Tag Archives: security

Links: Apr 4

My, when they would finally invent a direct interface from a brain to computer? Can’t wait, really.

Technology

  • Outlook is freaking evil: if you open a plain text email, it would happily ignore some of the new-line breaks. Crumbs! Appears that is a ‘feature’! If you need to make sure your email with command’s output will have new-lines preserved, the rule of thumb is either to have 2 spaces in front or 3 spaces at the end of each line.  Stackoverflow rules.
  • You might know I’m passionate about Solaris. Have just got more reasons for my passion. Reason one: sed can’t replace a character with ‘\n’. Seriously, you need to actually type in Enter to get it working. As if that was not enough, Solaris’s mail tool doesn’t have an option to specify subject line (yes, I know about mailx, but that complicates writing cross platform code).
  • Google cancelled underlining of links, what’s the world coming to?!
  • And a response to “Let Nagios die peacefully” — “I’ll be letting Nagios live on“, which I back.
  • systemd development culture seems to have a detrimental effect on the mental health of people being involved. Have heard many times a range of complaints about Linus’s harsh management manners, but I’m inclined to think that Linux became possible in its current form in many ways thanks to such streaks in Linus’s character.

Putting my favourite vim cheat sheet here, so I don’t have to plough through google-results next time I need to recall how to use named registers.

vi-vim-cheat-sheet





And to finish up on a cheerful note: How it feels to be an Engineer in the Corporate World


http://www.youtube.com/watch?v=s1G6lNAE_XI

I’m happy I don’t feel like that, but it does ring some bells, doesn’t it? See ya.

Каким угрозам подвергаются сетевые сервисы?

Хотя доступ пользователей к средствам администрирования — важный вопрос безопасности для системных администраторов организации, но учёт активных сетевых сервисов имеет первостепенное значение для всех, кто использует операционную систему Linux.

Многие сервисы в Red Hat Enterprise Linux представляют собой сетевые сервера. Если на машине запущен сетевой сервис, то серверное приложение, которое называют “демоном”, слушает один или несколько сетевых портов, ожидая подключений. Каждый из таких серверов должен считаться потенциальной мишенью атаки.

Сетевые сервисы могут подвергать Linux-системы многим опасностям. Вот список самых основных:

  • Атаки на переполнение буфера (Buffer Overflow Attacks) – Сервисы, которые работают с портами от нулевого до 1023-го должны выполняться с административными привилегиями. Если такой сервис содержит ошибку переполнения буфера, то злоумышленник может использовать её для получения доступа к системе с правами пользователя, под которым запущен данный сервис. Взломщики используют автоматические утилиты для поиска систем с уязвимостями, а после получения доступа к ним, они внедряют автоматизированные руткиты (rootkits), которые позволяют им сохранить доступ к системе в дальнейшем.
  • Атаки на отказ в обслуживании (Denial of Service Attacks, DoS) – Этот тип атак заключается в заваливании сервиса запросами на обслуживание. Получая необычайно большое количество запросов от злоумышленника, сервис пытается обработать каждый из них, растрачивая на это ресурсы системы. В результате новые запросы перестают обрабатываться из-за нехватки системных ресурсов.
  • Атаки на уязвимости в скриптах (Script Vulnerability Attacks) – Если сервис использует скрипты для выполнения различных действий на стороне сервера, что характерно для Web-сервисов, взломщик может построить свою атаку на плохо написанных скриптах. Уязвимости в скриптах могут приводить к состоянию переполнения буфера, либо позволять модифицировать файлы в системе.

Чтобы ограничить подверженность системы сетевым атакам, все ненужные сервисы должны быть выключены.

Как активировать маскарад в iptables?

Приведённые здесь инструкции активируют функциональность маскарада, но не обеспечивают полной настройки пакетного фильтра.

В нашем примере, мы будем использовать устройство eth0. Следующая команда iptables добавляет цель MASQUERADE в послемаршрутизационную цепь обработки пакетов (т.е. непосредственно включает маскарад):

После этого, нужно отредактировать файл /etc/sysctl.conf, чтобы настроить продвижение пакетов. Для этого измените строку:

на:

Если такой строки в файле нет, просто добавьте вышеприведённую строку, которая устанавливает значение параметра ip_forward равным 1 (единице). После этого, чтобы пересчитать файл конфигурации sysctl, запустите команду: