[Карта раздела]
[Начало]
[Безопасность. Ссылки]
[Cisco-ссылки]
[Sendmail-ссылки]
5. Безопасность.
5.0 Уязвимости Unix/Linux-систем.
5.1 Документация
5.2 Firewall
5.2.1 Iptables
5.2.2 Ipchains
5.2.3 Другие
5.3 Системы обнаружения вторжения - Intrusion Detection System
5.3.1 Проекты, разработанные для представления данных, сохраненных Snort'ом, в понятном виде
5.3.2 Тестирование IDS
5.4 Xinetd
5.5 Access Control List
5.6 Chroot (для bind, sendmail)
5.61 Jail
5.7 TCP_WRAPPER для sendmail
5.8 Сканеры портов, снифферы
5.8A Обнаружение сканирования, атак на отказ в обслуживании, снифферов
5.9 Stunnel
5.10 Криптография
5.11 Средства, позволяющие проверить целостность системы.
5.13 Удаленный лог-сервер (remote log-server)
5.14 Анализируем логи
5.14.1 Анализаторы логов
5.14.2 Разбираем логи вручную
5.14.3 Ротация логов
5.15 Ipsysctl на страже безопасности
5.16 Rootkit
5.17 Мониторы сетевой безопасности
5.18 Архивы security-tools
5.19 Организация борьбы с подменой ip-адресов и средства, отслеживающие "левые" IP-адреса и MAC-адреса в локальной сети
5.20 Настройка конфигов и безопасность
5.21 Программно-аппаратные комплексы
5.22 Защита wireless-сетей
5.23 Восстановление системы
5.24 OpenSSL & OpenSSH
5.24A PAM
5.24B Restricted shell
5.25 Состояние сервера на sms
5.26 Зарезервированные адреса сетей
5.27 Срочное уничтожение собственной системы
5.28 Взаимозаменяемость серверов.
5.29 Антивирусы и Linux.
5.30 Средства для проверки на устойчивость системы к различного рода атакам.
5.31 Комплексные решения.
5.32 Анализ данных Netflow.
5.40 Разное
5.0 Уязвимости Unix/Linux-систем
5.1 Документация
- Экспертиза сетевой безопасности: информация о дырах, взломах, рекомендации по настройке безопасностисистемы, а также по восстановлению после эксплойта http://www.cert.ru
- Информация о дырах, эксплойтах, вирусах, средствах обнаружения вторжения, здесь же можно подписаться насписок рассылок BUGTRAQ http://www.securityfocus.com
- Защита и нападение в сети http://www.securitylab.ru
- BugTraq по-русски http://www.bugtraq.ru
- Еще один BugTraq http://www.psc.ru-Linux & NT Security
http://www.psc.ru/sergey/bgtraq/
http://www.psc.ru/sergey/bgtraq/utilites/indexas.html#UA
http://www.psc.ru/sergey/bgtraq/ARTICLES/index.html
http://www.psc.ru/sergey/bgtraq/ARTICLES/nt_security.htm
http://www.cyberpolice.ru/law/index.html
http://www.psc.ru/sergey/right.htm
http://www.psc.ru/sergey/bgtraq/MicWin/index.html
http://www.psc.ru/sergey/bgtraq/
- Библиотека сетевой безопасности ( на русском и английском языках) http://security.tsu.ru/
- Переводы некоторых статей с БСП:
Armoring Linux
Intrusion Detection
Know Your Enemy
Know Your Enemy II
Know Your Enemy III- Безопасность и оптимизация Linux. Редакция для Red Hat.
- Безопасность и оптимизация Linux. Редакция для Red Hat.[tcb.spb.ru]
- RSecurityProject
- Книга "Атака через Интернет"
- Статьи на hackzone
Статья "Backdoors"
Статья "Меры первой помощи при защите от систем распределенных атак" - Безопасность - FAQ (есть описание линукс-вирусов, линукс-антивирусов, и т.д.)
- "Анатомия атаки"
- Attacks Exposed [LinuxBegin]
- Поиск закладок.[LinuxBegin]
- http://www.securecoding.org
- http://www.bugtraq.ru/library/security/integrity.html[BugTraq: Обозрение #137, 23.08.2003]
- Кто слушает этот порт (на основе netstat, ps, lsof, на англ.яз.)
- Безопасность систем с открытым кодом [LinuxRSP.Ru]
- Защищаем TCP/IP стек от SYN DoS атак [ Opennet.ru ]
- Защита от Synflood атак
- Fighting Internet Worms With Honeypots[Bugtraq]
- Joe Average User Is In Trouble[Bugtraq]
- Worms of the future: trying to exorcise the worst[Bugtraq]
- SANS Top 20 Vulnerabilities - The Experts Consensus (Top Vulnerabilities to Windows & Unix Systems)
- Нормы пользования Сетью
- Linux Administrator's Security Guide Russian[tcb.spb.ru]
- Статьи для системных администраторов и администраторов безопасности [www.bezpeka.com - cайт украинского центра инф. без-ти]
- ГЛАВА 28. Преступления в сфере компьютерной информации
- Защита свежеустановленной системы, часть 1 [LinuxRSP.Ru: новости, статьи, софт. Linux и Open Source #314]
- Защита свежеустановленной системы, часть 2
- Защита свежеустановленной системы, часть 3
- Linux Security FAQ [LOR]
- Как справиться с "черными шляпами" [ [Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #326]
- Безопасность [linux.yaroslavl.ru]
- Анализ инцидента на работающей Linux системе. [LinuxRSP.Ru: новости, статьи, софт. Linux и Open Source #320]
- Береги ОС с инсталляции [LinuxRSP.Ru: новости, статьи, софт. Linux и Open Source #320]
- Сравнение безопасности Linux и Windows [http://bugtraq.ru]
- Советы администраторам Linux-систем или людям, желающими ими стать.
- Максимальная Безопасность: Руководство Хакера по Защите Вашего Internet Сайта и Сети
- Привыкайте убирать за собой
- Введение. О хакерах и не только... [BugTraq.ru]
- Дело Левина: недостающее звено [BugTraq.ru]
- Securing and Hardening Linux Production Systems
- Linux benchmarks
Securing & Hardening Linux [www.linux.org.ru]
5.2 Firewalls
5.2.1 Iptables
- Iptables
- Packet-filtering-HOWTO
- Iptables-Tutorial.html
- Iptables-Tutorial.html
- Руководство по Iptables
- Настройка iptables для новичков. То же самое - здесь.
- Iptables как детектор сканирования портов [www.linux.org.ru]
- Iptables и защита от сканирования портов [www.linux.org.ru]
- Iptables и защита от сканирования портов
- Slow Down Internet Worms With Tarpits -борьба с интернет-червями на примере использования пропатченного Iptables) [www.opennet.ru]
- Реализация идеи "port knocking" на bash для Linux iptables [comp.soft.linux.linuxbegin]
- Firewall-скрипт rc.firewall на основе iptables [Bugtraq]
- Firewall Builder - an frontend for iptables/ipchains/pf/pix which looks very much like the CheckPoint FW-1[Bugtraq]
- Iptables + nmap ( как настроить iptables, чтобы возможно было запускать сканер nmap c этого же хоста) [www.linux.org.ru]
- Чтобы iptables не кидал сообщения в mesages ... [www.linux.org.ru]
- IPTables log analyzer
- Владимир Холманов Использование iptables:
Использование iptables на автономной dual-up машине.
Анатомия iptables и команды.
- Аудит Брандмауэров и Средств обнаружения вторжений (IDS). [comp.soft.linux.linuxbegin: Выпуск #1 (#63)]
- Ограничение сессий с одного ip
- Как гасить скан от nmap'a и иже с ним [www.linux.org.ru]
- Как сделать порт невидимым для nmap [forum.opennet.ru]
- Как натравить iptables на интернет-win-червь Nimda (iptables -t filter -A INPUT -i $EXT_IFACE -p tcp -d $DEST_IP --dport http -m string --string "/cmd.exe?/c+dir" -j DROP)
- Как с помощью iptables блокировать соединение лицам, у кого в ip-адресе третий байт равен 255? [www.linux.org.ru]
- Как запретить выход из локальной сети на 25 порт
- Эта строчка разрешает до одного соединения в секунду и устанавливает лимит одновременно установленных соединений в четыре.
- Как перенаправить логи iptables в текстовый файл
- Iptables против скана
- Простой пример фаервола для с двумя сетевыми картами. [gennadi.dyn.ee]
- Защищаем Линукс - файрвол за 10 минут.
- Iptables & ssh-client
- Iptables против ssh bruteforce [www.linux.org.ru]
- Sample IPTABLES configuration file for workstations,tested under RedHat 7.x
- This patch by Gerd Knorr adds a new match that will allow you to restrict the number of parallel TCP connections from a particular host or network.
- Firewalls
- How to safely connect from anywhere to your closed Linux firewall [www.linux.org.ru]
- IPset позволяет указывать несколько сетей в одном правиле
- Barry O'Donovan Advanced Features of netfilter/iptables [www.linux.org.ru]
- pam_recent: an add-on to make iptables' recent match more useful
- IPTABLES - ссылки
- Как запрещать каждый второй (третий, четвертый... десятый) пакет
Решение от Andrey Mitrofanov :
Дропаем каждый четвёрый пинг на localhost:
-N pping
-A pping -m recent --set --name pping --rsource
-A pping -m recent --update --hitcount 4 --name pping --rsource -j ppingD
-N ppingD
-A ppingD -m recent --remove --name pping --rsource
-A ppingD -j DROP
-A INPUT -s 127.0.0.1 -p icmp -m icmp --icmp-type 8 -j pping
$ ping -c13 127.0.0.1
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.069 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.065 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.068 ms
64 bytes from 127.0.0.1: icmp_seq=5 ttl=64 time=0.078 ms
64 bytes from 127.0.0.1: icmp_seq=6 ttl=64 time=0.064 ms
64 bytes from 127.0.0.1: icmp_seq=7 ttl=64 time=0.064 ms
64 bytes from 127.0.0.1: icmp_seq=9 ttl=64 time=0.064 ms
64 bytes from 127.0.0.1: icmp_seq=10 ttl=64 time=0.060 ms
64 bytes from 127.0.0.1: icmp_seq=11 ttl=64 time=0.047 ms
64 bytes from 127.0.0.1: icmp_seq=13 ttl=64 time=0.064 ms
--- 127.0.0.1 ping statistics ---
13 packets transmitted, 10 received, 23% packet loss, time 11998ms
rtt min/avg/max/mdev = 0.047/0.064/0.078/0.009 ms
- Как реализовать список ИП-адресов для iptables [www.linux.org.ru]
- Iptables & limits
- Ограничение трафика через iptables
- DDOS & recent [www.linux.org.ru]
Spirit:"... таблица модуля recent (/proc/net/ipt_recent/*) имеет ограниченный объём, если она меньше кол-ва ломящихся клиентов - новые записи будут вытеснять старые (сам тестил недавно), и правило с DROP не сработает.
Если в правиле с DROP есть --hitcount N, то надо чтоб запись для заданного src IP сохранилась в /proc/net/ipt_recent/suxx как минимум до тех пор, пока этот IP не обратится N раз втечение --seconds T. Если же клиентов много - записи будут вытесняться, и последующие обращения одного и того же IP модуль recent (не найдя в таблице) будет считать как первые, из-за этого --hitcount N не сработает, и клиент не будет запрещён.
Это во-первых, во-вторых, с точки зрения работоспособности сайта (когда правильные клиенты будут иметь возможность нормально с ним работать) нужно учитывать динамику syn пакетов правильных клиентов: если сайт содержит картинки/flash/javascript/css, то при получении клиентом html-страницы сразу последует серия запросов её составляющих (запросы будут идти рывками - много, тишина, много, тишина, ...), что может вызвать срабатывание правила с seconds и hitcount. Поэтому для отлова досеров нужно выставлять время побольше, например, не 3 запроса за 300с, а 30 запросов за 3000с, что усугубляет проблему с вытеснением записей (да и с эффективностью такого firewall-а)..."
- Iptables против ssh bruteforce [www.linux.org.ru]
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j DROP
(нужна поддержка recent match в ядре)
- По поводу ограничения параллельных соединений с одним хостом - connlimit. Если прежде требовалось установить ракет patch-o-matic-ng с последующей пересборкой ядра,
то теперь в make menuconfig
Network support -> Network options -> Network packet filtering framework(Netfilter) -> Core Netfilter Configuration
<*>Netfilter connection tracking support
<*>"connlimit" match support
(This match allow you to match against the number of || connections to a server per client IP address or address block).
И обязательно
Network packet filtering framework(Netfilter) -> IP: NetFilter Configuration
<*>IPv4 connection tracking support (required for NAT)
(Connection tracking keeps a record of what packets have passed through your machine, in order to figure out how
they are related into connections).
При этом iptables требуется также свежий. У меня все это работает в связке Linux kernel-2.6.27 + iptables-1.4.2
(старый iptables просто не собирается при таком раскладе, а без опции "<*>IPv4 connection tracking support (required for NAT)"
не работают правила, использующие connlimit (при этом ошибка "ip_tables: connlimitmatch: invalid size 32 != 16")).
- Николай Малых. Управление трафиком с помощью правил iptables
(limit, iplimit, hashlimit, tbf)
- Using iptables to rate-limit incoming connections [www.linux.org.ru]
- Почему невозможно использовать фильтрацию по MAC-адресу, если хосты находятся в разных сетях. (
Since you are trying to connect from home to work, MAC address filtering is not the proper solution. Layer 2 MAC addresses are rewritten by each router along the path to the final Layer 3 (IP) destination. Your companies firewall will always see the MAC address of your upstream ISP router, not the MAC address of your home PC/firewall. FWIW: MAC address filtering is typically used on the same subnet.)
-
-
- Xtables is the protocol-agnostic part of the kernel-level table code.
Xtables-addons is the successor to patch-o-matic(-ng). Likewise, it contains extensions that were not accepted in the main iptables package.
Xtables-addons is different from patch-o-matic in that you do not have to patch or recompile either kernel or Xtables(iptables)
[www.linux.org.ru]
-
5.2.2 Ipchains
5.2.3 Другие
5.3 Детекторы обнаружения вторжения - IDS (могут проверять входящий трафик, например, на www-сервер на наличие исполняемых модулей (которыеиспользуются для buffer overflow).
Prelude-NIDS[forum.opennet.ru]
PureSecure[forum.opennet.ru]
Snortsam[forum.opennet.ru]
Новый Intrusion Detection ToolkitSIDTk 1.0Краткое описание здесь.[Bugtraq]
IDS против Nmap и Queso (by Toby Miller) (на рус. яз.) [www.bezpeka.ru]
Symantec Host IDS
Hogwash - вместо закрытия портов подобно традиционной системе сетевой защиты,
Hogwash понижает или изменяет определенные пакеты, основанные на соответствии сигнатуры (основана на Snort )
SmashguardBuffer Overflow Prevention [Bugtraq]
Статья "Как ввести в заблуждение IDS, отслеживающую http-трафик." [Bugtraq]
Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection (1998) Скачать документ
Penta Security System's Siren [BugTraq]
Cтатья : IDS Snort [ufo.gnu.kz]
TIGER - The Unix security audit and intrusion detection tool
The Snort FAQ (на рус.яз.)
OSSEC-HIDS - хостовая система обнаружения атак [Источник]
Расширенная установка OSSEC-HIDS
5.3.1 Проекты, разработанные для представления данных, сохраненных Snort'ом, в понятном виде:
- ACID [bugtraq@securityfocus.com]
- SnortSnarf: [bugtraq@securityfocus.com]
- Sguil [bugtraq@securityfocus.com]
5.3.2 Тестирование IDS
5.4 Xinetd
5.5 Access Control List (ACL) http://acl.bestbits.at/
5.6 Chroot
5.61 Jail
5.7 TCP_WRAPPER
5.8 Cканеры портов, сканирование, снифферы
- Nmap
- Nmap
- Cетевой сканер Nmap - руководство пользователя
- A practical approach for defeating Nmap OS-Fingerprinting
- Чтобы сканер nmap не выдавал время работы сервера [www.opennet.ru]
- Remote OS detection via TCP/IP Stack FingerPrinting
- Статья "Тришкин кафтан" /Безопасность/Рубрики/Софтерра
- Advanced scanning
- Linux 2.2.3 patch to prevent FIN/NULL/XMAS scans
- TCP ports stealth scanning
- Сканирование сетей
- Сканер Retina
- Как защититься от определения ОС по tcp отпечаткам [www.linux.org.ru]
-
- СнифферIris
- Настройка Iris
- Nessus
- Cтатья "NESSUS - современный анализ безопасности, методы и типы сканирования"
- Nessus Анонсирован выход очередной версии популярного сканера уязвимостей Nessus 2.0. Из нововведений - переписанный с нуля интерпретатор встроенного языка NASL, а также расширения самого языка; более интеллектуальный планировщик подключаемых модулей; уменьшение объема используемой памяти; обновленный сканер портов и т.п.
- Satan
- Saint
- Oнлайновый сканер безопасности (используется сканер Nessus и сканер портов nmap)
- Xspider - проверка windows-систем на наличие exploitable vulnerabilities
- Hardening the TCP/IP stack to SYN attacks [LinuxBegin]
- Tcpdump
- Средства перехвата сетевого трафика
- Как выделить файлы из перехваченной tcpdump-ом сессии. Утилита chaosreader.
- Tcpick is a textmode sniffer libpcap-based that can track, reassemble and reorder tcp streams. Tcpick is able to save the captured flows in different files or displays them in the terminal, and so it is useful to sniff files that are transmitted via ftp or http.
- Сканирование портов: за и против [ BugTraq: Обозрение #145, 03.10.2003 ]
- Тришкин кафтан (обзор сканеров от 15.01.2002)
- Host Vulnerability Scanners
- Chaosreader is a freeware tool that can trace HTTP sessions from a packet
log, displaying which bytes are plaintext. A freeware tool to trace TCP/UDP/... sessions and fetch application data from snoop or tcpdump logs [Bugtarq]
- Ethereal
- Sniffer: * View and log the following user space protocols FTP, POP3, HTTP [http://www.linux.org.ru/view-message.jsp?msgid=1663159]
- Its not open source but it is FREE, its
limited to 1gb captures but sniff your egress traffic and you will spot outbound Botnet connections very quickly, you may also see some other surprising traffic
[,25 Фев 2009 10:47:00 , "Chris Brown" ]
- I use rules from emerging threats on my Snort sensors...
I use also honeypots and darknets to intent find another bots on my network.
In past post some guy suggets use BotHunter, and the last moth I implement on two sensors, but at today Bothunter cant create any profile of some bot, I mean bothunter dont find ny bot on my network :s to me dont work very well.
For example I also use Argus to find more bots (you can check this link, its very interesting ) [,25 Фев 2009 ]
- I use the Netwitness NextGen platform, www.netwitness.com this provides full
packet capture for forensic analysis and incident response. Excellent for
detecting Botnets and encrypted C&C channels especially when combined with a
threat feed. www.netwitness.com [ 23 Фев 2009 ]
5.8A Обнаружение сканирования, атак на отказ в обслуживании, снифферов
- PortSentry - детектор сканирования http://www.linuxrsp.ru/artic/portsentry.html
- Обнаружение атак своими силами
- PSAD (в отличие от PortSentry не требует изменений в политике iptables) [bugtraq@securityfocus.com]
- Glflow -DoS-детектор[ [Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #342]
- Port Scan Attack Detector[[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #341]
- Port Scan Attack Detector[[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #401]
- psad, или Port Scan Attack Detector - коллекция из
трёх системных демонов, работающих с кодом Linux Netfilter для определения попыток сканирования портов и
подозрительного трафика. "Пороги чувствительности" всей связки подвластны тонкой настройке (хотя и без того,
достаточно чувствительны по умолчанию), а поведение при обнаружении угрозы безопасности не ограничивается обычными
и почтовыми сообщениями, но и позволяет автоматически блокировать адреса раздражителей, кроме того, psad включает
массу образцов сигнатур для определения угрозы, включенных в Snort и оснащается алгоритмом, используемым p0f.
Для удобства kmsgsd.conf, psadwatchd.conf, alert.conf и fw_search.conf убраны, и все настройки с новой версии
сосредоточены в одном файле /etc/psad/psad.conf.
[[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #417]
- FAQ: Системы обнаружения атак на сетевом уровне
- Обнаружение пакетных снифферов -3 [Opennet.ru]
- Обнаружение пакетных снифферов -1 [LinuxBegin]
- Обнаружение пакетных снифферов -2 [Opennet.ru]
- Обнаружение пакетных снифферов
- Distack - is a framework for local and distributed attack detection and
traffic analysis. It can run on live interfaces or traces files, as well
as in simulation environments. Therefore it provides easy ways to
develop attack detection mechanisms and evaluate them on a large-scale
in simulated networks.
Whether you want to perform traffic analysis, attack detection or just
look into the traffic that runs over your network, Distack gives you a
complete environment to implement and evaluate your mechanisms.
To get a quick overview on what Distack does, have a look at the
publications covering Distack and current presentations:
http://doc.tm.uka.de/2008/Mayer_SECURWARE08.pdf
http://doc.tm.uka.de/2008/MaGaZit_Eurecom2008.pdf
https://projekte.tm.uka.de/trac/Distack/wiki/DistackPublications
We are looking forward to see the community using the Distack Framework
and would be happy to receive feedback from you! Cooperation in
development is also highly appreciated.[focus-ids@securityfocus.com ]
5.9 Stunnel
5.10 Криптография
5.11 Средства, позволяющие проверить целостность системы.
5.13 Remote log-server
5.14 Анализируем логи
5.14.1 Анализаторы логов- To analyse the logs (in real-time, with email notification, customized rules, log in html, etc), you can use the os-hids [Bugtraq]
- Use prelude-lml to analyze log files[Bugtraq]]
- Stargazer - авторизация и учет в домашних сетях [Forum.Opennet.ru ]
- NETAMS -"... бесплатный, удобный, простой и умеет блокировать интернет-юзерам при превышении лимита, разве что не умеет считать деньги [отзыв с forum.opennet.ru]
- Управление log-файлами [[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #349]
- The System Log: Logging News and Information
-
5.14.2 Разбираем логи вручную
- Если вы обнаружили входящий трафик на клиентские порты вашего хоста с 80 порта другого хоста ... [Bugtraq]
- Если команда netstat выдает сообщение:"warning, got bogus unix (или tcp) line", то это означает, что unix-овый сокет был изменен во время просмотра (во время работы netstat)
- Если ядро выдает на консоль и в /var/log/dmesg сообщение kernel: sending pkt_too_big (len[1500] pmtu[1476]) to self
Еще один ответ.
- Если ядро выдает на консоль и в /var/log/dmesg сообщение > UDP: short packet: 0/42. Эта проблема свойственна ядрам 2.4.X
Еще один ответ: (Fix up potential oops in udp short packet logging | doesn't affect mainline.)
- Как побороть в /var/og/messages сообщение: kernel: eth0: Transmit error, Tx status register 82.
kernel: Probably a duplex mismatch. See Documentation/networking/vortex.txt
kernel: Probably a duplex mismatch. See Documentation/networking/vortex.txt [www.linux.org.ru]
- Если в логах www-сервера появляются записи вида GET /c/winnt/system32/cmd.exe?/c+dir или "GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX", то загляните сюда.
- Сообщение в /var/log/messages: hostname inetd[123]: pop-3/tcp server failing(looping). Service terminated.
- Сообщения "POST, /_vti_bin/_vti_aut/fp30reg.dll" и "SEARCH, /ђЙЙЙЙЙЙЙЙЙЙЙ" в логах www-сервера.
- Сообщение в /var/log/messages:
ip_local_deliver: bad skb: PRE_ROUTING LOCAL_IN LOCAL_OUT POST_ROUTING
skb: pf=2 (unowned) dev=lo len=120
- Сообщение в /var/log/messages: process `named' is using obsolete setsockopt SO_BSDCOMPAT
- Сообщение в /var/log/messages kernel: 1.2.3.4 sent an invalid ICMP error to broadcast
- Сообщения named, появляющиеся после апгрейда ядра:
20-Dec-2005 13:33:26.763 general: error: socket.c:1115: unexpected error:
20-Dec-2005 13:33:26.764 general: error: internal_send: 62.76.90.40#1040: Invalid argument
20-Dec-2005 13:33:26.764 client: warning: client 62.76.90.40#1040: error sending response: invalid file
- В /var/log/dmesg или messages сообщение: TCP: Treason uncloaked! Peer 66.198.39.22:30288/80 shrinks window 2832517974:2832522058. Repaired.
(В каждом пакете, подтверждающем получение пакета данных (пакет ACK), получатель объявляет количество байт, которыми он может оперировать к настоящему времени.
Это позволяет передатчику понять сколько данных нужно послать. Перехватывая пакеты ACK и уменьшая размер объявленного окна, передатчик обманывается, думая что, получатель имеет меньшие возможности, чем на самом деле.
Передатчик затем старается уменьшить свою скорость передачи.) Это способ управления пропускной способностью.
[ www.opennet.ru ]
-
-
-
5.15 Ipsysctl на страже безопасности
5.16 Rootkit
5.17 Мониторы сетевой безопасности
- Sguil's - main component is an intuiative GUI that provides the
analyst with realtime events from snort/barnyard. It also includes other
components which faciliate the practice of Network Security Monitoring and event
driven analysis of IDS alerts. Краткое описание.
- Big Brother monitors System and Network-delivered services for availability. Документация, скрипты, tools - здесь [Bugtraq]
5.18 Архивы security-tools
5.19 Организация борьбы с подменой ip-адресов и средства, отслеживающие "левые" IP-адреса и MAC-адреса в локальной сети
5.20 Настройка конфигов и безопасность
5.21 Программно-аппаратные комплексы
- WatchDog [ LinuxRSP.Ru: новости, статьи, софт. Linux и Open Source #294]
5.22 Защита wireless-сетей
5.23 Восстановление системы
5.24 OpenSSL & OpenSSH
5.24A. PAM
5.24B. Restricted shell
- Iron Bars Shell - restricted system shell for Linux/Unix
- Юзер трёт ~/.bash_history после ssh-сессии
- Как не дать пользователю запускать свои программы?
- rssh - Restricted shell allowing only scp, sftp, cvs, rsync and/or rdist
(Description: Restricted shell allowing only scp, sftp, cvs, rsync and/or rdist
rssh is a restricted shell, used as a login shell, that allows users to
perform only scp, sftp, cvs, rdist, and/or rsync operations. It can
also optionally chroot user logins into a restricted jail.
) [Источник]
-
-
-
5.25 Состояние сервера на sms.
5.26 Зарезервированные адреса сетей.
5.27 Срочное уничтожение собственной системы.
5.28 Взаимозаменяемость серверов.
- CARP – Common Address Redundancy Protocol - это протокол избыточности, который позволяет двум или более компьютерам в одной подсети иметь одновременно один и тот же IP адрес, при этом возможна настройка этой группы компьютеров как взаимозаменяемые (главный компьютер отключился/сломался – вместо него сразу же принимается за работу другой, у которого приоритет выше) и так по кругу.
-
-
5.29 Антивирусы и Linux
5.30 Средства для проверки на устойчивость системы к различного рода атакам
- Hyenae Hyenae is a highly flexible platform independent network packet generator. It allows you to reproduce several MITM, DoS and DDoS attack scenarios,
comes with a clusterable remote daemon and an interactive attack assistant. [www.linux.org.ru]
-
-
-
5.31 Комплексные решения
- Главная задача проекта OSSIM (Open Source Security Information Management, ossim.net)
- максимальная интеграция разнородных утилит в пределах единой открытой архитектуры. В результате появляется возможность накоплять данные, находить и отслеживать четкие взаимосвязи в собранной информации.
Источниками служат практически любые утилиты, способные обрабатывать сетевую или системную информацию в реальном времени.
В настоящее время список интегрированных в OSSIM инструментов довольно широк: Arpwatch, P0f, pads, Nessus/OpenVAS, Ntop, Snort, tcptrack, tcpdump,
Nmap, Spade, Nagios, Osiris, OCSInventory-NG, OSSEC, RRDTool (дополнительно возможен анализ данных, собираемых preludeIDS, NTsyslog, Snare,
Cisco Secure IDS). Данные могут быть доставлены при помощи разных способов: syslog, plain log, SNMP, OPSEC, сокет и пр.
- Инструкция по настройке OSSIM. [Источник]
- AlienVault Open Source SIM (OSSIM) Installation Guide
- OSSIM User Guide
-
-
5.32 Анализ данных Netflow
5.33
5.34
5.35
5.40 Разное
Обратная связь
Последнее обновление: 20 апреля 2010 г.
Вопросы, замечания, комментарии, пожалуйста, сюда sciurus@mail.ru
Просьба в качестве темы сообщения указать слово "Linux", отвечу обязательно.
Этот почтовый ящик я проверяю не чаще раза в неделю, поэтому не обессудьте за задержку с ответом.
------------