Re: [FUG-BR] segurança no FreeBSD (eis aqui uma prova - rs)

[Ricardo Tweeg]

> Em Quarta-feira, 23 de Dezembro de 2009 20:25, irado furioso com tudo 
>  escreveu:

> > 
> estava avaliando diversos documentos sobre DDoS contra o Apache quando
> encontrei esta pérola aqui:
> 
> "..more and more IP's were getting involved and the ddos traffic
> continued to increase, getting to the point where Linux was shutting
> down the ethernet interface.  So we then rerouted the traffic to an
> available FreeBSD machine, which did a stellar job of filtering out the
> traffic at the kernel level.  We unfortunately didn't quite realize how
> good a job FreeBSD was doing, and for a time we were operating under
> the impression that the ddos was ending"
> 
> tradução livre:
> 
> "... mais e mais IPs (endereços) estavam se envolvendo e o trafego DDoS
> continuava a crescer, a ponto em que o Linux desabilitava a interface
> ethernet. Então desviamos o tráfego para máquina FreeBSD que estava
> disponivel, que realizou um trabalho estelar em filtrar o tráfego no
> nivel do kernel (diretamente). Infelizmente não nos apercebemos da
> dimensão do bom trabalho que o FreeBSD estava fazendo e, por algum
> tempo até tivemos a impressão que haviam cessado os ataques DDoS".
> 
> LOL - nem preciso comentar mais nada ;)
> 
> vê lá se não tenho razão quando digo que não troco, não empresto e não
> vendo meu FreeBSD firewall ou servidores? (risos)
> 
> link:
> https://blogs.apache.org/infra/entry/ddos_mystery_involving_linux_and
> 
> nota: não é um zémané qualquer que está dizendo isso, é o "time de
> infraestrutura do Apache" ;)
> 
> heheheheh... :D
> 
> flames > /dev/null
> 
> -- 
> saudações,
> irado furioso com tudo
> Linux User 179402/FreeBSD BSD50853/FUG-BR 154
> Não uso drogas - 100% Miko$hit-free
> Salário Cafajeste
> Não lhe ajuda em nada, mas você não vive sem ele.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 



Nas buscas aqui por alguns e-mails antigos, encontrei uma das pérolas do eterno 
Irado.

Salve Irado!!

Atenciosamente, 

Ricardo Tweeg 
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança no FreeBSD

[Renato Botelho]

On Jul 17, 2014, at 11:40, Thiago Gomes thiagome...@gmail.com wrote:
 
 Pessoal,
 
 Gostaria de montar um servidor para um cliente e deixar por 30 dias em
 teste, porém como eu faço para ele não acessar o quebrar a senha de
 acesso.
 
 Existe uma solução ?

Meio difícil conseguir isso, pois se o cara vai ter acesso físico ao servidor, 
nada impede inclusive de ele remover o disco, ligar em outra máquina e fazer 
uma cópia dos dados.

O único jeito que consigo imaginar é criptografando o disco, mas aí em cada 
boot uma senha (que o cliente não poderia saber) será necessária. Talvez alguém 
tenha uma ideia melhor.

--
Renato Botelho

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança no FreeBSD

[Paulo Henrique - BSDs Brasil]

Enviado do meu smartphone Sony Xperia™

 Renato Botelho escreveu 

 On Jul 17, 2014, at 11:40, Thiago Gomes thiagome...@gmail.com wrote:
  
  Pessoal,
  
  Gostaria de montar um servidor para um cliente e deixar por 30 dias em
  teste, porém como eu faço para ele não acessar o quebrar a senha de
  acesso.
  
  Existe uma solução ?
 
 Meio difícil conseguir isso, pois se o cara vai ter acesso físico ao 
 servidor, nada impede inclusive de ele remover o disco, ligar em outra 
 máquina e fazer uma cópia dos dados.
 
 O único jeito que consigo imaginar é criptografando o disco, mas aí em cada 
 boot uma senha (que o cliente não poderia saber) será necessária. Talvez 
 alguém tenha uma ideia melhor.
 
 --
 Renato Botelho
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebs

Creio que não é os dados o que ele quer proteger, mais evitar de trocar a senha 
root/toor.

Bom acho que a flag de imutável nos arquivos master.passwd, rc.conf e no passwd 
e colocar o servidor em securelevel =3 e tirando o insecure do ttys ja seja o 
suficiente para não conseguir fazer isso.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança no FreeBSD

[Rafael Aquino]

- Mensagem original -
 De: Renato Botelho rbga...@gmail.com
 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
 freebsd@fug.com.br
 Enviadas: Quinta-feira, 17 de julho de 2014 11:47:36
 Assunto: Re: [FUG-BR] Segurança no FreeBSD
 
 On Jul 17, 2014, at 11:40, Thiago Gomes thiagome...@gmail.com wrote:
  
  Pessoal,
  
  Gostaria de montar um servidor para um cliente e deixar por 30 dias em
  teste, porém como eu faço para ele não acessar o quebrar a senha de
  acesso.
  
  Existe uma solução ?
 
 Meio difícil conseguir isso, pois se o cara vai ter acesso físico ao
 servidor, nada impede inclusive de ele remover o disco, ligar em outra
 máquina e fazer uma cópia dos dados.
 
 O único jeito que consigo imaginar é criptografando o disco, mas aí em cada
 boot uma senha (que o cliente não poderia saber) será necessária. Talvez
 alguém tenha uma ideia melhor.
 
 --
 Renato Botelho
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 

Bom dia,

Também concordo que a única forma de proteger é partição criptografada, que 
exige a senha
a cada boot. Neste caso a negociação com o cliente tem que prever isso. Sei que 
é meio
complicado, mas negócios são negócios. Deixe claro de imediato que a proteção 
tem razão
de existir, que é proteger teu interesse comercial e garantir ao cliente a 
qualidade do serviço.

Se o cliente não é mal intencionado não vai se importar

Minha contribuição.

Abraço e boa sorte!

---
Rafael Mentz Aquino
LK6 Soluções em TI
Rua Domingos de Almeida, 135 sala 1102
Centro - Novo Hamburgo - RS
(51) 3035-6997 - -7030
www.lk6.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança no FreeBSD

[Eduardo Schoedler]

Em 17 de julho de 2014 11:40, Thiago Gomes thiagome...@gmail.com escreveu:
 Gostaria de montar um servidor para um cliente e deixar por 30 dias em
 teste, porém como eu faço para ele não acessar o quebrar a senha de
 acesso.

Muito bacana o projeto CIS Security Benchmark.
Usei ele para verificar segurança de alguns servidores FreeBSD que montei.

https://benchmarks.cisecurity.org/downloads/multiform/index.cfm


-- 
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança no FreeBSD

[Thiago Gomes]

Eduardo,

quais foram as suas considerações sobre esse projeto.

Em 17 de julho de 2014 12:18, Eduardo Schoedler lis...@esds.com.br escreveu:
 Em 17 de julho de 2014 11:40, Thiago Gomes thiagome...@gmail.com escreveu:
 Gostaria de montar um servidor para um cliente e deixar por 30 dias em
 teste, porém como eu faço para ele não acessar o quebrar a senha de
 acesso.

 Muito bacana o projeto CIS Security Benchmark.
 Usei ele para verificar segurança de alguns servidores FreeBSD que montei.

 https://benchmarks.cisecurity.org/downloads/multiform/index.cfm


 --
 Eduardo Schoedler
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Thiago Gomes
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança no FreeBSD

[Eduardo Schoedler]

Em 17 de julho de 2014 12:40, Thiago Gomes thiagome...@gmail.com escreveu:

 Em 17 de julho de 2014 12:18, Eduardo Schoedler lis...@esds.com.br escreveu:
 Em 17 de julho de 2014 11:40, Thiago Gomes thiagome...@gmail.com escreveu:
 Gostaria de montar um servidor para um cliente e deixar por 30 dias em
 teste, porém como eu faço para ele não acessar o quebrar a senha de
 acesso.

 Muito bacana o projeto CIS Security Benchmark.
 Usei ele para verificar segurança de alguns servidores FreeBSD que montei.

 https://benchmarks.cisecurity.org/downloads/multiform/index.cfm


 Eduardo,

 quais foram as suas considerações sobre esse projeto.

Thiago,

Cuidado com o top-posting, pessoal aqui é chato com isso ;)
Sempre coloque sua resposta no final.

O projeto é bem bacana, eles disponibilizam um script que você faz
download e roda no seu server.
Ele te dá uma nota, relativa à segurança.
E também sugere diversas melhorias.

É bem bacana, vale a pena rodar no seu server.

Abs,



-- 
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança no FreeBSD

[Fernando Gilli]

Pessoal,

Gostaria de montar um servidor para um cliente e deixar por 30 dias em
teste, porém como eu faço para ele não acessar o quebrar a senha de
acesso.

Existe uma solução ?



/etc/ttys

console noneunknown off insecure 



Vai requisitar a senha root em single user mode




-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança no FreeBSD

[Eduardo Schoedler]

Em 17 de julho de 2014 19:13, Paulo Henrique - BSDs
paulo.rd...@bsd.com.br escreveu:

 Em 17/07/2014 16:24, João Mancy escreveu:
 Boa tarde,

 Instale em um disco criptografado.

 use chflags no /etc e /usr/local/etc

 adicione na crontab uma regra que de down na rede dele em 31 dias.

 se ele não manja de BSD fica sussa.

 Em 31 dias ele vai ter que te ligar.


 Acho que o comando at é mais complicado de alguem lembrar de checar.
 E nada como um
 sleep 2592000  shutdown -p now

 Depois de 30 dias o servidor desliga.
 Embora com um ps awx é fácil ver que tem esse sleep lá.

Se desligar, é só o cara ligar de novo... ;)
Sou mais do ifconfig down.


-- 
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] segurança no FreeBSD (eis aqui uma pr ova - rs)

[Paulo Henrique]

Irado esse esse trampo do FreeBSD foi irado mesmo ehm 


2009/12/23 irado furioso com tudo ir...@bsd.com.br:

 estava avaliando diversos documentos sobre DDoS contra o Apache quando
 encontrei esta pérola aqui:

 ..more and more IP's were getting involved and the ddos traffic
 continued to increase, getting to the point where Linux was shutting
 down the ethernet interface.  So we then rerouted the traffic to an
 available FreeBSD machine, which did a stellar job of filtering out the
 traffic at the kernel level.  We unfortunately didn't quite realize how
 good a job FreeBSD was doing, and for a time we were operating under
 the impression that the ddos was ending

 tradução livre:

 ... mais e mais IPs (endereços) estavam se envolvendo e o trafego DDoS
 continuava a crescer, a ponto em que o Linux desabilitava a interface
 ethernet. Então desviamos o tráfego para máquina FreeBSD que estava
 disponivel, que realizou um trabalho estelar em filtrar o tráfego no
 nivel do kernel (diretamente). Infelizmente não nos apercebemos da
 dimensão do bom trabalho que o FreeBSD estava fazendo e, por algum
 tempo até tivemos a impressão que haviam cessado os ataques DDoS.

 LOL - nem preciso comentar mais nada ;)

 vê lá se não tenho razão quando digo que não troco, não empresto e não
 vendo meu FreeBSD firewall ou servidores? (risos)

 link:
 https://blogs.apache.org/infra/entry/ddos_mystery_involving_linux_and

 nota: não é um zémané qualquer que está dizendo isso, é o time de
 infraestrutura do Apache ;)

 heheheheh... :D

 flames  /dev/null

 --
  saudações,
  irado furioso com tudo
  Linux User 179402/FreeBSD BSD50853/FUG-BR 154
  Não uso drogas - 100% Miko$hit-free
 Salário Cafajeste
 Não lhe ajuda em nada, mas você não vive sem ele.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd