Re: [FUG-BR] FreeBSD 10.2 x ntpd

2015-10-09 Por tôpico Paulo Olivier Cavalcanti 
Em 09/10/2015 22:02, Eduardo Lemos de Sa escreveu:
> Caríssimos
>
> Eu tenho várias máquinas rodando o 10.2-RELEASE (atualizadas semanalmente).
> Para a minha surpresa, recebi esta mensagem do CAIS (Centro de Atendimento
> a Incidentes de Seguranca):

> [...]
>
>
> *Por favor, alguém tem algum comentário a fazer sobre isto?*
>
>
> *Agradeço desde já a atenção*
>
>
> *Um abraço*
>
>
>
> *Edu*
>

A versão do ntpd que vem com o 10.2 é a 4.2.8p3-a (1). Portanto ela não
está vulnerável, segundo o CAIS.

Rodei o comando para o IP do servidor do meu trabalho e não retornou
qualquer mensagem. Qual versão vc tá usando do ntpd?

-- 
http://about.me/paulocavalcanti

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] FreeBSD 10.2 x ntpd

2015-10-09 Por tôpico Eduardo Lemos de Sa 
Caríssimos

Eu tenho várias máquinas rodando o 10.2-RELEASE (atualizadas semanalmente).
Para a minha surpresa, recebi esta mensagem do CAIS (Centro de Atendimento
a Incidentes de Seguranca):


*
Prezados,
Foram identificados servidores NTP vulneráveis que podem ser utilizados em
ataques de negação de serviço (DDoS). Os servidores abaixo estão
respondendo consultas NTP Mode 6 para READVAR, consultas desse tipo podem
retornar dados como: Versão do NTP, Versão do sistema operacional entre
outros.Embora, não seja tao ruim quanto a consulta Modo 7 para MONLIST, as
consultas para READVAR podem fornecer normalmente em torno de 30x
amplificação. O CAIS recomenda que ao menos uma das soluções abaixo sejam
executadas para proteger seu servidor NTP contra ataques desse tipo. •
Atualizar o servidor NTP para a versão "NTP version 4.2.7" ou mais recente
• Seguir as recomendações do CAIS para Hardening em servidores NTP -
Juniper https://sgis.rnp.br/wiki/80/plugin/attachments/download/33/ - Cisco
https://sgis.rnp.br/wiki/79/plugin/attachments/download/34/ - Sistemas
Linux https://sgis.rnp.br/wiki/81/plugin/attachments/download/35/ • Seguir
as recomendações de Hardening do Team-Cymru
http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
Para verificar se o seu servidor está vulnerável, execute as rotinas
abaixo: 1 - Instalar o NTPQ em uma máquina fora da sua rede 2 - Executar a
consulta READVAR # ntpq -c rv "IP" Se a consulta retornar algo diferente de
"timeout" o seu servidor está vulnerável, dessa forma, é necessário seguir
as recomendações acima para configurar seu servidor de forma segura. Mais
Informações: https://ntpscan.shadowserver.org/ Documentação para
configuração segura de servidores NTP pelo CAIS
https://sgis.rnp.br/wiki/06hardening/Ntp/ Favor investigar, tomar
providências e responder ao reclamante, com cópia para o CAIS.


*

Eu fiz o teste com o comando


ntpq -c rv ipdamaquinaasertestada

e recebi inicialmente os valores e não o "timeout"

O mesmo comando quando testado em máquinas linux (que eu não atualizo por
não confiar muito nos mecanismos de atualização) retornam com timeout.

Ou seja, como pode o FreeBSD, mais seguro e atualizado do que uma versão
linux estar apresentando este problema? Será que isto é realmente um
problema (as máquinas rodam o ntpd, mas creio que elas não são servidoras
de ntp e sim somente clientes)?

Eu resolvi a questão, para deixar o pessoal do CAIS satisfeito,












*colocando estas linhas no final do /etc/ntp.conf: by default act only as a
basic NTP clientrestrict -4 default nomodify nopeer noquery notraprestrict
-6 default nomodify nopeer noquery notrap# allow NTP messages from the
loopback address, useful for debuggingrestrict 127.0.0.1restrict ::1#
server(s) we time sync toserver 192.0.2.1server 2001:DB8::1server
time.example.net *


*Por favor, alguém tem algum comentário a fazer sobre isto?*


*Agradeço desde já a atenção*


*Um abraço*



*Edu*

-- 
Eduardo Lemos de Sa
Associated Professor Level 4
Dep. Quimica da Universidade Federal do Paraná
fone: +55(41)3361-3300
fax:   +55(41)3361-3186
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] lock order reversal

2015-10-09 Por tôpico Otacílio 

Caros

Gerei uma imagem para a minha beaglebone utilizando o crochet. Só que de 
vez em quando eu recebo uma mensagem de lock order reversal como a seguinte:


lock order reversal:
 1st 0xcd363f50 bufwait (bufwait) @ /src/FreeBSD/sys/kern/vfs_bio.c:3344
 2nd 0xc3224400 dirhash (dirhash) @ 
/src/FreeBSD/sys/ufs/ufs/ufs_dirhash.c:281

KDB: stack backtrace:
lock order reversal:
 1st 0xcd363f50 bufwait (bufwait) @ /src/FreeBSD/sys/kern/vfs_bio.c:3344
 2nd 0xc0842e68 kernel linker (kernel linker) @ 
/src/FreeBSD/sys/kern/kern_linke r.c:552

KDB: stack backtrace:
db_trace_self() at db_trace_self
 pc = 0xc062ddb0  lr = 0xc0242ff8 (db_trace_self_wrapper+0x30)
 sp = 0xdd1b6580  fp = 0xdd1b6698
db_trace_self_wrapper() at db_trace_self_wrapper+0x30

Do que eu pesquisei na Internet encontrei essa descrição

https://www.freebsd.org/doc/faq/troubleshoot.html#idp59178576

de que é uma mensagem de um framework informando que um deadlock pode 
ter acontecido. Eu gostaria que alguém me dissesse se preciso ficar 
preocupado com isso e, caso não, qual o caminho das pedras para o 
arquivo de configuração do Kernel que o crochet usa para a beaglebone 
para que eu possa desativar isso lá.


[]'s
-Otacílio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd