Archive for the 'Security' Category

jail(8) 裡面 make world

前陣子因為某些因素,不想升級 host 的 world,所以就直接在 jail 裡面 buildworld/installworld,大致上沒有甚麼問題,要注意的地方是在 host 端,要把底下這個 sysctl 打開

security.jail.chflags_allowed

否則在 installworld 的時候,會沒有辦法把一些有 schg flags 的檔案蓋過去。弄好後,就記得關起來。

Windows XP SP2 的防火牆

在裝 SP2 之後,他預設會把東西都擋光光,當有不在名單上的程式要 LISTEN 的話,他會問你要封鎖還是開放還是等等再說,而根據跳出來那個窗的說明是 Windows「現在已經封鎖」。

我之前在寫某門課作業的時候,才發現當他跳出來那個窗的時候,根本就還沒做動作,我的程式還是跑的很快樂.. !@#$%

配合 firewall 擋亂掃 ssh 的方法

之前我知道 ports 裡面有一個 security/bruteforceblocker 可以用,可是他用 pf,而我不會用…。剛剛找了一下,發現一個叫做 sshit 的東西,是用 ipfw 做的,而且還可以設定多久後拿掉 firewall rule。剛剛用了一下,感覺也不錯。

UPDATE: 結果他不知道為什麼會生出一大堆(70~80 隻)perl 在那邊 idle,看了相當不爽。

UPDATE: 這個問題後來 (2006 or 2007) 已經修正了,現在用起來沒什麼問題。

FreeBSD 換 Security Officer

之前的 Security Officer 是 Jacques Vidrine (nectar),他總共當了三年多(43 個月)。前幾天,mailing 上說要換 Colin Percival 剛 Security Officer 了,他就是之前寫 HTT 跟 Cache 那篇文章的作者,也是寫 FreeBSD Update 跟 portsnap 等等好東西的作者。

其他的部份可以看 New FreeBSD Security Officer 這篇。

log 檔

我的習慣是 log 會留個半年到一年左右,而某地方則是把 log 丟到某機器留兩年(呃,硬碟太大…)。我的認為是 log 該留的就要留,不要像某人 rotate 超快… !@#$%

Open Source Spyware…

剛在 gslin’s blog 看到這篇,這實在是…。剛把 code 看完,以後幹壞事就方便多了? XD

附註:原本的文章在 The first open source spyware

WEP is too weak

Feds Hack Wireless Network in 3 Minutes

ypbind -m

剛發現 ypbind 有加 -m 的時候,如果原本 bind 的 fail,他會花較久的時候才會 bind 到另外一台。還沒空仔細研究狀況,不過現在拿掉 -m 了。

5.3 的 sshd_config

最近系上工作站換成 5.3-RELEASE 之後,常會發生 ssh 連不到的狀況,剛仔細研究了一下 sshd_config 發現是 MaxStartup 的預設有被改過。

以前那個值是 10:30:60 現在是 10,差別是後者是有 10 個 sshd 在等 auth 的時候, 會不給新的連,而前者是有 10 個的時候,有 30% 的機率不給連,而到了 60 隻在等 auth 的時候,就通通不給連。

跑 awstats

剛才把我有跑 awstats 的地方,通通改成用 static output 的方式,而且從 web 端是完全 access 不到 awstats.pl 的(我根本沒開那個目錄出來… XD),這樣子應該可以省去不少麻煩 :D