udev "Local Privilege escalation" caurums
2009-04-20 21:33:57 UTC by maris in security,Tad nu lūk šodien apmeklējot http://www.securityfocus.com/bid/34536/info, atradu šādu atklājumu. Šī ievainojamība ļauj lokālam lietotājam iegūt root tiesības. Ja Jūs uzturat dalīto hostingu, tad jebkurš jūsu lietotājs var ieliet šādu exploitu un izpildīt sagatavotu kodu ar root tiesībām. Risinājums ir atjaunot udev (ievainojamā versija udev124). Eksploits strādā arī uz hardened kodola. Vienīgi, ja tiek izmanots hardened kodols, tad uzbrukums tiek apgrūtināts, jo nevar uzzināt netlink PID (gadījumā, ja ieslētgs /proc restrictions), kā arī uzbrukumu padarītu prakstiski neiespējamu, ja lietotājs būtu ievietots chroot-jail vidē.
(0 komentāri)IAMX
2009-04-17 21:51:27 UTC by maris in Mūzika,Kādu pusgadu iepriekš viens draugs iedeva man šā unikālā izpildītāja pāris kompozīcijas. Viņa mūzika mani aizķēra, tas ir viens no labākajiem "electro/synth". Nesen iznāca jauns treks "Think Of England", kas turpina labo stilu.
(1 komentārs)Lejupielāžu ierobežošana ar Iptables connbytes un iproute2
2009-03-21 14:24:00 UTC by maris in Linux,Web lapu pārlūkošanā katra savienojuma laikā ielādēto datu apjoms ir samērā neliels - līdz 10M, ja ir jāielādē kads flash objekts, bet lejupielādējot kādu failu savienojuma laikā pārraidīto datu apjoms ir vienāds ar faila apjomu. Ja organizācijā, kurā Jūs strādājat, ir "slikts" interneta pieslēgums, vai arī "truba" ir vienkārši aizsista ar lejupielādēm, tad ir diezgan vienkāršs, bet effektīvs risinājums - iptables modulis connbyte. Kas skaita savienojuma laikā pārraidīto datu apjomu un pēc norādītās robežas sasniegšanas kautko dara ar šo savienojumu. Labākais risinājums ir marķēt paketes un vēlāk traffic shaper'ī laist cauri lēnai caurulei (pipe).
iptables -A POSTROUTING -d jūsu_iekšējais_tīkls -m mark --mark 0x0 -m connbytes --connbytes 10485760:4294967295 --connbytes-mode bytes --connbytes-dir both -j MARK --set-mark 21
Dotajā piemērā tiks marķētas tikai nemarķētās paketes, kad savienojuma likā tiks pārraidīti vairāk nekā 10M. Vēlak konfigurējam šeiperi:
BW="8192kbit"
IF="eth0"
tc qdisc add dev $IF root handle 1:0 cbq avpkt 1000 bandwidth $BW
tc class add dev $IF parent 1:0 classid 1:1 cbq rate $BW allot 1500 prio 5 bounded isolated
tc qdisc add dev $IF parent 1:1 handle 16:0 sfq perturb 10
tc class add dev $IF parent 1:0 classid 1:4 cbq rate 64kbit allot 1500 prio 8 bounded isolated
tc filter add dev $IF parent 1:0 protocol ip prio 60 handle 21 fw flowid 1:4
BW ir jānorāda sava interneta pieslēguma reāla caurlaidība un IF interfeiss uz kura notiks šeipings.
tc qdisc add dev $IF root handle 1:0 cbq avpkt 1000 bandwidth $BW tiek uzstādīts galvenais paips kura caurlaidība ir jūsu interneta pieslēguma caurlaidība.
tc class add dev $IF parent 1:0 classid 1:1 cbq rate $BW allot 1500 prio 5 bounded isolated
tiek uzstādīta klasse, kas būs noklusētā, kuras caurlaidība ir vienāda ar saknes paipa caurlaidību.
tc qdisc add dev $IF parent 1:1 handle 16:0 sfq perturb 10
ar šo tiek pateikts, ka visiem savienojumiem vienāda prioritāte un truba tiek dalīta vienlīdzīgi.
tc class add dev $IF parent 1:0 classid 1:4 cbq rate 64kbit allot 1500 prio 8 bounded isolated
tc filter add dev $IF parent 1:0 protocol ip prio 60 handle 21 fw flowid 1:4 tad tiek izveidota jauna klasse kuras caurlaidība ir 64k, un visas markētas paketes tiek laistas caur šo klassi.
tīkla ip adrešu savākšana
2009-03-13 22:30:22 UTC by maris in Linux, Skripti,kā savākt, tīklā esošos, ip< ->mac
for h in `seq 1 254`; do ping -c1 192.168.1.${h};done
arp -a | grep eth0 |awk -F ' ' '{print $2,$4}' | tr -d '()' | sort -t . -n -k 4
iptables -t nat -j DROP. !!! DEPRECATED !!!
2009-03-12 15:35:54 UTC by maris in Linux,Pirmā vieta filtrā kur nokļūst pakete ir tabula NAT un ķēdes posms PREROUTING. Visas nevēlamās konekcijas parasti tiek filtrētas tieši te, pakete tiek nomesta maksimāli ātri, lai nenotiktu nekāda lieka apstrāde. Bet, tikko atjaunināju iptables līdz iptables-1.4.2-r2, pārlādējot saglabātos ruļļus iptables paziņo lūk ko:
The "nat" table is not intended for filtering, hence the use of DROP is deprecated and will permanently be disabled in the next iptables release. Please adjust your scripts.
Neko darīt, līdz ar to nācās pārnest no nat uz filter visus ruļļus kuros notika kāda filtrācija. Iesaku to izdarīt ari viesiem, jo pēc nākamās relīzes šis tas var pārstāt strādāt.