Category: Security

Мар 09 2010

LogCheck. Утилита для мониторинга логов.

При обслудивании большого числа серверов просматривать логи времени не хватает, занимаешься этим время от времени и пропустить важное событие не составляет труда. Да, даже если смотришь логи регулярно, все равно, вероятность пропустить в большом объеме логов, важное событие, очень велика. Как раз для этих целей и придумали logcheck. Эта утилита ищет в логах события по сигнатуре и при нахождении важной — отписывает на email.
Read more »

Фев 12 2010

sshguard. Защищаем ssh от подбора пароля.

Чем дальше, тем больше происходит атак на подбор пароля. Наверное не реально сейчас найти хост в сети, который ни разу не атаковали эти черви. При хорошем пароле беспокоиться в общем то нечего. Те черви, которые я видел, перебирают пароли по словарю. Вот читать авторизации становится очень неудобно. Ну а соответственно с течением времени появляются все новые програмы по защите от брутофорса. Недавно я ставил на один сервер sshguard в связке с ipfw. sshguard очень прост в установке и настройке. Точнее настроек то у него практически и нет. Ставить будем sshguard с плугином под ipfw.
Read more »

Янв 22 2010

sshit. Защита sshd от брутофорса.

Статью по защите от брутофорса(подбора пароля) с помощью bruteblockerа я уже писал. И вот недавно я настраивал sshit. Это тоже блокировщик брутефорса, он работает по тем же принципам, что и большинство подобных систем. Достоинство sshit заключается в том, что он работает с IPFW, IPFW2 и pf. То есть получается более универсальная система. В моем случае настрока проводилась под IPFW2 и под pf. У клиента несколько серверов с разными файерволами. Как говорится, так исторически сложилось.
Read more »

Дек 03 2009

Установка и настройка syslog-ng

Обычный, тот, что присутствует в базовой системе FreeBSD для больших систем не совсем подходит. Пользоваться конечно можно, но не удобно. Не хватает возможностей фильтровать сообщения по адресам хостов и т.п. Работу с rsyslog мы уже рассматривали в статьe Rsyslogd. Установка и настройка., но помимо rsyslog, есть еще syslog-ng. syslog-ng расшифровывается как Syslog New Generetions, то есть сислог нового поколения. Они(syslog-ng и rsyslog) в принципе идентичны по возможностям, но многие считают, что syslog-ng более удобен и практичен.
Read more »

Ноя 27 2009

Безопасность sshd.

Обратил внимание на то, что часто взлом серверов по ssh брутефорсом происходит по такому сценарию. Есть сервак, хостинг или просто офисный сервер, и появляется задача дать возможность некоему простому юзеру дать возможность влить файлы на сервер. Как правило обычный сценарий таков, ставится FTP сервер с системной авторизацией, добавляется пользователь в систему, ему ставится, сразу или с течением времени, очень простой пароль(типа qwerty), что бы не забыл, и опаньки, через время червяк уже на сервере. Ведь пароли они подбирают не только к rootу, но и к целой базе наиболее употребимых логинов.
Read more »

Ноя 18 2009

Адаптируем newsyslog под rsyslog.

newsyslog, который входит в базовую систему FreeBSD по умолчанию, при ротации логов, отправляет сигнал HUP syslogdу. Но если мы заменили syslogd на rsyslogd, то будем получаем уведомление, что файл не будет упаковываться, поскольку syslogd не получил сигнал. Лекарство же от этого простое. Берем штатный /etc/newsyslog.conf и немного меняем. Вот так:
Read more »

Ноя 17 2009

Rsyslogd. Установка и настройка.

При обслуживании большого количества серверов, раньше или позже возникают проблемы поиска информации в логах(системных журналах уведомлений). Нужно найти определенное событие, например прошедшее через несколько серверов письмо. Лезешь на сервер, ищешь лог файл, потом ищешь в нем письмо, переходишь к следующему серверу и т.п. Пока не отследишь письмо. Что бы ускорить процесс поиска, убрав необходимость блуждания по серверам, можно построить отдельный сервер для хранения логов.
Построить его можно на основе обычного syslogd, который входит в базовую FreeBSD.
Read more »

Окт 22 2009

Stunnel. Шифруем трафик.

Stunnel это по сути дела прокси сервер шифрующий трафик. Его можно использовать в том случае, если сервис не умеет использовать SSL шифрацию, а вам нужно ее обеспечить — воспользоваться можно Stunelем. Типичными примерами использования являются pop3, imap, http сервисы. Это связано с тем, что пароли в этих протоколах передаются открытым текстом и с легкостью могут быть прослушаны обычным snifferом. Конечно большинство современных почтовых и http серверов поддерживают ssl, тем не менее использование stunnel остается актуальным.
Устанавливаем stunnel из портов:

cd /usr/ports/security/stunnel/
make

В начале будет небольшой диалог настройки:
Read more »


Украинская Баннерная Сеть