FreeBSD-security

Sziasztok!

Esetleg valaki tudna segíteni, hogy az alábbi egyszerű pf.conf miért nem működik? (valami alapvető dolgot hagyhatok ki, és FreeBSD-n próbálom)

set skip on lo0

rdr on re0 inet proto tcp from any to 192.168.4.200 port 80 -> 127.0.0.1 port 8080

block in all

pass in on re0 proto tcp to port {22, 80}
pass out all

Egy shared ip-s jail-ben fut egy traefik a 8080-as porton. Ha a block-ot kiveszem, akkor szépen elérhető.

Át akarom irányítani a 80-as portot a 127.0.0.1:8080-ra. Ha a block-ot kiveszem, akkor az átirányítás működik. Az SSH  működik.

Egyéb kapcsolódó beállítások:

Az rc.conf-ból:

ifconfig_re0="inet 192.168.4.200 netmask 255.255.255.0"
cloned_interfaces="bridge0"
ifconfig_bridge0="addm re0 up"

A sysctl.conf-ból:

net.inet.ip.forwarding=1       # Enable IP forwarding between interfaces
net.link.bridge.pfil_onlyip=0  # Only pass IP packets when pfil is enabled
net.link.bridge.pfil_bridge=0  # Packet filter on the bridge interface
net.link.bridge.pfil_member=0  # Packet filter on the member interface

A másik kérdés, hogy vnet-es jail-ekre sem működik, tehát ez pl (a 192.168.4.206-os gép egy vnet-es jail ami a 192.168.4.200-as host-on fut):

rdr on re0 inet proto tcp from any to 192.168.4.200 port 80 -> 192.168.4.206 port 8080

A cél: Hobbi projekt, plex, unifi controller, adguard, stb... fut jail-ekben. + egy samba a host gépen.

Csak azokat a portokat szeretném nyitva tartani, amiket el kell érni kívülről (samba, ssh, stb..), legyen rendesen beállítva.

A többit, az egyes webfelületek elérését Traefik segítségével szeretném megoldani, reverse proxy-val, https-sel.

Jelenleg vnet-es jail-ekben fut minden, de a traefik-et már átraktam shared ip-s jail-be, aminek a 127.0.0.1-es IP címet adtam meg:

iocage set vnet=off ip4_addr="lo0|127.0.0.1" traefik

Ez működik a host gépről (és átirányítással a http://192.168.4.200/dashboard is kívülről, ha nincs bent a block in all):

# curl 127.0.0.1:8080/dashboard
<!DOCTYPE html><html><head><title>Traefik</title> stb...

Köszönöm előre is.

Üdv!
Tegnap felraktam egy pfsense tűzfalat. Mivel alapból enged mindent, tehát webezni stb. ezért tiltó listát kell neki megadnom ha konfigurálom.Nem lehet valahogy ezt megfordítnani, és az engedélyeket leírni neki?

Na nem biztos hogy a security-be tartozik el. Telepítettem egy c-icap szervert, aminek többek között az lenne a feladat, hogy a squid által szolgáltatott weblapokat szűrje meg. Telepítettem hozzá egy squidclamav-t is. Amikor foreground + debug módban megpróbálom elindítani a c-icap-ot akkor a következő történik:

# /usr/local/bin/c-icap -f /usr/local/etc/c-icap/c-icap.conf -D
The acl spec all does not exists!
squidclamav.c(183) squidclamav_init_service: DEBUG Going to initialize squidclamav
LOG Reading configuration from /usr/local/etc/c-icap//squidclamav.conf
LOG Reading directive maxsize with value 5000000
LOG Reading directive clamd_local with value /var/run/clamav/clamd.sock
LOG Reading directive timeout with value 1
LOG Reading directive logredir with value 0
LOG Reading directive dnslookup with value 1
LOG Reading directive safebrowsing with value 0
Warning, alias is the same as service_name, not adding
#

Szóval az történik, hogy beolvassa a konfig állományokat. Látszólag nincs semmiféle hiba (csak LOG sorok vannak és egy WARNING), de a program befejeződik, és mindenféle további magyarázat nélkül visszakapom a prompt-ot. Ha rc script-ből próbálom meg elindítani, akkor pontosan ugyan ez a helyzet. Nincs üzenet, nincs semmi a logban:

# /usr/local/etc/rc.d/c-icap start
Starting c_icap.
# /usr/local/etc/rc.d/c-icap status
c_icap is not running.
#

Így hibaüzenet hiányában nem sikerült rájönnöm hogy mi a baj. Mi lehet a baja?

Környezet: FreeBSD 10.2-RELEASE c-icap-0.3.5_2,2 squidclamav-6.13

Avagy, mire célozhatott Theo de Raadt:

... as long as you aren't using FreeBSD or a derivative (hint: Jupiper),
you are fine. That's the only place I know of an OpenSSH hole.

Oh now I sense some angst. Please ask Kirk McKusick, he knows the
story about why this is not being disclosed to FreeBSD. Sometimes I
feel a bit sorry for them (and for him), but then the next minute I
don't feel sorry because there's damn good reasons they won't be
told about what I found.

Does that answer help? Hope so.

A válaszokat ide várjuk az illetékesektől.

Valaki, akinek van zfs-es freebsd telepitese, futtassa le ezt: http://pastebin.com/pFX9Qazn

Elso korben lehet userkent is, jo esetben mar akkor is elpanikol a rendszer. Kell hozza egy dataset es egy snapshot (ezt persze user nem tudja megcsinalni, de lehet, hogy a rendszerrol keszul snapshot pl cronbol). Es ha ez megvan, akkor parameterezes:

$ crash.sh pool/test@snap

Jo esellyel userkent megall. A 41 es 42-sor kommentezese utan mer lehet hogy kell root jog, de akkor is latszik, hogy csak normalisnak latszo muveleteket hajtunk vegre, es lesznek szep deadlockok. Mar felvettem a kapcsolatot veluk, de gyakorlatilag eredmenyre nem jutottam, pedig kuldtem patchet is.

Évek óta pfSense mögül netezek asztali gépről. Most azt a fura dolgot vettem észere, hogy a Vodafone.hu rendszeresen elérhetetlen (és itt kell kifizetnem a mobil számlámat). A vodafone.hu-ra kattintva csak vár...vár...
Bármilyen más honlapot (bank, biztosító, magyarorszag.hu) simán megnyit.
Mi lehet ez?

CVE-2012-4576-linux.c

Régi, javított sebezhetőség, de tegnap publikáltak hozzá exploitot.

Üdv!

Még csak ismerkedem a témával, kérdéseim zöldek, pl. hogy egyáltalán van-e különösebb nehézsége, hogy mobil netes gépről (t-mobil) rá tudjak csatlakozni munkahelyi hálózatra IPsec-kel?

Na most, itt konkrétan NAT-olt hálót kéne elérni egy szem (FreeBSD-s) laptopról. A munkahelyi tűzfalon FreeBSD, konkrétan pfSense 1.2.3 van. Ha jól értem, mivel a benti háló NAT mögött van, kellene a NAT-T támogatás a kommunikáció során, hogy a NAT mögé megérkezhessenek az ESP csomagok. A probléma, hogy a pfSense 1.2.3 még nem támogatja a NAT-T-t, ez csak 2.0-tól van. Szóval kellene egy upgrade?

Hello!

Egy olyan problemara keresem a megoldast hatha masik is talalkozott vele. Lighttpd + spawn-fcgi szeretnem megoldani ,hogy kulon userken fuassanak az a php-cgi processek a problema az,hogy szerintem a jail nem engedi a socket alapu kapcsolodast. Sysctl konfigba mi felel ennek a nem mukodesehez.

Koszi.

Sziasztok,

FreeBSD 7.1 szerveren futtatok 2.2-es Apache-et, es PHP5-ot. (de maga a problema regebben mas verziokkal is fennallt) Mindig frissitem amugy ezeket (es minden mast is) Portupgrade-el a legfrissebbre.

Jelenlegi telepitesek:

apache-2.2.11_3
php5-5.2.8
mysql-server-5.1.30
mysql-client-5.1.30

Az apache konfiguracio az alaptol ennyiben ter el:
ServerTokens Minor
ServerSignature Off
ExtendedStatus On
HostnameLookups On

A gond az hogy nehany weblap szerintem rosszul van megirva, vagy spammelik, vagy nem tudom, de az apache napjaban tobbszor megall ugy hogy a processz fut, de kiszolgalni mar nem tud (az irja ki a bongeszo: A Kapcsolat alaphelyzetbe allt). Kb. 50 virtualis hosztot futtat egyebkent.
Ekkor kill-elem a pid-et majd ujrainditas utan megint jo.

Beallitottam a server-status funkciot, de nekem ez sajnos sokat nem mond.
A logokban sincs sok info, max ennyi:

[Mon Mar 16 20:23:11 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 16 children, there are 0 idle, and 36 total children
[Mon Mar 16 20:24:08 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 2 idle, and 27 total children
[Mon Mar 16 20:24:09 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 16 children, there are 3 idle, and 35 total children
[Mon Mar 16 20:25:23 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 45 total children

DE ezek se mondanak sokat. Meg mivel info-k igy gondolom nem ez a problema megoldasahoz vezeto jel.

Ha tud valaki segitsen!

Koszi