[Sysadmins] osec & DoS

[Sysadmins] osec & DoS

[Алексей Шенцев]

Привет, всем!
Предполагаю, что мой	 инет-шлюз был атакован. К сожалению osec у меня не был 
установлен (теперь он установлен). Как можно проверить не было ли каких 
изменений в файлах на сервере?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] osec & DoS

[Avramenko Andrew]

Алексей Шенцев пишет:
> Привет, всем!
> Предполагаю, что мой	 инет-шлюз был атакован. К сожалению osec у меня не был 
> установлен (теперь он установлен). Как можно проверить не было ли каких 
> изменений в файлах на сервере?

На эту тему есть большие мануалы. Нужно снять всю текущую информацию, 
которая может поспособствовать расследованию инциндента, вплоть до 
дампов оперативки и потом уже проверять изменения файлов, загрузившись с 
livecd. Потому что проверка файлов может быть затруднена если некоторые 
программы модифицированы. Проверку стоит начать с rpm -Va.

Re: [Sysadmins] osec & DoS

[Алексей Шенцев]

В сообщении от Wednesday 22 August 2007 17:16:02 Avramenko Andrew написал(а):
> На эту тему есть большие мануалы. 
Угу ... и анекдоты то же ... ;)
> Нужно снять всю текущую информацию, которая может поспособствовать
> расследованию инциндента, вплоть до дампов оперативки 
Поздно: 1) сервер запущен в работу; 2) сервак у меня завис так, что даже на 
клаву не реагировал. На экране было такое:
int=eth0 его мак-адрес bla-bla-bla SRC=125.190.36.89 bla-bla-bla
> и потом уже проверять изменения файлов, загрузившись с 
> livecd. Потому что проверка файлов может быть затруднена если некоторые
> программы модифицированы. 
Учту на будующее ...
> Проверку стоит начать с rpm -Va. 
Это сейчас и выполняю ...
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] osec & DoS

[Michael Shigorin]

On Wed, Aug 22, 2007 at 05:29:18PM +0400, Алексей Шенцев wrote:
> > На эту тему есть большие мануалы. 
> Угу ... и анекдоты то же ... ;)
> > Нужно снять всю текущую информацию, которая может поспособствовать
> > расследованию инциндента, вплоть до дампов оперативки 
> Поздно: 1) сервер запущен в работу; 2) сервак у меня завис так,
> что даже на клаву не реагировал. На экране было такое:
> int=eth0 его мак-адрес bla-bla-bla SRC=125.190.36.89 bla-bla-bla

Фотографировать надо.

> > и потом уже проверять изменения файлов, загрузившись с
> > livecd. Потому что проверка файлов может быть затруднена если
> > некоторые программы модифицированы. 
> Учту на будующее ...
> > Проверку стоит начать с rpm -Va. 
> Это сейчас и выполняю ...

При малейших подозрениях тебе светит выдирание/проверка конфигов
и построение системы с нуля с их использованием.

Более интересно другое -- какой комплект софта у тебя смотрит в сеть?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] osec & DoS

[Алексей Шенцев]

В сообщении от Wednesday 22 August 2007 18:17:03 Michael Shigorin написал(а):
> On Wed, Aug 22, 2007 at 05:29:18PM +0400, Алексей Шенцев wrote:
> > > На эту тему есть большие мануалы.
> >
> > Угу ... и анекдоты то же ... ;)
> >
> > > Нужно снять всю текущую информацию, которая может поспособствовать
> > > расследованию инциндента, вплоть до дампов оперативки
> >
> > Поздно: 1) сервер запущен в работу; 2) сервак у меня завис так,
> > что даже на клаву не реагировал. На экране было такое:
> > int=eth0 его мак-адрес bla-bla-bla SRC=125.190.36.89 bla-bla-bla
>
> Фотографировать надо.
Не было под рукой чем фотать ... хотя идея ... 

<skip>

> При малейших подозрениях тебе светит выдирание/проверка конфигов
> и построение системы с нуля с их использованием.
Давно хочу снести этот сервак и построить систему с нуля. По иному ...

> Более интересно другое -- какой комплект софта у тебя смотрит в сеть?
Правила для iptables начинаются с такого:
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
# удаляем все имеющиеся правила
$IPTABLES -F
$IPTABLES -X
# создаем свои цепочки
#Для NetAMS
/sbin/modprobe ip_queue
$IPTABLES -A INPUT -i all -j QUEUE
$IPTABLES -A FORWARD -i all -j QUEUE
$IPTABLES -A OUTPUT -o all -j QUEUE
# отбрасываем tcp с неправильными флагами
$IPTABLES -N bad_tcp_packets
# tcp, прошедшие основную проверку
$IPTABLES -N allowed
# все пакеты соотв. протоколов
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
# безусловно разрешаем соединения по локальному интерфейсу (loopback, 
127.0.0.1)
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# безусловно разрешаем соединения по интерфейсу ЛВС (et0)
$IPTABLES -A INPUT -i $LAN_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN_IFACE -j ACCEPT
#для подсчёта с помощью ulogd-acctd
$IPTABLES -A allowed -j ULOG --ulog-nlgroup 1 --ulog-qthreshold 
50 --ulog-prefix allow
$IPTABLES -A rejected -m limit --limit 5/minute -j 
LOG --log-prefix "REJECTED: "
$IPTABLES -A rejected -j ULOG --ulog-nlgroup 1 --ulog-qthreshold 
50 --ulog-prefix drop
#/sbin/modprobe ip_conntrack_ftp
# сюда пойдут все tcp-пакеты, и будут отброшены имеющие статус NEW, но не 
имеющие флагов SYN,ACK
# предохраняет от определенных типов атак, подробности в приложении B4 к 
Iptables Tutorial
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m 
state --state NEW -j DROP
# принимаем все пакеты, относящиеся к уже установленным соединениям
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
# а все остальные из этой цепочки сбрасываем
$IPTABLES -A allowed -j DROP
# здесь открываем  некоторые порты, т.к. по умолчанию мы закрыли всё
# СЛушаем DNS
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 53 -j ACCEPT                                     
# Domain Name Server
$IPTABLES -A udp_packets -p UDP -s 0/0 --sport 53 -j ACCEPT                                     
# Domain Name Server
# Принимаем
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 20 -j ACCEPT                                   
# File Transfer [Default Data]
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 20 -j ACCEPT                                   
# File Transfer [Default Data]
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 21 -j ACCEPT                                   
# File Transfer [Control]
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 21 -j ACCEPT                                   
# File Transfer [Control]
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 25 -j ACCEPT                                    
# Simple Mail Transfer Protocol
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 25 -j ACCEPT                                    
# Simple Mail Transfer Protocol
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 110 -j ACCEPT                                   
# Post Office Protocol - Version 3
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 110 -j ACCEPT                                   
# Post Office Protocol - Version 3
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 995 -j ACCEPT                                  
# pop3 protocol over TLS/SSL
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 995 -j ACCEPT                                  
# pop3 protocol over TLS/SSL
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 143 -j ACCEPT                                  
# IMAP2
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 143 -j ACCEPT                                  
# IMAP2
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m udp --dport 220 -j ACCEPT                                  
# IMAP3
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 220 -j ACCEPT                                  
# IMAP3
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 993 -j ACCEPT                                  
# IMAP4
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 993 -j ACCEPT                                  
# IMAP4
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 80 -j ACCEPT                                    
# World Wide Web HTTP
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 80 -j ACCEPT                                    
# World Wide Web HTTP
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 443 -j ACCEPT                                  
# http protocol over TLS/SS
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 443 -j ACCEPT                                  
# http protocol over TLS/SS
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 3389 -j ACCEPT                                  
# RDP
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 5222 -j ACCEPT                                  
# Jabber Client Connection
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 5222 -j ACCEPT                                  
# Jabber Client Connection
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 5269 -j ACCEPT                                  
# Jabber Server Connection
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 5269 -j ACCEPT                                  
# Jabber Server Connection
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m multiport --dport $VP_PORTS -j 
ACCEPT   # VideoPhone
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m multiport --dport $VP_PORTS -j 
ACCEPT   # VideoPhone
# Принимаем форвардинг для установленных соединений
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


Т.е. в инет открыты следующие порты:
53 tcp/udp
25,110 tcp/udp
80 tcp/udp
3389 tcp
389,522,1300,1718:1720,1503,11720,1731,1739,15329:15332,32700:32799 tcp/udp

Что смотрит в инет: named, postfix, apache2. Остальные: squid, proftpd, mysql 
слушают только локалку.
Для apache2 во многие каталоги можно попасть либо только из локалки, либо 
только с определённых машин локалки.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] osec & DoS

[Алексей Шенцев]

В сообщении от Wednesday 22 August 2007 18:28:15 Алексей Шенцев написал(а):
> # безусловно разрешаем соединения по интерфейсу ЛВС (et0)
Здесь ошибка в комментарии . Должно быть eth1.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] osec & DoS

[Michael Shigorin]

On Wed, Aug 22, 2007 at 06:28:15PM +0400, Алексей Шенцев wrote:
> > > Поздно: 1) сервер запущен в работу; 2) сервак у меня завис
> > > так, что даже на клаву не реагировал. На экране было такое:
> > > int=eth0 его мак-адрес bla-bla-bla SRC=125.190.36.89

BTW не вижу -j log в iptables.

> > > bla-bla-bla
> > Фотографировать надо.
> Не было под рукой чем фотать ... хотя идея ... 

Значит, карандашиком на бумагу из принтера.

> > Более интересно другое -- какой комплект софта у тебя смотрит
> > в сеть?
> Что смотрит в инет: named, postfix, apache2. Остальные: squid,
> proftpd, mysql слушают только локалку.  Для apache2 во многие
> каталоги можно попасть либо только из локалки, либо только с
> определённых машин локалки.

Если named -- 9.x, а apache2 -- 2.2.x посвежей, то какие-либо
проблемы могли быть с тем, что на нём из веб-софта публично
доступно.

На будущее -- выдёргиваешь (или блокируешь) внешний канал 
и НЕ РЕБУТАЯ тазик, смотришь pstree (его редко пытаются троянить,
даже если получили локального рута и посадили руткит с подменой
бинарников).  Если в нём болтается, скажем, sendmail или smbd -D,
а у тебя там постфикс и самбы нет -- pstree -p, пишешь PID-ы
и лезешь в /proc/PID смотреть, откуда exe растёт.  Если
откуда-нить из /tmp/.чтонитьэтакое и владельцем -- apache,
то вот тебе и ниточка.

После ребута конкретно такое можно и не найти, если /tmp/.чт*
было хитрым и удалило себя в процессе выполнения (получился
безымянный файл, который существует на диске, пока процесс
не завершится).

А вообще по forensic analysis есть куча всего, но, к сожалению,
скорее помогает смотреть, как опытные люди раскапывают такие
системы -- или изучать какой-нить древний редхат.

С моими системами был один случай с rebuild from scratch
(поскольку известная уязвимость класса remote root -- была
в openssh -- и странноватое поведение системы скорее даже 
"по ощущениям", поскольку прямых улик не нашлось) и два
-- когда был выполнен чужой процесс из-под apache; оба по
причине дырявых веб-скриптов третьих людей (причём один раз
я заранее проверил на наличие уязвимой библиотеки все сайты,
кроме одного, который вёл очень доверенный человек -- и именно
через него в ту же ночь проспамили, а второй раз -- болтался
uselib24 и всё, ничего этот эксплойт сделать не мог).

Перестраивать систему было очень неприятно, но необходимо,
чтобы спокойно спать; остальное по изучении (благо в контейнере,
так что изучать извне на наличие левых процессов и бинарников
вполне получилось) к таким радикальным мерам не взывало --
решение сводилось к блокированию или обновлению веб-софта.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] osec & DoS

[Алексей Шенцев]

В сообщении от Wednesday 22 August 2007 20:05:20 Michael Shigorin написал(а):
> Если named -- 9.x, 

[root@gw ~]# rpm -qa | grep bind
alterator-bind-0.1-alt13
libbind-9.3.4-alt4
bind-doc-9.3.4-alt4
bind-control-1.1-alt1
bind-9.3.4-alt4
bind-utils-9.3.4-alt4
[root@gw ~]#

> а apache2 -- 2.2.x посвежей, то какие-либо 

[root@gw ~]# rpm -qa | grep apache2
apache2-mod_php-4.4.7-alt1
alterator-apache2-2.1-alt1
apache2-mod_ssl-2.2.5-alt1
apache2-common-2.2.5-alt1
apache2-httpd-prefork-2.2.5-alt1
mailgraph-apache2-1.13-alt3
phpMyAdmin-apache2-php4-2.10.3-alt1
apache2-2.2.5-alt1
[root@gw ~]#

> проблемы могли быть с тем, что на нём из веб-софта публично
> доступно.

Ээээ .... Да всего то одна вещь: "It works!" ...

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] osec & DoS

[Michael Shigorin]

On Thu, Aug 23, 2007 at 09:35:03AM +0400, Алексей Шенцев wrote:
> > проблемы могли быть с тем, что на нём из веб-софта публично
> > доступно.
> Ээээ .... Да всего то одна вещь: "It works!" ...

Так ещё раз: получился DoS или подозрение на локальный доступ?
Пока не вижу очевидных вариантов ко второму тогда.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] osec & DoS

[Алексей Шенцев]

В сообщении от Thursday 23 August 2007 15:58:59 Michael Shigorin написал(а):
> On Thu, Aug 23, 2007 at 09:35:03AM +0400, Алексей Шенцев wrote:
> > > проблемы могли быть с тем, что на нём из веб-софта публично
> > > доступно.
> >
> > Ээээ .... Да всего то одна вещь: "It works!" ...
>
> Так ещё раз: получился DoS или подозрение на локальный доступ?
> Пока не вижу очевидных вариантов ко второму тогда.

Подозрение на атаку из вне. Сервер в те минуты довольно таки странно вёл себя, 
кроме сообщений на экране не работал почтовик (от сюда то я и стал плясать, 
за 5 минут до этого я получил почту, а тут уже мой почтарь не отвечает), не 
отвечал на пинги по имени, но пинговался по внутреннему адресу.
Да ещё на экране была самая первая строчка, что то вроде проблемы с 
reiserfs ...
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] osec & DoS

[Michael Shigorin]

On Thu, Aug 23, 2007 at 04:17:11PM +0400, Алексей Шенцев wrote:
> > > > проблемы могли быть с тем, что на нём из веб-софта
> > > > публично доступно.
> > > Ээээ .... Да всего то одна вещь: "It works!" ...
> > Так ещё раз: получился DoS или подозрение на локальный
> > доступ?  Пока не вижу очевидных вариантов ко второму тогда.
> Подозрение на атаку из вне. Сервер в те минуты довольно таки
> странно вёл себя, кроме сообщений на экране не работал почтовик
> (от сюда то я и стал плясать, за 5 минут до этого я получил
> почту, а тут уже мой почтарь не отвечает), не отвечал на пинги
> по имени, но пинговался по внутреннему адресу.

Не отвечал -- из локалки?  Возможно, тебе просто забили канал.

> Да ещё на экране была самая первая строчка, что то вроде
> проблемы с reiserfs ...

Не стоит ставить на машинки, к которым нет намерения лишний раз
ходить много лет, reiser -- лучше ext3.  Всё равно какая там
нагрузка на дисковую, это ж DSL, правильно?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] osec & DoS

[Konstantin A. Lepikhov]

Michael Shigorin пишет:
...
> Не стоит ставить на машинки, к которым нет намерения лишний раз
> ходить много лет, reiser -- лучше ext3.  Всё равно какая там
> нагрузка на дисковую, это ж DSL, правильно?
ты случайно не с reiser4 спутал?

Re: [Sysadmins] osec & DoS

[Michael Shigorin]

On Thu, Aug 23, 2007 at 05:50:10PM +0400, Konstantin A. Lepikhov wrote:
> > Не стоит ставить на машинки, к которым нет намерения лишний
> > раз ходить много лет, reiser -- лучше ext3.  Всё равно какая
> > там нагрузка на дисковую, это ж DSL, правильно?
> ты случайно не с reiser4 спутал?

Не-а.

reiser3 летает редко, но совсем метко.  Годится для того, 
чего или сорок штук рядом стоит и всё равно не жалко, или
эквивалентного, IMHO...

On Thu, Aug 23, 2007 at 05:58:10PM +0400, Алексей Шенцев wrote:
> > Не отвечал -- из локалки?  Возможно, тебе просто забили канал.
> Да, пинговал со своей машины. Вряд ли у нас, на заводе, есть
> такие умники.  Максиму что им хватает, так это методом перебора
> найти ip-адрес с которого можно выйти в инет, воруя чужой
> трафик.

При этом NS-ы внешние... если канал был забит, то действительно
ты мог отваливаться по таймауту изнутри, пытаясь отрезолвить.

> > Не стоит ставить на машинки, к которым нет намерения лишний
> > раз ходить много лет, reiser -- лучше ext3.  
> Да давно хочу всё снести и поставить на ext3, за два с лишнем
> года его, сервера, эксплуатации ни разу не было проблем с
> дисковой подсистемой. Но что то последнее время не очень
> нравится мне reiserfs.  Да только ни как не могу выбить
> более-менее приличную тачку под новый сервак ...

Необязательно тачку, можно просто диски, если эта тянет и сама
железка приличной сборки.

> > Всё равно какая там нагрузка на дисковую, это ж DSL, правильно?
> В данном случае DSL как расшифровать, перевести? 

Уже дошло, что у тебя не digital subscriber line (128k--2M--8M),
а что-то пошире, наверное... в смысле канала.

Просто на двушке особо прокси/почтой нагрузить дисковую при
достаточной памяти -- IMHO постараться всё же надо.

> В общем у меня это корпоративный инет-шлюз, почтарь,
> вэб-сервер, DNS-сервер для локалки, WINS & SAMBA-сервер

Вот почту/веб и wins/smb держать рядом -- плохо.  Хотя бы по
контейнерам стоит разнести, а лучше -- действительно по разным
серверам.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] osec & DoS

[Алексей Шенцев]

В сообщении от Thursday 23 August 2007 18:06:12 Michael Shigorin написал(а):
> reiser3 летает редко, но совсем метко.  Годится для того,
> чего или сорок штук рядом стоит и всё равно не жалко, или
> эквивалентного, IMHO...

Буду иметь ввиду на будущее.

> При этом NS-ы внешние... если канал был забит, то действительно
> ты мог отваливаться по таймауту изнутри, пытаясь отрезолвить.

Угу ... открытая ssh-сессия то же "повисла" ...

> Необязательно тачку, можно просто диски, если эта тянет и сама
> железка приличной сборки.

Да с получением чего либо нужного для отдела АСУ у нас целая история ...

> Уже дошло, что у тебя не digital subscriber line (128k--2M--8M),
> а что-то пошире, наверное... в смысле канала.

4М на xdsl модеме до провайдера ...

> Просто на двушке особо прокси/почтой нагрузить дисковую при
> достаточной памяти -- IMHO постараться всё же надо.
>
> > В общем у меня это корпоративный инет-шлюз, почтарь,
> > вэб-сервер, DNS-сервер для локалки, WINS & SAMBA-сервер
>
> Вот почту/веб и wins/smb держать рядом -- плохо.  Хотя бы по
> контейнерам стоит разнести, а лучше -- действительно по разным
> серверам.

Согласен полностью, но не на что. Вот когда буду ставить ALS4, пока на текущем 
сизифе, вот тогда и буду, а экспериментировать с работающим сервером не 
желаю.

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] osec & DoS

[Konstantin A. Lepikhov]

Michael Shigorin пишет:
> On Thu, Aug 23, 2007 at 05:50:10PM +0400, Konstantin A. Lepikhov wrote:
>>> Не стоит ставить на машинки, к которым нет намерения лишний
>>> раз ходить много лет, reiser -- лучше ext3.  Всё равно какая
>>> там нагрузка на дисковую, это ж DSL, правильно?
>> ты случайно не с reiser4 спутал?
> 
> Не-а.
> 
> reiser3 летает редко, но совсем метко.  Годится для того, 
> чего или сорок штук рядом стоит и всё равно не жалко, или
> эквивалентного, IMHO...

сильное IMHO, прям в духе LOR'а.

Re: [Sysadmins] osec & DoS

[Michael Shigorin]

On Thu, Aug 23, 2007 at 06:23:07PM +0400, Konstantin A. Lepikhov wrote:
> >>> Не стоит ставить на машинки, к которым нет намерения лишний
> >>> раз ходить много лет, reiser -- лучше ext3.  Всё равно какая
> >>> там нагрузка на дисковую, это ж DSL, правильно?
> >> ты случайно не с reiser4 спутал?
> > Не-а.  reiser3 летает редко, но совсем метко.  Годится для
> > того, чего или сорок штук рядом стоит и всё равно не жалко,
> > или эквивалентного, IMHO...
> сильное IMHO

Уж какое есть.

> прям в духе LOR'а.

Скорее в духе практического сравнения на десятках систем 
с 2001 года.

Кстати, на самой старой из тех, что я устанавливал и которые
до сих пор в работе по моим сведениям -- reiser-3.5.

PS: Костик, ты не хочешь часом подумать, что если ты
на какие-то грабли ещё не наступал, то вообще-то
это не означает их отсутствия в принципе? :]

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] osec & DoS

[Konstantin A. Lepikhov]

Michael Shigorin пишет:
...
> PS: Костик, ты не хочешь часом подумать, что если ты
> на какие-то грабли ещё не наступал, то вообще-то
> это не означает их отсутствия в принципе? :]
у ext3 тоже много недостатков и неприятных особенностей. Так что тут 
скорее от версии ядра зависит, а не от файловой системы. Вот пропадающие 
файлы на tmpfs это действительно broken by design.

[Sysadmins] файловые системы

[Michael Shigorin]

On Thu, Aug 23, 2007 at 11:04:51PM +0400, Konstantin A. Lepikhov wrote:
> > PS: Костик, ты не хочешь часом подумать, что если ты
> > на какие-то грабли ещё не наступал, то вообще-то
> > это не означает их отсутствия в принципе? :]
> у ext3 тоже много недостатков и неприятных особенностей.

Ессейсно.  Поэтому когда получается -- UPS и xfs, но в качестве
самой деревянной ФС -- таки ext3 :)

> Вот пропадающие файлы на tmpfs это действительно
> broken by design.

......

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] osec & DoS

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 1003 bytes --]

Konstantin A. Lepikhov пишет:
> Michael Shigorin пишет:
>> On Thu, Aug 23, 2007 at 05:50:10PM +0400, Konstantin A. Lepikhov wrote:
>>>> Не стоит ставить на машинки, к которым нет намерения лишний
>>>> раз ходить много лет, reiser -- лучше ext3.  Всё равно какая
>>>> там нагрузка на дисковую, это ж DSL, правильно?
>>> ты случайно не с reiser4 спутал?
>> Не-а.
>>
>> reiser3 летает редко, но совсем метко.  Годится для того, 
>> чего или сорок штук рядом стоит и всё равно не жалко, или
>> эквивалентного, IMHO...
> 
> сильное IMHO, прям в духе LOR'а.

Ну mike@ не одинок с таким ИМХО ;)
У меня reiserfs тоже падал пару раз очень неприятно.
И теперь я его не использую совсем. Еще не так давно держал на нем кеш
squid - теперь держу на xfs. Получается быстрее (у меня кеш достаточно
большой и хранит файлы до 750Mb).

Кроме того как выковырять данные с разрушенной ext3 я знаю.
А вот с reiserfs нет.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [Sysadmins] osec & DoS

[Michael Shigorin]

On Fri, Aug 24, 2007 at 12:46:52PM +0300, Maxim Tyurin wrote:
> Кроме того как выковырять данные с разрушенной ext3 я знаю.
> А вот с reiserfs нет.

Ну у меня есть два знакомых бывших разработчика reiser3/4
и пару сейшенов по выковыриванию данных как-то наблюдал
(успешных).

Но как-то не хотелось бы полагаться на такие частности.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] osec & DoS

[Алексей Шенцев]

В сообщении от Thursday 23 August 2007 17:45:05 Michael Shigorin написал(а):
> Не отвечал -- из локалки?  Возможно, тебе просто забили канал.
Да, пинговал со своей машины. Вряд ли у нас, на заводе, есть такие умники. 
Максиму что им хватает, так это методом перебора найти ip-адрес с которого 
можно выйти в инет, воруя чужой трафик.

> Не стоит ставить на машинки, к которым нет намерения лишний раз
> ходить много лет, reiser -- лучше ext3.  
Да давно хочу всё снести и поставить на ext3, за два с лишнем года его, 
сервера, эксплуатации ни разу не было проблем с дисковой подсистемой. Но что 
то последнее время не очень нравится мне reiserfs.
Да только ни как не могу выбить более-менее приличную тачку под новый 
сервак ...

> Всё равно какая там нагрузка на дисковую, это ж DSL, правильно?

В данном случае DSL как расшифровать, перевести? 
В общем у меня это корпоративный инет-шлюз, почтарь, вэб-сервер, DNS-сервер 
для локалки, WINS & SAMBA-сервер
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] osec & DoS

[Avramenko Andrew]

> В данном случае DSL как расшифровать, перевести? 
Цифровая абонентская линия. Имеется в виду, что скорость сети 
значительно ниже скорости обращения к дисковой подсистеме.

Верно?

Re: [Sysadmins] osec & DoS

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 445 bytes --]

* Алексей Шенцев <ashen@> [070822 17:14]:
> Предполагаю, что мой	 инет-шлюз был атакован. К сожалению osec у меня не был 
> установлен (теперь он установлен). Как можно проверить не было ли каких 
> изменений в файлах на сервере?
Попробуй rpm -Va для начала.

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] osec & DoS

[Алексей Шенцев]

В сообщении от Wednesday 22 August 2007 18:59:28 Alexey I. Froloff написал(а):
> * Алексей Шенцев <ashen@> [070822 17:14]:
> > Предполагаю, что мой	 инет-шлюз был атакован. К сожалению osec у меня не
> > был установлен (теперь он установлен). Как можно проверить не было ли
> > каких изменений в файлах на сервере?
>
> Попробуй rpm -Va для начала.

Уже попробовал. Не всё понятно в полученном. Точнее понятно только строчки 
с "отсутствует". А остальное совершенно не понятно.

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Sysadmins] osec & DoS

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 601 bytes --]

* Алексей Шенцев <ashen@> [070822 19:01]:
> > Попробуй rpm -Va для начала.
> Уже попробовал. Не всё понятно в полученном. Точнее понятно
> только строчки с "отсутствует". А остальное совершенно не
> понятно.
Это изменения файлов относительно "пакета".  man rpm на тему
VERIFY OPTIONS, там описаны все флаги.  Строчки типа

S.5....T c /etc/sgml/catalog

относятся к конфигам, "c" между флагами и именем файла.

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] osec & DoS

[Michael Shigorin]

On Wed, Aug 22, 2007 at 07:00:54PM +0400, Алексей Шенцев wrote:
> > Попробуй rpm -Va для начала.
> Уже попробовал. Не всё понятно в полученном. Точнее понятно
> только строчки с "отсутствует". А остальное совершенно не
> понятно.

Лучше гоняй с LC_MESSAGES=C и сверяйся с описанием -V 
в man rpm.  Тебя интересует "5" в первую очередь, дальше
гораздо менее -- mode и user/group.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/