FreeBSD-security

Sziasztok!

Gyanus, mintha fereg lenne az egyik FreeBSD gepemen. Az egyik felhasznalo arra panaszkodik, hogy a pidgin fertozot e-mail cimeket tartalamzo uzeneteket kuld a neveben. Ilyet peldaul:
atti-brie: hey dunadan hey look ${EGYHTTPCIM}
Meg soha sem volt semmi fereggel, virussal stb. kapcsolatos problemam. Igy igazabol kb. hozza se tudok fogni a megoldashoz. Tudnatok segiteni hogy lehetne kezelni a problemat?

Sziasztok!

Portauditot használok eddig nagy megelégedéssel. Egy hete azonban hibát jelzett a telepített mysql-client csomagomban. annak ellenére, hogy kb 30 revison beli különbség (asszem így kell szépen mondani azta számot a mi a második pont után van) van az én csomagom és a legfrissebb között úgy tűnik a hiba még mindig fenn áll.

Értelemszerűen nem távolíthatom el a mysql klienst a szerverről, úgyhogy utána olvastam a problémának:

portaudit hibaoldal:
http://www.freebsd.org/ports/portaudit/4775c807-8f30-11dd-821f-001cc037…

hiba eredeti oldala:
http://www.securityfocus.com/bid/31486

Ezeket elolvastam. Lehet, hogy rosszul értettem valamit, a következőkben azonban feltételezni fogom, hogy jól értettem. A "hiba" megtalálója, Thomas Henlich azt kifogásolja, hogy a mysql parancssori kliense nem escape-eli a HTML speciális karaktereit. :-/

Webfejlesztő vagyok, és tudom, hogy le kell törni azoknak a kezét, akik nem escape-elnek mindent az outputban. PHP-ben például létezik a htmspecialchars függvény, amin mindent át lehet futtatni mielőtt elküldené az ember a kliensnek. Megjegyezném, hogy webes környzezetben sem kizárólag HTML outputról van szó, lehet YAML, JOSN és ezer más, és mindegyikben másfajta escape-elséről van szó.

Mivel parancssori kliensről írnak, gondolom CGI szkriptek lennének szükségesek a "gyenge pont" kihasználására. Ha CGI-t írok, akkor sem gátol meg semmi abban, hogy írjak egy saját htmlspecialchars függvényt, így egyszerűen nem látom miért a mysql-nek kéne megoldania ezt a feladatot. A visszakompatibilitásról nem is beszélve (jelenlegi megoldások, amik nem készültek fel arra, hogy a mysql kliens ezután < -t küldjön a < karakter helyett).

Jól látom, hogy valaki a saját nevét akarja fényezni egy "biztonsági rés" megtalálásával, ami nem is létezik, és ez valahogy átcsúszott a portaudit rostáján?

Szervusztok!

Úgy néz ki, hogy lassan összeáll életem első FTP szervere, valamint be is lehet SSH-zni erre a FreeBSD-s gépre. No-IP segítségével kívülsől is elérhető lesz idővel, DE:
ami most egy kicsit zavar biztonsági szempontból, hogy mennyire kockázatos az hogy most az FTP 21-es port, SSH 22-es port?
Jó ötlet-e ezeket más portokra átpakolni, illetve ez mennyivel növeli a biztonságot?
Az ftp szerveren nincs engedélyezve az Anonymous user, tehát user/pass -al lépnek be, de ezt így is akartam.
A legrövidebb jelszó jelenleg 6 karakter, de gondolom érdemes ezt is megnövelni.

Ötleteket várok, hogyan növeljem a biztonságot.
/mazursky

Üdv,

FreeBSD-ben minden települ rendesen a 'pkg_add -r név' paranccsal. A 'pkg_info'-val meg tudom nézni a telepített csomagokat. Viszont sok neten való keresés után sem találtam választ arra, hogy milyen paranccsal tudom megnézni egy csomag leírását a ports adatbázisban, amelyet még nem telepítettem?

Másként fogalmazva, az alábbi Linux-os utasítások FreeBSD-s megfelelőjét keresem:

apt-get update; apt-get upgrade
apt-cache search 'valami'
apt-cache show 'valami'

Tudnátok segíteni?
Előre is köszi minden segítséget.

Ui.: Amúgy Debian Lenny-n futó VirtualBox-ba telepítettem FreeBSD 7-est. Tökéletesen megy minden, a net-nél volt annyi bibi hogy a virtualbox által felajánlott hálókártya helyett az elsőt kellett választanom a listában a beállításoknál, hogy dhcp-vel menjen a netem. Amúgy nagyon tetszik.

Apropó, virtualbox csomagot nem látok a freebsd ports collection adatbázisában a weboldalukon. Nem is létezik ezek szerint?

Alapszituáció:

http://security.freebsd.org/advisories/FreeBSD-SA-xx:yy.libc.asc alapján a jómunkásember a következő instrukcióval találkozik:

"c) Recompile the operating system as described in
and reboot the
system."

Ez természetesen kivitelezhető, de nagyszámú (pl. 100+) rendszerre ezt nem érzem életképes megoldásnak.
Ráadásul a rendszerek eléggé vegyesek (5.4-RELEASE - 6.2-RELEASE között minden van, i386 es amd64 is vegyesen és a legtöbbhöz tartozik még további 1-5db közötti jail.

Eddig a következő megoldást alkalmaztam ilyen esetben:

Kikeresgélem, hogy az src-tree pontosan melyik része érintett és csak azt forditom újra. Még ez is meglehetősen melóigényes (ld. SA 08:01 és SA 08:02) és könnyen elképzelhető, hogy valamit kifelejtek és az a hibás kóddal marad. Továbbá nem vagyok meggyőződve róla, hogy statikus függőségek nincsenek pl. a ports-tree irányába.

Van valakinek fájdalommentes(ebb) megoldása erre?

Hello
egy kis problemaval kuzkodom elinditom a webszervert bentihalozatbol el tudom erni de ha kintrol az internetrol probalom elerin nem enged
telnet a 80-as portra nem mukodik. az ipfw ezt adja
ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any
elore is koszonom.

Miután kiírtam egy Foxdesktop DVD ISO-t(Fox Linux 1.0) a FlashGet letöltőmappájában még itt várakozik a PC-BSD 1.0.
XP alól Avast-ot futattam, amikor "Nutcracker family"-t talált a PCBSD-1.0-x86-CD2.iso\LANGS\PA_KDE_I18N_3_5_2.TBZ\PA_KDE_I18N_3_5_2.tar\share\locale\pa\LC_MESSAGES\kfile_sid.mo\PartNo_0#4037696321" file-ban és a PCBSD-1.0-x86-CD2.iso\LANGS\PA_KDE_I18N_3_5_2.TBZ\PA_KDE_I18N_3_5_2.tar\share\locale\pa\LC_MESSAGES\kio_fish.mo\PartNo_0#109154491" file-ban.

Feltelepítettem a pcbsd-t egyenlőre csak az első cd ét. Nekem a winchesteren ami logikailag meg van osztva többfelé van egy win xp egy slackware linux és egy pcbsd most már.

A gond az amikor visszaállítottam a lilo.conf ot akkor nem tudtam felvennia pcbsd ét mert a Boot other: /dev/hda4, on /dev/hda, loader CHAIN Device 0x0300: Inconsistent partition table, 4th entry CHS address in PT: 820:7:1 --> LBA (13173741) LBA address in PT: 45126585 --> CHS (2809:0:1) Fatal: Either FIX-TABLE or IGNORE-TABLE must be specified If not sure, first try IGNORE-TABLE (-P ignore) root@csillagocska:/etc# magyarán ha jól gondlom túl lóg a winyon a bejegyzés: Device Boot Start End Blocks Id System /dev/hda1 * 1 1912 15358108+ c W95 FAT32 (LBA) /dev/hda2 1913 2739 6642877+ 83 Linux /dev/hda3 2740 2812 586372+ 82 Linux swap /dev/hda4 2810 4864 16506787+ a5 FreeBSD Partition 4 does not end on cylinder boundary. root@csillagocska:/etc#. Ilyenkor mia teendő? mert az fdisk -l paranccsal látja a particiót. De mégsem jó.
Rossz a particiós tábla?? Mit lehetne tenni?
Újrarakni nincs kedvem, és annyira még nem ismerem a pcbsd ét. Help me.

köszönettel: csillagocska

Hello

Segítséget szeretnék kérni tőletek.
Összedobtam otthonra még egy gépet és FreeBSD-t tettem rá.
Apache, Mysql, Php van rajta, amolyan próba gép féle.
Szeretnék összeállítani egy pf szabálylistát.
Ami kellene:

a 80,21,22 -es portok távolról való elérése ezen kívűl semmi más port nem kell. Kifele mehetne minden. Ja és a gép fix ip-vel rendelkezne, a hálókártyát rl0-nak látja.
Ha tudnátok segíteni benne, annak nagyon örülnék, mert semmi rutinom nincs benne.

Üdv.

dns lekerdezesek