https://opennet.ru/openforum/vsluhforumID3/70980.html Вышел (http://lurker.clamav.net/message/20100920.182819.5c96ca5c.en.html#clamav-announce) корректирующий релиз свободного антивирусного пакета ClamAV 0.96.3 (http://www.clamav.net/) в котором внесено 26 изменений (http://git.clamav.net/gitweb?p=clamav-devel.git;a=blob_plain;f=ChangeLog;hb=clamav-0.96.3). В представленном обновлении устранена опасная уязвимость (http://www.opennet.ru/opennews/art.shtml?num=28021) во встроенном распаковщике сжатых данных в формате bzip2, позволяющая добиться выполнения кода при проверке специально подготовленного файла. Также отмечается исправление ряда проблем в PDF-парсере, которые судя по всему также могут привести к проблемам безопасности (исправлена ошибка проверки на допустимость границ параметров).<br><br>URL: http://lurker.clamav.net/message/20100920.182819.5c96ca5c.en.html#clamav-announce<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=28070<br> https://opennet.ru/openforum/vsluhforumID3/70980.html#41 Mon, 11 Oct 2010 05:48:19 GMT &gt;&gt; Охотно верю. Но возникают следующие вопросы:<br>&gt;&gt; 1. Оправдано ли такое усложнение в конкретном случае?<br>&gt; Ну есть готовая связки - копипасти сколько угодно. Кому как удобнее.<br><br>Да я понимаю... Но вот сам алгоритм "раз в час на двадцать секунд" и т.п. что-то мне кажется неоправданным усложнением. Я вот не закрываю ssh порт ничем и сплю спокойно.<br><br>&gt;&gt; 2. Не логичнее ли такой сложный функционал реализовать внешними средствами?<br>&gt; Не логичнее. В фаерволле всё делается элементарно, быстро и элегантно, и работает<br>&gt; в полном kernel space.<br><br>Во-первых, не вижу преимуществ от kernel space (во внешних средствах тоже не на каждый пакет переключение контекстов происходит), а во-вторых, сомненеваюсь, что в iptables такая логика будет просто/быстро/элегантно реализована. А если я еще историю захочу где хранить, да между перезагрузками или еще что? Тоже iptables в структурах ядра сохранит? <br><br>&gt; Тем более внешние средства НИКАК не помогут, если допустил косяк в правилах<br>&gt; фаерволла, про что мы собственно и упоминали. https://opennet.ru/openforum/vsluhforumID3/70980.html#40 Sun, 10 Oct 2010 13:42:21 GMT &gt;&gt; Во-первых не весь фаерволл, а только один порт и только для одного<br>&gt;&gt; клиента. Во-вторых у меня уже есть готовая комбинация port-knocking-а, открывающая порт<br>&gt;&gt; только на 20 секунд максимум раз в час. К тому же<br>&gt;&gt; в этой комбинации при попытке стучаться на соседние порты клиент банится<br>&gt;&gt; на этот самый час, поэтому сканер портов скорее приведёт к временному<br>&gt;&gt; бану, а не наоборот.<br>&gt; Охотно верю. Но возникают следующие вопросы:<br>&gt; 1. Оправдано ли такое усложнение в конкретном случае?<br><br>Ну есть готовая связки - копипасти сколько угодно. Кому как удобнее.<br><br>&gt; 2. Не логичнее ли такой сложный функционал реализовать внешними средствами?<br><br>Не логичнее. В фаерволле всё делается элементарно, быстро и элегантно, и работает в полном kernel space.<br><br>Тем более внешние средства НИКАК не помогут, если допустил косяк в правилах фаерволла, про что мы собственно и упоминали. Разве что сброс фаерволла по кронтабу :)<br><br>&gt;&gt; при настройке шейпера приходилось всё это разделять (особенно когда используется прозрачный<br>&gt;&gt; https://opennet.ru/openforum/vsluhforumID3/70980.html#39 Sun, 10 Oct 2010 03:55:53 GMT &gt; Во-первых не весь фаерволл, а только один порт и только для одного<br>&gt; клиента. Во-вторых у меня уже есть готовая комбинация port-knocking-а, открывающая порт<br>&gt; только на 20 секунд максимум раз в час. К тому же<br>&gt; в этой комбинации при попытке стучаться на соседние порты клиент банится<br>&gt; на этот самый час, поэтому сканер портов скорее приведёт к временному<br>&gt; бану, а не наоборот.<br><br>Охотно верю. Но возникают следующие вопросы:<br>1. Оправдано ли такое усложнение в конкретном случае?<br>2. Не логичнее ли такой сложный функционал реализовать внешними средствами?<br><br>&gt; при настройке шейпера приходилось всё это разделять (особенно когда используется прозрачный<br>&gt; прокси, задача неприятным образом усложняется). Это мелочь конечно, но, как говорится,<br>&gt; "с миру по нитке".<br><br>А зачем шейпить файерволлом прозрачный прокси, если в том же squid есть delay pools, которые справляются с этой задачей не в пример лучше и гибче?<br> https://opennet.ru/openforum/vsluhforumID3/70980.html#38 Sat, 09 Oct 2010 05:44:18 GMT &gt;&gt; Ну почему, просто держишь в правилах фаерволла в начале port-knocking, а потом<br>&gt;&gt; всё остальное и балуйся сколько хочешь :)<br>&gt; И любой залетный дятел со сканером портов отключает весь фаерволл на раз-два.<br>&gt; Отказать.<br><br>Во-первых не весь фаерволл, а только один порт и только для одного клиента. Во-вторых у меня уже есть готовая комбинация port-knocking-а, открывающая порт только на 20 секунд максимум раз в час. К тому же в этой комбинации при попытке стучаться на соседние порты клиент банится на этот самый час, поэтому сканер портов скорее приведёт к временному бану, а не наоборот.<br><br>&gt;&gt; Очень даже очевидные, IMHO. Один раз посмотреть на http://upload.wikimedia.org/wikipedia/ru/a/ad/Netfilter-diagram-rus.png<br>&gt;&gt; и сразу всё понятно, IMHO<br>&gt; Нет.<br><br>Ну как знаете :)<br><br>&gt;&gt; Я ж только что пояснил. Один раз потратить время, ради того чтобы<br>&gt;&gt; в будущем его тратить ещё меньше, чем предполагалось изначально.<br>&gt; Куда уж еще меньше?<br><br>Ну, например, в iptables мне никогда не приходилось вручную разделять приходящи https://opennet.ru/openforum/vsluhforumID3/70980.html#37 Thu, 07 Oct 2010 07:35:24 GMT &gt; Ну почему, просто держишь в правилах фаерволла в начале port-knocking, а потом<br>&gt; всё остальное и балуйся сколько хочешь :)<br><br>И любой залетный дятел со сканером портов отключает весь фаерволл на раз-два.<br>Отказать.<br><br>&gt; Очень даже очевидные, IMHO. Один раз посмотреть на http://upload.wikimedia.org/wikipedia/ru/a/ad/Netfilter-diagram-rus.png<br>&gt; и сразу всё понятно, IMHO<br><br>Нет.<br><br>&gt; Я ж только что пояснил. Один раз потратить время, ради того чтобы<br>&gt; в будущем его тратить ещё меньше, чем предполагалось изначально.<br><br>Куда уж еще меньше?<br><br>&gt; сразу со всем освоился и полюбил iptables.<br><br>Ну и на здоровье. Я вот вряд ли его полюблю.<br>Ибо монстроид.<br><br>&gt;&gt;&gt; Что костыль? Использование "ipset"? Это, IMHO, примерно такой же "костыль", как использование<br>&gt;&gt; Ну да. В стандартную поставку той же федоры не входит.<br>&gt; Ну есть дистрибутивы, где и утилита "iptables" не поставляется по умолчанию. <br><br>[root@spring alex]# yum list iptables<br>Загружены модули: presto<br>Установленные пакеты<br>iptables.i686 1.4.7-2.fc13 @a https://opennet.ru/openforum/vsluhforumID3/70980.html#36 Thu, 30 Sep 2010 14:52:06 GMT &gt;&gt; Я вообще-то не про брут-форс, а про безопасную настройку фаерволла (т.е. чтобы<br>&gt;&gt; ssh не отвалился). Хотя если уж на то пошло, то перебора<br>&gt;&gt; паролей это тоже касается :)<br>&gt; Если накосячить с настройкой фаервола, то и порт-кнокинг не поможет. А если<br>&gt; фаерволом не закрывать ssh, то порт-кнокинг и не нужен.<br><br>Ну почему, просто держишь в правилах фаерволла в начале port-knocking, а потом всё остальное и балуйся сколько хочешь :)<br><br>&gt;&gt; Честно сказать, я не понимаю про какие усложнения речь. :)<br>&gt; Неочевидные эти цепочки INPUT,OUTPUT, PREROUTING, POSTROUTING etc отсутствие номеров<br>&gt; правил по умолчанию и т.п.<br><br>Очень даже очевидные, IMHO. Один раз посмотреть на http://upload.wikimedia.org/wikipedia/ru/a/ad/Netfilter-diagram-rus.png и сразу всё понятно, IMHO<br><br>&gt;&gt; Это как тензорные обозначения взамен векторным во многих областях физики. Надо не<br>&gt;&gt; полениться и один раз въехать, что относительно просто, и потом будет<br>&gt;&gt; уже проще преобразовывать различные выражения, <br>&gt; Зачем, если и так все работает? У ме https://opennet.ru/openforum/vsluhforumID3/70980.html#35 Thu, 30 Sep 2010 08:54:07 GMT &gt; Я вообще-то не про брут-форс, а про безопасную настройку фаерволла (т.е. чтобы<br>&gt; ssh не отвалился). Хотя если уж на то пошло, то перебора<br>&gt; паролей это тоже касается :)<br><br>Если накосячить с настройкой фаервола, то и порт-кнокинг не поможет. А если фаерволом не закрывать ssh, то порт-кнокинг и не нужен.<br><br>&gt; Честно сказать, я не понимаю про какие усложнения речь. :)<br><br>Неочевидные эти цепочки INPUT,OUTPUT, PREROUTING, POSTROUTING etc отсутствие номеров правил по умолчанию и т.п. <br><br>&gt; Это как тензорные обозначения взамен векторным во многих областях физики. Надо не<br>&gt; полениться и один раз въехать, что относительно просто, и потом будет<br>&gt; уже проще преобразовывать различные выражения, <br><br>Зачем, если и так все работает? У меня есть другие задачи, на которые надо тратить время, чем еще штудировать всякие неочевидные премудрости iptables, для которых надо еще и линукс громоздить.<br><br>&gt; Т.е. другими словами, лично мне субъективно кажется, что с iptables проще работать,<br>&gt; чем с ipfw при разумно достатоно большом https://opennet.ru/openforum/vsluhforumID3/70980.html#34 Wed, 29 Sep 2010 20:20:15 GMT &gt;&gt; Ну, я portknocking применяю только для обхода случайного бана. Т.е. когда настраиваю<br>&gt;&gt; фаерволл удалённо, port-knocking может быть очень полезным и геморроиться с парсингом<br>&gt;&gt; логов - вообще никакого желания ради такой мелочи :)<br>&gt; После того, как я перевешал sshd на другой порт, проблема распухания лога<br>&gt; от перебора паролей перестала меня беспокоить безо всякого фаервола. А если<br>&gt; пароль 123, то и port-knocking не спасет.<br><br>Я вообще-то не про брут-форс, а про безопасную настройку фаерволла (т.е. чтобы ssh не отвалился). Хотя если уж на то пошло, то перебора паролей это тоже касается :)<br><br>&gt;&gt; Вы как-то сильно унизили возможности hashlimit и recent. Например то, что продемонстрировал<br>&gt; Это не окупает усложнения, которое вносит iptables. Слишком редко это нужно. А<br>&gt; когда нужно можно и с syslog заморочиться.<br><br>Честно сказать, я не понимаю про какие усложнения речь. :)<br>Это как тензорные обозначения взамен векторным во многих областях физики. Надо не полениться и один раз въехать, что относительно про https://opennet.ru/openforum/vsluhforumID3/70980.html#33 Wed, 29 Sep 2010 08:49:41 GMT &gt; Ну, я portknocking применяю только для обхода случайного бана. Т.е. когда настраиваю<br>&gt; фаерволл удалённо, port-knocking может быть очень полезным и геморроиться с парсингом<br>&gt; логов - вообще никакого желания ради такой мелочи :)<br><br>После того, как я перевешал sshd на другой порт, проблема распухания лога от перебора паролей перестала меня беспокоить безо всякого фаервола. А если пароль 123, то и port-knocking не спасет.<br><br>&gt; Вы как-то сильно унизили возможности hashlimit и recent. Например то, что продемонстрировал<br><br>Это не окупает усложнения, которое вносит iptables. Слишком редко это нужно. А когда нужно можно и с syslog заморочиться.<br><br>&gt;&gt; А какое-то подобие Lookup Tables в iptables есть?<br>&gt; Ну, во-первых в iptables есть цепочки, которые, к сожелению, я так понял<br>&gt; вам не очень нравятся. А во-вторых для особых случаев всегда есть<br>&gt; "ipset" (http://www.opennet.ru/prog/info/2942.shtml).<br><br>Костыль же.<br>