FreeBSD-security

firewall tiltó lista

Fórumok

Üdv!
Tegnap felraktam egy pfsense tűzfalat. Mivel alapból enged mindent, tehát webezni stb. ezért tiltó listát kell neki megadnom ha konfigurálom.Nem lehet valahogy ezt megfordítnani, és az engedélyeket leírni neki?

c-icap nem megy [SOLVED]

Fórumok

Na nem biztos hogy a security-be tartozik el. Telepítettem egy c-icap szervert, aminek többek között az lenne a feladat, hogy a squid által szolgáltatott weblapokat szűrje meg. Telepítettem hozzá egy squidclamav-t is. Amikor foreground + debug módban megpróbálom elindítani a c-icap-ot akkor a következő történik:

# /usr/local/bin/c-icap -f /usr/local/etc/c-icap/c-icap.conf -D
The acl spec all does not exists!
squidclamav.c(183) squidclamav_init_service: DEBUG Going to initialize squidclamav
LOG Reading configuration from /usr/local/etc/c-icap//squidclamav.conf
LOG Reading directive maxsize with value 5000000
LOG Reading directive clamd_local with value /var/run/clamav/clamd.sock
LOG Reading directive timeout with value 1
LOG Reading directive logredir with value 0
LOG Reading directive dnslookup with value 1
LOG Reading directive safebrowsing with value 0
Warning, alias is the same as service_name, not adding
#

Szóval az történik, hogy beolvassa a konfig állományokat. Látszólag nincs semmiféle hiba (csak LOG sorok vannak és egy WARNING), de a program befejeződik, és mindenféle további magyarázat nélkül visszakapom a prompt-ot. Ha rc script-ből próbálom meg elindítani, akkor pontosan ugyan ez a helyzet. Nincs üzenet, nincs semmi a logban:

# /usr/local/etc/rc.d/c-icap start
Starting c_icap.
# /usr/local/etc/rc.d/c-icap status
c_icap is not running.
#

Így hibaüzenet hiányában nem sikerült rájönnöm hogy mi a baj. Mi lehet a baja?

Környezet: FreeBSD 10.2-RELEASE c-icap-0.3.5_2,2 squidclamav-6.13

FreeBSD OpenSSH biztonsági probléma?

Fórumok

Avagy, mire célozhatott Theo de Raadt:

... as long as you aren't using FreeBSD or a derivative (hint: Jupiper),
you are fine. That's the only place I know of an OpenSSH hole.

Oh now I sense some angst. Please ask Kirk McKusick, he knows the
story about why this is not being disclosed to FreeBSD. Sometimes I
feel a bit sorry for them (and for him), but then the next minute I
don't feel sorry because there's damn good reasons they won't be
told about what I found.

Does that answer help? Hope so.

A válaszokat ide várjuk az illetékesektől.

FreeBSD/ZFS DoS

Fórumok

Valaki, akinek van zfs-es freebsd telepitese, futtassa le ezt: http://pastebin.com/pFX9Qazn

Elso korben lehet userkent is, jo esetben mar akkor is elpanikol a rendszer. Kell hozza egy dataset es egy snapshot (ezt persze user nem tudja megcsinalni, de lehet, hogy a rendszerrol keszul snapshot pl cronbol). Es ha ez megvan, akkor parameterezes:

$ crash.sh pool/test@snap

Jo esellyel userkent megall. A 41 es 42-sor kommentezese utan mer lehet hogy kell root jog, de akkor is latszik, hogy csak normalisnak latszo muveleteket hajtunk vegre, es lesznek szep deadlockok. Mar felvettem a kapcsolatot veluk, de gyakorlatilag eredmenyre nem jutottam, pedig kuldtem patchet is.

pfSense utálja a Vodafone -t?

Fórumok

Évek óta pfSense mögül netezek asztali gépről. Most azt a fura dolgot vettem észere, hogy a Vodafone.hu rendszeresen elérhetetlen (és itt kell kifizetnem a mobil számlámat). A vodafone.hu-ra kattintva csak vár...vár...
Bármilyen más honlapot (bank, biztosító, magyarorszag.hu) simán megnyit.
Mi lehet ez?

IPsec mobil netről, NAT-T

Fórumok

Üdv!

Még csak ismerkedem a témával, kérdéseim zöldek, pl. hogy egyáltalán van-e különösebb nehézsége, hogy mobil netes gépről (t-mobil) rá tudjak csatlakozni munkahelyi hálózatra IPsec-kel?

Na most, itt konkrétan NAT-olt hálót kéne elérni egy szem (FreeBSD-s) laptopról. A munkahelyi tűzfalon FreeBSD, konkrétan pfSense 1.2.3 van. Ha jól értem, mivel a benti háló NAT mögött van, kellene a NAT-T támogatás a kommunikáció során, hogy a NAT mögé megérkezhessenek az ESP csomagok. A probléma, hogy a pfSense 1.2.3 még nem támogatja a NAT-T-t, ez csak 2.0-tól van. Szóval kellene egy upgrade?

Jail + Lighttpd

Fórumok

Hello!

Egy olyan problemara keresem a megoldast hatha masik is talalkozott vele. Lighttpd + spawn-fcgi szeretnem megoldani ,hogy kulon userken fuassanak az a php-cgi processek a problema az,hogy szerintem a jail nem engedi a socket alapu kapcsolodast. Sysctl konfigba mi felel ennek a nem mukodesehez.

Koszi.

Apache terhelési/biztonság vizsgálat

Fórumok

Sziasztok,

FreeBSD 7.1 szerveren futtatok 2.2-es Apache-et, es PHP5-ot. (de maga a problema regebben mas verziokkal is fennallt) Mindig frissitem amugy ezeket (es minden mast is) Portupgrade-el a legfrissebbre.

Jelenlegi telepitesek:

apache-2.2.11_3
php5-5.2.8
mysql-server-5.1.30
mysql-client-5.1.30

Az apache konfiguracio az alaptol ennyiben ter el:
ServerTokens Minor
ServerSignature Off
ExtendedStatus On
HostnameLookups On

A gond az hogy nehany weblap szerintem rosszul van megirva, vagy spammelik, vagy nem tudom, de az apache napjaban tobbszor megall ugy hogy a processz fut, de kiszolgalni mar nem tud (az irja ki a bongeszo: A Kapcsolat alaphelyzetbe allt). Kb. 50 virtualis hosztot futtat egyebkent.
Ekkor kill-elem a pid-et majd ujrainditas utan megint jo.

Beallitottam a server-status funkciot, de nekem ez sajnos sokat nem mond.
A logokban sincs sok info, max ennyi:

[Mon Mar 16 20:23:11 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 16 children, there are 0 idle, and 36 total children
[Mon Mar 16 20:24:08 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 2 idle, and 27 total children
[Mon Mar 16 20:24:09 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 16 children, there are 3 idle, and 35 total children
[Mon Mar 16 20:25:23 2009] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 45 total children

DE ezek se mondanak sokat. Meg mivel info-k igy gondolom nem ez a problema megoldasahoz vezeto jel.

Ha tud valaki segitsen!

Koszi

[megoldva] fereg + pidgin

Fórumok

Sziasztok!

Gyanus, mintha fereg lenne az egyik FreeBSD gepemen. Az egyik felhasznalo arra panaszkodik, hogy a pidgin fertozot e-mail cimeket tartalamzo uzeneteket kuld a neveben. Ilyet peldaul:
atti-brie: hey dunadan hey look ${EGYHTTPCIM}
Meg soha sem volt semmi fereggel, virussal stb. kapcsolatos problemam. Igy igazabol kb. hozza se tudok fogni a megoldashoz. Tudnatok segiteni hogy lehetne kezelni a problemat?