Re: [FUG-BR] segurança no FreeBSD (eis aqui uma prova - rs)
> Em Quarta-feira, 23 de Dezembro de 2009 20:25, irado furioso com tudo >escreveu: > > > estava avaliando diversos documentos sobre DDoS contra o Apache quando > encontrei esta pérola aqui: > > "..more and more IP's were getting involved and the ddos traffic > continued to increase, getting to the point where Linux was shutting > down the ethernet interface. So we then rerouted the traffic to an > available FreeBSD machine, which did a stellar job of filtering out the > traffic at the kernel level. We unfortunately didn't quite realize how > good a job FreeBSD was doing, and for a time we were operating under > the impression that the ddos was ending" > > tradução livre: > > "... mais e mais IPs (endereços) estavam se envolvendo e o trafego DDoS > continuava a crescer, a ponto em que o Linux desabilitava a interface > ethernet. Então desviamos o tráfego para máquina FreeBSD que estava > disponivel, que realizou um trabalho estelar em filtrar o tráfego no > nivel do kernel (diretamente). Infelizmente não nos apercebemos da > dimensão do bom trabalho que o FreeBSD estava fazendo e, por algum > tempo até tivemos a impressão que haviam cessado os ataques DDoS". > > LOL - nem preciso comentar mais nada ;) > > vê lá se não tenho razão quando digo que não troco, não empresto e não > vendo meu FreeBSD firewall ou servidores? (risos) > > link: > https://blogs.apache.org/infra/entry/ddos_mystery_involving_linux_and > > nota: não é um zémané qualquer que está dizendo isso, é o "time de > infraestrutura do Apache" ;) > > heheheheh... :D > > flames > /dev/null > > -- > saudações, > irado furioso com tudo > Linux User 179402/FreeBSD BSD50853/FUG-BR 154 > Não uso drogas - 100% Miko$hit-free > Salário Cafajeste > Não lhe ajuda em nada, mas você não vive sem ele. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Nas buscas aqui por alguns e-mails antigos, encontrei uma das pérolas do eterno Irado. Salve Irado!! Atenciosamente, Ricardo Tweeg - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Segurança no FreeBSD
On Jul 17, 2014, at 11:40, Thiago Gomes thiagome...@gmail.com wrote: Pessoal, Gostaria de montar um servidor para um cliente e deixar por 30 dias em teste, porém como eu faço para ele não acessar o quebrar a senha de acesso. Existe uma solução ? Meio difícil conseguir isso, pois se o cara vai ter acesso físico ao servidor, nada impede inclusive de ele remover o disco, ligar em outra máquina e fazer uma cópia dos dados. O único jeito que consigo imaginar é criptografando o disco, mas aí em cada boot uma senha (que o cliente não poderia saber) será necessária. Talvez alguém tenha uma ideia melhor. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Segurança no FreeBSD
Enviado do meu smartphone Sony Xperia™ Renato Botelho escreveu On Jul 17, 2014, at 11:40, Thiago Gomes thiagome...@gmail.com wrote: Pessoal, Gostaria de montar um servidor para um cliente e deixar por 30 dias em teste, porém como eu faço para ele não acessar o quebrar a senha de acesso. Existe uma solução ? Meio difícil conseguir isso, pois se o cara vai ter acesso físico ao servidor, nada impede inclusive de ele remover o disco, ligar em outra máquina e fazer uma cópia dos dados. O único jeito que consigo imaginar é criptografando o disco, mas aí em cada boot uma senha (que o cliente não poderia saber) será necessária. Talvez alguém tenha uma ideia melhor. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebs Creio que não é os dados o que ele quer proteger, mais evitar de trocar a senha root/toor. Bom acho que a flag de imutável nos arquivos master.passwd, rc.conf e no passwd e colocar o servidor em securelevel =3 e tirando o insecure do ttys ja seja o suficiente para não conseguir fazer isso. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Segurança no FreeBSD
- Mensagem original - De: Renato Botelho rbga...@gmail.com Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Enviadas: Quinta-feira, 17 de julho de 2014 11:47:36 Assunto: Re: [FUG-BR] Segurança no FreeBSD On Jul 17, 2014, at 11:40, Thiago Gomes thiagome...@gmail.com wrote: Pessoal, Gostaria de montar um servidor para um cliente e deixar por 30 dias em teste, porém como eu faço para ele não acessar o quebrar a senha de acesso. Existe uma solução ? Meio difícil conseguir isso, pois se o cara vai ter acesso físico ao servidor, nada impede inclusive de ele remover o disco, ligar em outra máquina e fazer uma cópia dos dados. O único jeito que consigo imaginar é criptografando o disco, mas aí em cada boot uma senha (que o cliente não poderia saber) será necessária. Talvez alguém tenha uma ideia melhor. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Bom dia, Também concordo que a única forma de proteger é partição criptografada, que exige a senha a cada boot. Neste caso a negociação com o cliente tem que prever isso. Sei que é meio complicado, mas negócios são negócios. Deixe claro de imediato que a proteção tem razão de existir, que é proteger teu interesse comercial e garantir ao cliente a qualidade do serviço. Se o cliente não é mal intencionado não vai se importar Minha contribuição. Abraço e boa sorte! --- Rafael Mentz Aquino LK6 Soluções em TI Rua Domingos de Almeida, 135 sala 1102 Centro - Novo Hamburgo - RS (51) 3035-6997 - -7030 www.lk6.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Segurança no FreeBSD
Em 17 de julho de 2014 11:40, Thiago Gomes thiagome...@gmail.com escreveu: Gostaria de montar um servidor para um cliente e deixar por 30 dias em teste, porém como eu faço para ele não acessar o quebrar a senha de acesso. Muito bacana o projeto CIS Security Benchmark. Usei ele para verificar segurança de alguns servidores FreeBSD que montei. https://benchmarks.cisecurity.org/downloads/multiform/index.cfm -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Segurança no FreeBSD
Eduardo, quais foram as suas considerações sobre esse projeto. Em 17 de julho de 2014 12:18, Eduardo Schoedler lis...@esds.com.br escreveu: Em 17 de julho de 2014 11:40, Thiago Gomes thiagome...@gmail.com escreveu: Gostaria de montar um servidor para um cliente e deixar por 30 dias em teste, porém como eu faço para ele não acessar o quebrar a senha de acesso. Muito bacana o projeto CIS Security Benchmark. Usei ele para verificar segurança de alguns servidores FreeBSD que montei. https://benchmarks.cisecurity.org/downloads/multiform/index.cfm -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago Gomes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Segurança no FreeBSD
Em 17 de julho de 2014 12:40, Thiago Gomes thiagome...@gmail.com escreveu: Em 17 de julho de 2014 12:18, Eduardo Schoedler lis...@esds.com.br escreveu: Em 17 de julho de 2014 11:40, Thiago Gomes thiagome...@gmail.com escreveu: Gostaria de montar um servidor para um cliente e deixar por 30 dias em teste, porém como eu faço para ele não acessar o quebrar a senha de acesso. Muito bacana o projeto CIS Security Benchmark. Usei ele para verificar segurança de alguns servidores FreeBSD que montei. https://benchmarks.cisecurity.org/downloads/multiform/index.cfm Eduardo, quais foram as suas considerações sobre esse projeto. Thiago, Cuidado com o top-posting, pessoal aqui é chato com isso ;) Sempre coloque sua resposta no final. O projeto é bem bacana, eles disponibilizam um script que você faz download e roda no seu server. Ele te dá uma nota, relativa à segurança. E também sugere diversas melhorias. É bem bacana, vale a pena rodar no seu server. Abs, -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Segurança no FreeBSD
Pessoal, Gostaria de montar um servidor para um cliente e deixar por 30 dias em teste, porém como eu faço para ele não acessar o quebrar a senha de acesso. Existe uma solução ? /etc/ttys console noneunknown off insecure Vai requisitar a senha root em single user mode - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Segurança no FreeBSD
Em 17 de julho de 2014 19:13, Paulo Henrique - BSDs paulo.rd...@bsd.com.br escreveu: Em 17/07/2014 16:24, João Mancy escreveu: Boa tarde, Instale em um disco criptografado. use chflags no /etc e /usr/local/etc adicione na crontab uma regra que de down na rede dele em 31 dias. se ele não manja de BSD fica sussa. Em 31 dias ele vai ter que te ligar. Acho que o comando at é mais complicado de alguem lembrar de checar. E nada como um sleep 2592000 shutdown -p now Depois de 30 dias o servidor desliga. Embora com um ps awx é fácil ver que tem esse sleep lá. Se desligar, é só o cara ligar de novo... ;) Sou mais do ifconfig down. -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] segurança no FreeBSD (eis aqui uma pr ova - rs)
Irado esse esse trampo do FreeBSD foi irado mesmo ehm 2009/12/23 irado furioso com tudo ir...@bsd.com.br: estava avaliando diversos documentos sobre DDoS contra o Apache quando encontrei esta pérola aqui: ..more and more IP's were getting involved and the ddos traffic continued to increase, getting to the point where Linux was shutting down the ethernet interface. So we then rerouted the traffic to an available FreeBSD machine, which did a stellar job of filtering out the traffic at the kernel level. We unfortunately didn't quite realize how good a job FreeBSD was doing, and for a time we were operating under the impression that the ddos was ending tradução livre: ... mais e mais IPs (endereços) estavam se envolvendo e o trafego DDoS continuava a crescer, a ponto em que o Linux desabilitava a interface ethernet. Então desviamos o tráfego para máquina FreeBSD que estava disponivel, que realizou um trabalho estelar em filtrar o tráfego no nivel do kernel (diretamente). Infelizmente não nos apercebemos da dimensão do bom trabalho que o FreeBSD estava fazendo e, por algum tempo até tivemos a impressão que haviam cessado os ataques DDoS. LOL - nem preciso comentar mais nada ;) vê lá se não tenho razão quando digo que não troco, não empresto e não vendo meu FreeBSD firewall ou servidores? (risos) link: https://blogs.apache.org/infra/entry/ddos_mystery_involving_linux_and nota: não é um zémané qualquer que está dizendo isso, é o time de infraestrutura do Apache ;) heheheheh... :D flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Salário Cafajeste Não lhe ajuda em nada, mas você não vive sem ele. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd