RE: Защитить сетевые сервисы от спама, перебора паролей и DDOS.
Zabbix это по мониторингу. умеет дергать все что скажут. Делает http проверки. Умеет реагировать на алерты заданными действиями, а не просто слать письма. Читает логи. Определение ddos и переборка паролей я думаю это l7 фильтрация и лучше переложить это на железку. Хорошая тулза для глобальной сборки логов и парсинга logstash. Можно заставить работать в паре с заббиксом. -Исходное сообщение- От: "Oleksandr Gavenko"Отправлено: 18.01.2016 3:53 Кому: "debian-russian@lists.debian.org" Тема: Защитить сетевые сервисы от спама, перебора паролей и DDOS. Хочу разобраться какие меры и средства могут быть предприняты против: * спама (как осмысленного, понимающие API сервиса так и бессмысленного, например прощупывающего URL вида /admin, ~root, ...) * перебора паролей * DDOS Естественно решение в рамках пакетов Debian и возможно рекомендаций с чем обращатся к хостеру если есть легко доступные аппаратные решения. Порылся в офиц. руководстве: $ zgrep 'intrusion\|detection' /usr/share/debian-reference/debian-reference.en.txt.gz | | | | |monitoring and | | | | | |management | |nagios3|V:1, |1|, , |system for | | |I:12 | | |hosts, services| | | | | |and networks | | | | | |(Nagios) | | | | | |flexible | | |V:2, | | |network | |snort |I:3 |1707 |, , |intrusion | | | | | |detection | | | | | |system (Snort) | Я про эти комплексы знаю не больше чем по Wikipedia или обложке книг. Может они неактуальны (их давно вписали в руководство, но обновлять руководство нету желающих?). По идее относительно полный список есть тут: https://en.wikipedia.org/wiki/Comparison_of_network_monitoring_systems https://en.wikipedia.org/wiki/Category:Intrusion_detection_systems и еще такие класные ключевые слова (по которым напрямую полезную информацию я не вижу): https://en.wikipedia.org/wiki/Intrusion_prevention_system https://en.wikipedia.org/wiki/Real-time_adaptive_security Задача - уведомлять об атаках на VPS + улучшить жизнеспособность VPS. VPS/VDS - это 256/1024/2048 MiB RAM + 1-2 CPU + 2.0-20.0 GiB STORAGE и там сервисы для мелкого бизнеса или персональный хостинг (CV/blog/git). Как мониторить CPU / MEM / IO? И сообщать на email при превышении порога в течении промежутка времени? Также интересно чем мониторить размер доступного места в хранилище. Неприятно будет если логи забьют все пространство. Я так понимаю nagios3 охватывает эти вопросы. Имеет смысл искать на альтернативы? nagios3 - глуп? Т.е. например есть 100% CPU - он скажет какие процесы в top? Или DOS с определенного хоста - мне дадут IP? Есть ощущение что с помощью nagios3 не лазят по accesslog и прикладным логам что бы определить аномальную активность пользователей? Для этого snort? Есть ли смысл искать / сравнивать с альтернативами? С помощью snort можно определять фейковые регистрации на форуме или спам в коментариях к блогозаписи? Или только пороговая статистика - что то поисходит чаще чем нужно? Далее допустим идентифицирован процес, сжирающий 100% CPU в течении 20 мин или IP адрес бомблящий или перебирающий URL на :80. Кто будет прибивать автоматом прожорливый процес или добавлять временное правило в файервол? Я за структурированый способ оформления правил реагирования, потому как костыли на cron, клее и резине в состоянии накропать... Глупый DDOS забивает канал. Будет ли уходить исходящие пакеты с сервера? Например - отправка письма с алертом? Как бороться с подбором паролей? Я знаком с одним живым примером - Tomcat 8 в Debian идет с включеным: /etc/tomcat8/Catalina/localhost/manager.xml В manager.log периодически пишет что кто пытался авторизоваться... Выходит что злоумышленник знает об устройстве сервисов, формате данных (пусть и scriptkid'ер). Я узнал о проблеме просматривая лог. Формат записи не думаю что документирован. Мне нужно регвырами по логам самостоятельно узнавать проблемы? Выходит что сервис,
Re: Защитить сетевые сервисы от спама, перебора паролей и DDOS.
В Пн, 18/01/2016 в 02:53 +0200, Oleksandr Gavenko пишет: > Хочу разобраться какие меры и средства могут быть предприняты против: > > * спама (как осмысленного, понимающие API сервиса так и бессмысленного, >например прощупывающего URL вида /admin, ~root, ...) > > * перебора паролей > > * DDOS Одним пакетом все задачи не решить. Кроме уже рассмотренного, против тупого подбора паролей и перебора url может помочь fail2ban. -- С уважением, Лев Аржанов
Двигаю мышью по Shift+NumLock
Добрый день! Я часто пользуюсь дополнительной клавиатурой для эмуляции движения мыши, включается по Shift+NumLock, конфиг: cat /usr/share/X11/xorg.conf.d/90-enable-pointerkeys.conf Section "InputClass" Identifier "Keyboard Defaults" MatchIsKeyboard"yes" Option "XkbOptions" "keypad:pointerkeys" EndSection Но есть момент, который сильно расстраивает. После некоторого бездействия клавиатуры (почитал статью или посмотрел ролик на YouTube) дополнительная клавиатура отключается и приходится снова нажимать Shift+NumLock. По ощущениям перерыв, после которого отключается доп. клавиатура — 3 минуты. Как предотвратить эти отключения? В качестве WM использую i3, так что тюнинг видимо только X. Спасибо. -- Best regards! gfborn [at] gmail [dot] com
Re: Двигаю мышью по Shift+NumLock
2016-01-17 20:53 GMT+03:00 Grigory Fateyev: > Добрый день! > > Я часто пользуюсь дополнительной клавиатурой для эмуляции движения > мыши, включается по Shift+NumLock, конфиг: > > cat /usr/share/X11/xorg.conf.d/90-enable-pointerkeys.conf > Section "InputClass" > Identifier "Keyboard Defaults" > MatchIsKeyboard"yes" > Option "XkbOptions" "keypad:pointerkeys" > EndSection > > Но есть момент, который сильно расстраивает. После некоторого > бездействия клавиатуры (почитал статью или посмотрел ролик на YouTube) > дополнительная клавиатура отключается и приходится снова нажимать > Shift+NumLock. По ощущениям перерыв, после которого отключается доп. > клавиатура — 3 минуты. > > Как предотвратить эти отключения? > > В качестве WM использую i3, так что тюнинг видимо только X. подойдет? http://crunchbang.org/forums/viewtopic.php?pid=322952 сам попробовать не могу, под рукой нет ни X'ов ни клавы с доп. клавишами
Защитить сетевые сервисы от спама, перебора паролей и DDOS.
Хочу разобраться какие меры и средства могут быть предприняты против: * спама (как осмысленного, понимающие API сервиса так и бессмысленного, например прощупывающего URL вида /admin, ~root, ...) * перебора паролей * DDOS Естественно решение в рамках пакетов Debian и возможно рекомендаций с чем обращатся к хостеру если есть легко доступные аппаратные решения. Порылся в офиц. руководстве: $ zgrep 'intrusion\|detection' /usr/share/debian-reference/debian-reference.en.txt.gz | | | | |monitoring and | | | | | |management | |nagios3|V:1, |1|, , |system for | | |I:12 | | |hosts, services| | | | | |and networks | | | | | |(Nagios) | | | | | |flexible | | |V:2, | | |network | |snort |I:3 |1707 |, , |intrusion | | | | | |detection | | | | | |system (Snort) | Я про эти комплексы знаю не больше чем по Wikipedia или обложке книг. Может они неактуальны (их давно вписали в руководство, но обновлять руководство нету желающих?). По идее относительно полный список есть тут: https://en.wikipedia.org/wiki/Comparison_of_network_monitoring_systems https://en.wikipedia.org/wiki/Category:Intrusion_detection_systems и еще такие класные ключевые слова (по которым напрямую полезную информацию я не вижу): https://en.wikipedia.org/wiki/Intrusion_prevention_system https://en.wikipedia.org/wiki/Real-time_adaptive_security Задача - уведомлять об атаках на VPS + улучшить жизнеспособность VPS. VPS/VDS - это 256/1024/2048 MiB RAM + 1-2 CPU + 2.0-20.0 GiB STORAGE и там сервисы для мелкого бизнеса или персональный хостинг (CV/blog/git). Как мониторить CPU / MEM / IO? И сообщать на email при превышении порога в течении промежутка времени? Также интересно чем мониторить размер доступного места в хранилище. Неприятно будет если логи забьют все пространство. Я так понимаю nagios3 охватывает эти вопросы. Имеет смысл искать на альтернативы? nagios3 - глуп? Т.е. например есть 100% CPU - он скажет какие процесы в top? Или DOS с определенного хоста - мне дадут IP? Есть ощущение что с помощью nagios3 не лазят по accesslog и прикладным логам что бы определить аномальную активность пользователей? Для этого snort? Есть ли смысл искать / сравнивать с альтернативами? С помощью snort можно определять фейковые регистрации на форуме или спам в коментариях к блогозаписи? Или только пороговая статистика - что то поисходит чаще чем нужно? Далее допустим идентифицирован процес, сжирающий 100% CPU в течении 20 мин или IP адрес бомблящий или перебирающий URL на :80. Кто будет прибивать автоматом прожорливый процес или добавлять временное правило в файервол? Я за структурированый способ оформления правил реагирования, потому как костыли на cron, клее и резине в состоянии накропать... Глупый DDOS забивает канал. Будет ли уходить исходящие пакеты с сервера? Например - отправка письма с алертом? Как бороться с подбором паролей? Я знаком с одним живым примером - Tomcat 8 в Debian идет с включеным: /etc/tomcat8/Catalina/localhost/manager.xml В manager.log периодически пишет что кто пытался авторизоваться... Выходит что злоумышленник знает об устройстве сервисов, формате данных (пусть и scriptkid'ер). Я узнал о проблеме просматривая лог. Формат записи не думаю что документирован. Мне нужно регвырами по логам самостоятельно узнавать проблемы? Выходит что сервис, которого ты не понимаешь (не задоукментированы сообщения о проблемах) - нужно закрывать. Пускай наоборот мы собственно писаном сервисе. Как сообщать о подборе паролей - через лог? Или комплексы на подобии snort умеют слушать через сокет? Интересно конечно что бы сервис ничего не знал об IDS. Я бы общался через *внешнюю* настройку в системе логирования. Сейчан начинаю понимать нафик нужен (для Java-приложений): http://www.slf4j.org/api/org/slf4j/MDC.html - что бы структурировано отдавать диагностические данные. Конешно можно придумать свой формат для
[DONE] wml://security/2016/dsa-344{3,4,5,7}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2016/dsa-3443.wml2016-01-14 02:34:34.0 +0500 +++ russian/security/2016/dsa-3443.wml 2016-01-17 21:54:22.984067697 +0500 @@ -1,35 +1,36 @@ - -security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи - -Several vulnerabilities have been discovered in the libpng PNG library. - -The Common Vulnerabilities and Exposures project identifies the - -following problems: +Ð libpng, библиоÑеке, ÑеализÑÑÑей поддеÑÐ¶ÐºÑ PNG, бÑло обнаÑÑжено неÑколÑко ÑÑзвимоÑÑей. +ÐÑÐ¾ÐµÐºÑ Common Vulnerabilities and Exposures опÑеделÑÐµÑ +ÑледÑÑÑие пÑоблемÑ: https://security-tracker.debian.org/tracker/CVE-2015-8472;>CVE-2015-8472 - -It was discovered that the original fix for +ÐÑло обнаÑÑжено, ÑÑо изнаÑалÑное иÑпÑавление Ð´Ð»Ñ https://security-tracker.debian.org/tracker/CVE-2015-8126;>\ - -CVE-2015-8126 was - -incomplete and did not detect a potential overrun by applications - -using png_set_PLTE directly. A remote attacker can take advantage of - -this flaw to cause a denial of service (application crash). +CVE-2015-8126 бÑло +неполнÑм, оно не опÑеделÑÐµÑ Ð¿Ð¾ÑенÑиалÑной пеÑегÑÑзки, вÑзÑваемой пÑиложениÑми, +напÑÑмÑÑ Ð¸ÑполÑзÑÑÑими ÑÑнкÑÐ¸Ñ png_set_PLTE. УдалÑннÑй злоÑмÑÑленник Ð¼Ð¾Ð¶ÐµÑ Ð¸ÑполÑзоваÑÑ +даннÑÑ ÑÑзвимоÑÑÑ Ð´Ð»Ñ Ð²Ñзова оÑказа в обÑлÑживании (аваÑийное завеÑÑение ÑабоÑÑ Ð¿ÑиложениÑ). https://security-tracker.debian.org/tracker/CVE-2015-8540;>CVE-2015-8540 - -Xiao Qixue and Chen Yu discovered a flaw in the png_check_keyword - -function. A remote attacker can potentially take advantage of this - -flaw to cause a denial of service (application crash). +СÑо ЦиÑÑÑ Ð¸ ЧÑÐ½Ñ Ð®Ð¹ обнаÑÑжили ÑÑзвимоÑÑÑ Ð² ÑÑнкÑии +png_check_keyword. УдалÑннÑй злоÑмÑÑленник поÑенÑиалÑно Ð¼Ð¾Ð¶ÐµÑ Ð¸ÑполÑзоваÑÑ ÑÑÑ +ÑÑзвимоÑÑÑ Ð´Ð»Ñ Ð²Ñзова оÑказа в обÑлÑживании (аваÑийное завеÑÑение ÑабоÑÑ Ð¿ÑиложениÑ). - -For the oldstable distribution (wheezy), these problems have been fixed - -in version 1.2.49-1+deb7u2. +РпÑедÑдÑÑем ÑÑабилÑном вÑпÑÑке (wheezy) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ +в веÑÑии 1.2.49-1+deb7u2. - -For the stable distribution (jessie), these problems have been fixed in - -version 1.2.50-2+deb8u2. +Ð ÑÑабилÑном вÑпÑÑке (jessie) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² +веÑÑии 1.2.50-2+deb8u2. - -We recommend that you upgrade your libpng packages. +РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ Ð¿Ð°ÐºÐµÑÑ libpng. # do not modify the following line - --- english/security/2016/dsa-3444.wml2016-01-14 02:55:45.0 +0500 +++ russian/security/2016/dsa-3444.wml 2016-01-17 21:56:32.245329954 +0500 @@ -1,19 +1,20 @@ - -security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи - -Crtc4L discovered a cross-site scripting vulnerability in wordpress, a - -web blogging tool, allowing a remote authenticated administrator to - -compromise the site. +Crtc4L обнаÑÑжил ÑÑзвимоÑÑÑ Ð² wordpress, инÑÑÑÑменÑе Ð´Ð»Ñ Ð²ÐµÐ´ÐµÐ½Ð¸Ñ +блога, пÑиводÑÑÑÑ Ðº межÑайÑÐ¾Ð²Ð¾Ð¼Ñ ÑкÑипÑингÑ, коÑоÑÐ°Ñ Ð¿Ð¾Ð·Ð²Ð¾Ð»ÑÐµÑ ÑдалÑÐ½Ð½Ð¾Ð¼Ñ Ð°ÑÑенÑиÑиÑиÑÐ¾Ð²Ð°Ð½Ð½Ð¾Ð¼Ñ +админиÑÑÑаÑоÑÑ ÐºÐ¾Ð¼Ð¿ÑомеÑиÑоваÑÑ ÑайÑ. - -For the oldstable distribution (wheezy), this problem has been fixed - -in version 3.6.1+dfsg-1~deb7u9. +РпÑедÑдÑÑем ÑÑабилÑном вÑпÑÑке (wheezy) ÑÑа пÑоблема бÑла иÑпÑавлена +в веÑÑии 3.6.1+dfsg-1~deb7u9. - -For the stable distribution (jessie), this problem has been fixed in - -version 4.1+dfsg-1+deb8u7. +Ð ÑÑабилÑном вÑпÑÑке (jessie) ÑÑа пÑоблема бÑла иÑпÑавлена в +веÑÑии 4.1+dfsg-1+deb8u7. - -For the unstable distribution (sid), this problem has been fixed in - -version 4.4.1+dfsg-1. +РнеÑÑабилÑном вÑпÑÑке (sid) ÑÑа пÑоблема бÑла иÑпÑавлена в +веÑÑии 4.4.1+dfsg-1. - -We recommend that you upgrade your wordpress packages. +РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ Ð¿Ð°ÐºÐµÑÑ wordpress. # do not modify