Administrare server open source » Security

Cum restauram /etc/passwd in FreeBSD

Sergiu Tot — Tue, 13 Jul 2010 10:10:48 +0000

Fisierul /etc/passwd este folosit de foarte multe aplicatii pentru a extrage informatii legate de utilizatori. Chiar daca parolele nu mai sunt tinute in /etc/passwd ci in /etc/master.passwd, fisierul /etc/passwd continua sa fie util datorita permisiunilor – orice utilizator poate citi fisierul, deci orice utilizator poate afla informatii de baza despre alti utilizatori, actiune necesara in cazul serviciilor care ruleaza pe servere. Din diverse motive e posibil ca fisierul /etc/passwd sa fie corupt. In aceasta situatie ne putem baza pe backupul creat de FreeBSD in /var/backups, backup initiat zilnic prin fisierul /etc/periodic/daily/200.backup-passwd. Daca ne uitam in /etc/periodic/daily/200.backup-passwd vom gasi urmatoarele fisiere: a92c7c18037fe5b2493d8d39a9cd5f20000 Asa ar trebui ... Mai departe »

Utilizatori virtuali in Pure-FTPd cu MySQL

Sergiu Tot — Mon, 12 Jul 2010 11:57:39 +0000

Explicam intr-un articol anterior cum putem gestiona utilizatorii virtuali in Pure-FTPd. Folosind comanda pure-pw putem crea, sterge sau modifica utilizatori. E destul de usor de facut, dar daca dorim sa integram Pure-FTPd intr-un sistem complex de gestiune a utilizatorilor parca nu mai e la fel de placut sa apelam functii. Pentru situatii de genul acesta exista suport pentru MySQL in Pure-FTPd. Pentru a ne folosi de MySQL avem de urmat cativa pasi simpli: Pregatim baza de date Ca sa ne putem folosi de MySQL avem nevoie de o baza de date care sa contina o tabela si un utilizator care sa poata accesa baza de date MySQL. Pentru asta ne conectam la consola MySQL si rulam urmatoarele comenzi: a92c7c18037fe5b2493d8d39a9cd5f20002 Acum avem baza de date ftpusers iar pentru accesarea acesteia folo... Mai departe »

Cum blocam expedierea de mesaje false cu Exim

Sergiu Tot — Fri, 14 May 2010 22:38:34 +0000

Pe serverele shared o problema mare o reprezinta mesajele cu expeditor falsificat. De obicei aceste mesaje sunt trimise de cei care se ocupa de spam sau phishing, dar se pot intalni si cazuri in care mesajele sunt falsificate fara rea intentie – ex. un utilizator vrea sa primeasca rapoarte pe mail, dar injecteaza un header “From: exemplu@yahoo.com” pentru ca mesajul sa para a fi trimis de pe una din adresele personale. Spun ca aceste mesaje reprezinta o problema pentru ca nu de putine ori sunt marcate ca spam de filtrele antispam de pe serverul destinatar. De exemplu, daca un utilizator incearca sa trimita un mesaj cu headerul modificat pentru a aparea ca fiind trimis de la adresa exemplu@gmail.com iar inregistrarea SPF de la gmail.com nu mentioneaza IP-ul expeditor ca fi... Mai departe »

Server proxy SOCKS5 in FreeBSD

Sergiu Tot — Thu, 25 Mar 2010 04:52:25 +0000

Utilizarea SOCKS5 e probabil una din cele mai convenabile metode de a crea un proxy si asta pentru ca un setup se poate face rapid iar anonimitatea e 100%. In FreeBSD putem folosi nylon, un server proxy care suporta SOCKS4 si SOCKS5. Instalarea se face din porturi: a92c7c18037fe5b2493d8d39a9cd5f20009 Dupa instalare, pentru ca serverul SOCKS5 sa poata fi pornit, trebuie sa adaugam in fisierul /etc/rc.conf urmatoarea linie: a92c7c18037fe5b2493d8d39a9cd5f20010 Acum mai trebuie sa configuram serverul, inainte de a-l porni. Pentru asta editam fisierul /usr/local/etc/nylon.conf: a92c7c18037fe5b2493d8d39a9cd5f20011 Pentru Binding-Interface si Connecting-Interface trecem interfata de retea pe care se face conexiunea. Daca serverul proxy va fi folosit pentru a face legatura intre LAN si WAN putem s... Mai departe »

Trucuri cu mod_setenvif

Sergiu Tot — Tue, 05 Jan 2010 16:17:48 +0000

In Apache exista un set de instructiuni oferite de modulul mod_setenvif care sunt foarte utile in filtrarea utilizatorilor sau pentru crearea de variabile de mediu care pot fi accesate de alte module sau de scripturile server-side utilizate. mod_setenvif ne pune la dispozitie patru directive cu ajutorul carora putem crea variabile de mediu in functie de anumite aspecte ale cererii: BrowserMatch BrowserMatchNoCase SetEnvIf SetEnvIfNoCase BrowserMatch verifica identificatorul browserului, identificatorul User-Agent, si creaza o variabila de mediu in functie de sirul de identificare. De exemplu, daca dorim restrictionarea unei aplicatii la anumite browsere putem face urmatoarele reguli: a92c7c18037fe5b2493d8d39a9cd5f20013 In cadrul aplicatiei folosite vom putea citi variabila de mediu ̶... Mai departe »

Formular de contact

Sergiu Tot — Wed, 30 Sep 2009 11:01:12 +0000

In general siteurile detin pe langa sectiunile cu un continut specific si o pagina de contact care contine datele de contact ale firmei si de obicei un formular de contact pentru a livra rapid mesaje. Un astfel de formular se poate crea relativ usor folosind functia mail() din PHP dar pentru a ne asigura ca livrarea mesajului se face in conditii bune trebuie sa avem in vedere cateva lucruri. Ca sa structuram putin ideea inainte de a ne pune pe treaba, sa facem o lista cu ce ar trebui sa faca un formular de contact: sa preiau datele completate de utilizator; se valideaza datele pentru a evita un potential atac; se verifica daca expeditorul mesajului este om sau robot folosind CAPTCHA; se incearca livrarea mesajului; afisam o confirmare a livrarii mesajului sau o lista de erori. Inainte de... Mai departe »

Scanarea porturilor cu nmap

Sergiu Tot — Thu, 24 Sep 2009 22:54:32 +0000

Cand vine vorba de securitate e bine sa fim cu un pas in fata atacatorilor si un bun punct de pornire ar fi scanarea periodica a propriilor servere pentru a vedea ce informatii poate afla un eventual atacator. Serviciile care ruleaza pe server pot fi identificate dupa portul pe care se asculta conexiunea si dupa semnatura serviciului la care se conecteaza scanerul. Cea mai buna ustensila pentru scanarea porturilor este “nmap“. Este o ustensila prea complexa ca sa imi permit sa o prezint in detaliu asa ca voi fi scurt si prezint doar cateva comenzi care e bine sa devina si pentru voi o rutina saptamanala. a92c7c18037fe5b2493d8d39a9cd5f20029 Cu comanda de mai sus scanam sistemul local si vedem ce porturi sunt deschise. Daca dorim sa facem scanarea pe un alt sistem inlocuim “... Mai departe »

De ce NU folosesc mod_userdir

Sergiu Tot — Fri, 28 Aug 2009 23:49:00 +0000

De fiecare data cand am de pregatit un server web pentru un client stau cu el la o discutie sa pregatim prima data pe hartie feature-urile serverului care urmeaza sa fie lansat. De foarte multe ori intra in discutie mod_userdir, un modul apache care permite oricarei persoane care are un cont pe server web sa isi tina propriul site in public_html fara a fi necesara crearea unei zone virtuale. Daca pe un server cu adresa IP 12.34.56.78 e instalat mod_userdir, un utilizator care are numele de utilizator lamp va putea sa isi acceseze siteul introducand in browser adresa: a92c7c18037fe5b2493d8d39a9cd5f20036 Rezultatul va fi continutul directorului public_html din directorul de baza (homedir) al utilizatorului. Util, nu-i asa? Instalarea mod_userdir nu e complicata si pe langa liniile LoadModule... Mai departe »

Cum facem ca mailurile sa ajunga in inbox, nu in spam

Sergiu Tot — Fri, 28 Aug 2009 13:14:27 +0000

Daca va ocupati de dezvoltarea siteurilor sigur vi se intampla sa trimiteti mailuri din cadrul unui script PHP. O problema des intalnita este faptul ca mesajele livrate nu ajung in Inbox, cum ar trebui sa ajunga in mod normal, ci ajung in Spam sau Bulk sau, in cazuri mai grave, nu ajung deloc. Motivul pentru care mesajele nu sunt livrate in Inbox este detectarea mesajului ca Spam de catre filtrele antispam. Ca sa putem evita problema, sa vedem mai intai cum functioneaza un filtru antispam. Cand un mail ajunge pe serverul destinatar filtrele antispam, de obicei SpamAssassin, verifica mesajul. In general cand se trimit mesaje de tip spam sunt cateva elemente care se repeta cum ar fi rescrierea headerelor, existenta unor cuvinte sau siruri de caractere (ex. Viagra), mascarea expeditorului etc... Mai departe »

FreeBSD: Updatarea pachetelor si a sistemului de operare

Sergiu Tot — Tue, 25 Aug 2009 21:39:54 +0000

Updatarea si mentinerea sistemului de operare si a pachetelor instalate la zi este o operatiune usoara, asa cum e aproape orice operatiune de administrare in FreeBSD. Importanta mentinerii la zi a unui sistem de operare sau a unei aplicatii nu are rost sa fie dezbatuta. Se stie ca e importanta atat pentru securitate cat si pentru fiabilitate. Pentru a mentine updatat la zi un server care ruleaza FreeBSD vom avea nevoie de cinci comenzi: freebsd-update – un utilitar care downloadeaza si instaleaza updateurile sistemului de operare in mod binar. portsnap – pentru mentinerea la zi a sistemului de porturi. portaudit – pentru verificarea aplicatiilor instalate in baza de date cu aplicatiile vulnerabile. pkg_version – pentru compararea versiunii pachetelor instalate cu u... Mai departe »

Conexiune securizata pentru orice aplicatie cu SSH

Sergiu Tot — Thu, 20 Aug 2009 22:57:31 +0000

Daca sunteti genul de om care isi ia laptopul in spate si ii place sa calatoreasca sau sa se plimbe prin oras sa stea la o cafea intr-un local si sa isi faca treaba remote cu siguranta v-ati pus cel putin o data intrebari legate de securitatea datelor care le transmiteti catre Internet si confidentialitatea informatiilor care le transmiteti pe porturi nesecurizate. Adevarul e ca in locurile publice orice om care detine cunostinte despre retele peste nivel mediu se poate descurca sa instaleze un sniffer pe un gateway sau o schema de routare prin care sa preia pachetele care se plimba prin retea. Ca sa dau cateva exemple, toate mailurile care le trimiteti din Outlook sau alt client de mail sunt transmise pe portul 25, port nesecurizat, si implicit cineva cu un sniffer poate citi in clar text... Mai departe »

FTP Layer pe Joomla

Sergiu Tot — Thu, 13 Aug 2009 14:27:10 +0000

Joomla, la fel ca multe alte CMS-uri open source, a fost creat pornind de la ideea ca serverul web are suport PHP folosind SuPHP sau CGI/FastCGI+SuExec cazuri in care utilizatorul sub care ruleaza threadul serverului web este utilizatorul proprietar al fisierului care urmeaza sa fie interpretat. Daca serverul web are suport PHP folosind DSO (mod_php in Apache) treburile se complica pentru ca scriptul va fi interpretat de utilizatorul folosit de serverul web, de obicei nobody, utilizator care are drepturi limitate asupra fisierelor si directoarelor utilizatorului. Drept urmare apar cateva neplaceri care sunt derutante pentru webmasterii mai putin experimentati. Problemele cel mai des intalnite sunt setarea permisiunilor corecte pentru anumite fisiere sau directoare si conflictul de utilizat... Mai departe »