő), mivel Debiant használok ez nálam DPKG. Azért jelez veszélyt, mert a DPKG tárol az rkhunterről néhány infót pl.: Telepítés utáni mérete. (szerintem) A szerkesztés után változott a script mérete, és ezen akadhat fent.
   Kérdésem: Hogyan tudom módosítani dpkg-val az rkhunter-ről tárolt információkat? [Megoldva]

OS: Lenny
RKHunter version: 1.3.2

Az 1. probléma fordul elő az asztali gépemen amin szintén Lenny fut, és egy frissen virtuális PC-re telepített gépen, ami szintúgy Lenny-t futtat.

Előre is köszönöm szépen a válaszotokat, és ezúton szeretnék mindenkinek Boldog Békés Karácsonyi ünnepeket kívánni!

Üdvözlettel.:
V007

Egy folyamatot szeretnék bezárni SELinux segítségével. Átolvastam az alap dolgokat, permissive-be be van állítva SELinux, jogok rendben. Ugye így engedő mód, csak 1-2 folyamatot akarok korlátozni. X nincs a rendszeren. Egyenlőre virtuális gépben kísérletezek.

Nem nagyon van manual, illetve a debian-os csomag leírásból sem derül ki a kérdésemre a válasz:

Létezik konzolos progi, amivel tudok generálni egy policy-t különböző feltételek alapján, mint pl. hogy milyen portokat nyithat a progi, milyen fájlokhoz legyen olvasás joga stb.?

Tartalmazza ezt a policycoreutils csomag? Ha igen, akkor melyik parancs az?

Átolvastam könyvnyi anyagokat a témában, de nem találok választ. Egyébként a működést értem, csak a policy létrehozáshoz nem találok jó leírást. Ugye egy .pp fájlt kellene tudnom csinálni. Azt már be tudom tölteni meg hasonlók.

Renszer = Debian Lenny.

Kaphatnék egy kis iránymutató segítséget?
Előre is köszi.

1up

Van egy virtualboxban futó Debian Lenny (csak alaprendszer), amin fut egy vsftp és egy Apache2+SSL pár virtualhosttal tesztelésre. Felraktam csomagból a fail2ban-t, a vsftp-re probléma nélkül sikerült belőni, míg az Apache2-nél nagyon nem akarja az igazat, azaz nem csinál semmit.

Infók:
uname -a
Linux vmdeb 2.6.26-2-686 #1 SMP Wed Nov 4 20:45:37 UTC 2009 i686 GNU/Linux

/ect/fail2ban/jail.local tartalma (csak a módosított részek - alapból csak az apache-noscript-et szerettem volna bekapcsolni, csak miután nem csinált semmit, kínomban bekapcsoltam a többit is)


[apache]


enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 3

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (0.7.6-2) releases
[apache-multiport]

enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 3

[apache-noscript]

enabled = true
port = http,https
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 3
.
.
.
[vsftpd]

enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 3

/etc/fail2ban/filters/apache-noscript.conf (hátha ebben van valami bibi)


# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 658 $
#


[Definition]

# Option: failregex
# Notes.: regex to match the password failure messages in the logfile. The
# host must be matched by a group named "host". The tag "" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P\S+)
# Values: TEXT
#
failregex = [[]client ŐHOSTŐ[]] (File does not exist|script not found or unable to stat): /\S*(\.php|\.asp|\.exe|\.pl)
[[]client ŐHOSTŐ[]] script '/\S*(\.php|\.asp|\.exe|\.pl)\S*' not found or unable to stat *$

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Az Ő a "rigójancsicsőrőket jelenti, mert a code tag nem szerette.

Mivel a vsftp beállítás minden egyéb trükk nélkül tökéletesen megy, ezért nem értem, hogy az apache miért nem. Talán rossz a regexp - de az még nekem eléggé kínai :). Ha a hostról "betámadom" a virtuális gépet, az apache logokban ott van szépen a nyoma, de semmi más nem történik. Az iptables -L szépen mutatja, hogy létrejöttek a megfelelő chainek, a fail2ban logban látszik, hogy elindítja a jaileket, de más semmi.

fail2ban.log

2009-12-10 15:39:22,886 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2009-12-10 15:39:22,890 fail2ban.jail : INFO Creating new jail 'apache-noscript'
2009-12-10 15:39:22,890 fail2ban.jail : INFO Jail 'apache-noscript' uses poller
2009-12-10 15:39:22,934 fail2ban.filter : INFO Added logfile = /var/log/apache2/error.log
2009-12-10 15:39:22,937 fail2ban.filter : INFO Set maxRetry = 3
2009-12-10 15:39:22,943 fail2ban.filter : INFO Set findtime = 600
2009-12-10 15:39:22,946 fail2ban.actions: INFO Set banTime = 600
2009-12-10 15:39:22,986 fail2ban.jail : INFO Creating new jail 'vsftpd'
2009-12-10 15:39:22,987 fail2ban.jail : INFO Jail 'vsftpd' uses poller
2009-12-10 15:39:22,991 fail2ban.filter : INFO Added logfile = /var/log/vsftpd.log
2009-12-10 15:39:22,994 fail2ban.filter : INFO Set maxRetry = 3
2009-12-10 15:39:23,000 fail2ban.filter : INFO Set findtime = 600
2009-12-10 15:39:23,003 fail2ban.actions: INFO Set banTime = 600
2009-12-10 15:39:23,041 fail2ban.jail : INFO Creating new jail 'apache-multiport'
2009-12-10 15:39:23,041 fail2ban.jail : INFO Jail 'apache-multiport' uses poller
2009-12-10 15:39:23,045 fail2ban.filter : INFO Added logfile = /var/log/apache2/error.log
2009-12-10 15:39:23,049 fail2ban.filter : INFO Set maxRetry = 3
2009-12-10 15:39:23,054 fail2ban.filter : INFO Set findtime = 600
2009-12-10 15:39:23,057 fail2ban.actions: INFO Set banTime = 600
2009-12-10 15:39:23,099 fail2ban.jail : INFO Creating new jail 'apache'
2009-12-10 15:39:23,099 fail2ban.jail : INFO Jail 'apache' uses poller
2009-12-10 15:39:23,103 fail2ban.filter : INFO Added logfile = /var/log/apache2/error.log
2009-12-10 15:39:23,107 fail2ban.filter : INFO Set maxRetry = 3
2009-12-10 15:39:23,113 fail2ban.filter : INFO Set findtime = 600
2009-12-10 15:39:23,115 fail2ban.actions: INFO Set banTime = 600
2009-12-10 15:39:23,173 fail2ban.jail : INFO Jail 'apache-noscript' started
2009-12-10 15:39:23,213 fail2ban.jail : INFO Jail 'vsftpd' started
2009-12-10 15:39:23,288 fail2ban.jail : INFO Jail 'apache-multiport' started
2009-12-10 15:39:23,392 fail2ban.jail : INFO Jail 'apache' started

és utána "síri csend", hacsak nem az ftp-t "támadom be". Akkor megjelenik szépen a Ban üzenet, meg nem is értem el.

/var/log/apache2/error.log (részlet)

.
[Thu Dec 10 15:40:22 2009] [error] [client 192.168.0.4] File does not exist: /var/www/site2/hulla
[Thu Dec 10 15:40:22 2009] [error] [client 192.168.0.4] File does not exist: /var/www/site2/hulla
[Thu Dec 10 15:40:22 2009] [error] [client 192.168.0.4] File does not exist: /var/www/site2/hulla
[Thu Dec 10 15:40:22 2009] [error] [client 192.168.0.4] File does not exist: /var/www/site2/hulla
[Thu Dec 10 15:40:22 2009] [error] [client 192.168.0.4] File does not exist: /var/www/site2/hulla
[Thu Dec 10 15:40:22 2009] [error] [client 192.168.0.4] File does not exist: /var/www/site2/hulla
[Thu Dec 10 15:40:23 2009] [error] [client 192.168.0.4] File does not exist: /var/www/site2/hulla
.
.


Kínomban már 777-re pakoltam a var/log/apache2-t meg tartalmát, de mivel a vsftpd.log is "alap" jogokkal működött, így nem vártam tőle csodát.
Szóval mit nézzek, mit rontok el?
Upd: a hozzászolásban is elbarmolhatom valahol a code tag-eket, mert nem úgy néz ki, ahogyan szeretném :) )

Sziasztok

Az nem megoldható valahogyan hogy a gpg parancs kiadásakor a parancsnak közvetlen lehessen átadni egy sztringet mint nyilvános kulcs amivel titkosítani akarok?

"gpg -a --output duma.asc --encrypt --recipient wehrwolf882008_kukac_gmail.com duma"

ez a duma fájl tartalmát titkosítja duma.asc be wehrwolf882008@gmail.com nevű kulcs alapján. Hogy lehetne azt megoldani hogy a kulcsot egy asc-ből vagy más szövegfájlból olvassa be vagy közvetlenül a parancsba biggyesztve?

Csak olyan nyilvános kulccsal tud dolgozni ami importálva van és neven van? :S
Jah és az is jó volna ha az eredményt se fájlba hanem képernyőre nyomná...
Köszi előre is...

Sziasztok!

Postfix levelező szerverünk van MySql-s virtual hostokkal.

Mostanában naponta 1x előfordul, hogy egyszerre annyi spam kliens akar kapcsolódni a szerverünkhöz, hogy a MySql eldobálja a kapcsolatokat a 100-s limit miatt.

Ti milyen korlátozást szoktatok bevezetni ilyenkor Postfixban?

Köszi!

Sziasztok!

Jelszóval védett partíción lévő adatokhoz kellene hozzáférnem, a jelszót állítólag elfelejtették.
Dm-crypt, 50 GB.

Ötlet?

na, nem hittem hogy valaha en is inditok ilyet ;-)

volt egy devel gepunk kint publikus halon, szokasos almafa jelszoval. jott a level a NOCtol, hogy spammelnek onnan, ezt biztos feltortek, fogtam a vmet, lekapcsoltam, ujratelepitettuk, atraktuk a cuccainkat.

most leptem be a gepre, es a homeom alatt ill a /root alatt volt egy oradiag_root konyvtar.

latott mar ilyet vki? oracle nem fut rajtuk.

update: nemirtam, de uptodate centos 5.4 + zend community server. megnezve egy oras manualt, abban van ilyen:
"For Oracle Net log files created by a web server running PHP, look in /root/oradiag_root if no other
path was configured."

lehet, hogy a zend community server telepitett valami oras cuccot?

ES IGEN, a rohadt zend server CE volt az. hogy rohadna le,...

Sziasztok!

Azt kellene megoldanom, hogy ha egy felhasználó ssh-n be akar lépni adott szerverre, és 3 alkalommal elgépeli a jelszavát, akkor a rendszer adott időre (vagy örökre), kitiltsa.

Ezt hogyan tudom megvalósítani?

Redhat Enterprise Linux 5.4 lenne az oprendszer.

Előre is köszönöm a válaszokat!

msandor

[UPDATE1]
- kiderült, hogy nem 3, hanem 5 alkalommal téveszthet, ez részlet kérdés (nem kihívás, ha már megvan a módszer)
- az is kiderült, hogy nemcsak ssh-n, hanem konzolon is figyelni kell a tévesztést, tehát az sshd, illetve fail2ban trükközés mindjárt ki is esett
[/UPDATE1]

###############
A megoldás:

- Szúrjuk be az alábbi sort az ”/etc/pam.d/system-auth” elejére:

auth required pam_tally.so deny=5

- a lockolt user aktiválása

# faillog -u USERNAME -r

Az lenne a kérdésem, hogy lehet megvédeni apache-t a dúrva frissítésektől?

Arra gondolok, hogy iptablesben szabályozni kéne az elérhetőséget x lekérés per másodperc alapon.

Nyílván úgy, hogy egy alap felhasználót aki simán böngészi az oldalt ne tiltsa le, de ha egy kezdő "windózos hacker" CTRL+R módra próbálja terhelni apache-ot egyértelműen blokkolja, magyarán nem fog betölteni neki az oldal. :)

Néztem howtokat de valahogy nem úgy szuperál ahogy kéne.