Security

HOWTO: Fix Lenovo ThinkAdvantage Update caused boot problem for FreeBSD boot manager

| Security | #bug | #ThinkPad, Lenovo

It seems that a recent ThinkAdvantage update will cause FreeBSD boot manager to have some problem (A “Drive 0” will appear as fifth option, and all other options would not work except a beep). It is possible to recover from this situation by using FreeBSD LiveFS disc (for amd64 platform):

Start from CD-ROM;
Choose “Fixit” and “CD-ROM”;
Now you get the command line prompt;
Mount your hdd to /mnt/;
mv /boot /boot.old && ln -s /mnt2/boot /boot
mv /usr /usr.old && ln -s /mnt2/usr /usr
“boot0cfg -B /dev/ad4” (Note: your SATA controller should be in AHCI mode, otherwise it should be ad0)
Then you will be able to use boot0cfg to configure the boot partition. Reboot system then everything will go well.

阅读全文…( 本文约 150 字,阅读大致需要 1 分钟 )

让多个 FreeBSD jail 共享同一套 MTA

| Security | #FreeBSD | #jail | #postfix | #sendmail

FreeBSD 从 4.0 版本开始提供了非常强大的虚拟化工具—-jail。对于许多应用来说,jail能够在确保应用程序之间的有效隔离的前提下,最大限度地发挥硬件性能(每个jail不会单独运行自己的内核),而在 jail 内部看来,则基本上与真正的服务器无异,且性能损失很小;通过内核提供的 ABI 模拟,jail能够提供 FreeBSD 早期版本,以及 Linux 2.4.x 或 2.6.x 的兼容能力。

许多传统的 Unix 应用程序假定系统中存在一个可用的 MTA。FreeBSD 中内建了 sendmail,但在 jail 中配置 sendmail 会遇到一个比较麻烦的问题,即在 jail 中,127.0.0.1 指代的是 jail 的 IP 地址而不是本地 loopback 设备。换言之,原本监听本地 socket 的 MTA 变成了监听 jail 对外的 IP,这会是一个安全隐患。

阅读全文…( 本文约 499 字,阅读大致需要 1 分钟 )

Mailman对退信的反DoS机制

| Security | #bounce | #handling | #mailman | #security

虽然不做邮件很久了,不过自己有在维护一些社区的邮件列表系统,所以对这方面也比较关注。

以前一直没有仔细研究过Mailman关于退信的处理,最近遇到了一些问题,也看了一些 RFC,这里面提到了一个问题,即,与所有其他的电子邮件类似,退信也是可以伪造的。而对于邮件列表而言,出于建设和谐社会的考虑,往往希望对于经常退信的订户自动采取暂停订阅甚至退订的动作,以减少双方不必要的邮件投递流量。

阅读全文…( 本文约 394 字,阅读大致需要 1 分钟 )

arp反攻

| Security | #arp | #attack | #FreeBSD

如果拥有一台以上的服务器,采用arp反攻能够在你冲到机房把那台有问题的服务器的主人抓住吊起来打之前,暂时占据主动。

具体做法是,让这些机器去publish网关和其他节点的正确arp信息。具体细节,请参见 FreeBSD 的 arp(8) 联机手册。

阅读全文…( 本文约 147 字,阅读大致需要 1 分钟 )

本blog关闭评论和traceback功能

| Security

欢迎大家发邮件到 d@delphij.net 进行交流。

参与评论

计算技术的发展真是太NB了……

| Security

在不太远的过去,我曾经一度错误地认为保存一大堆MD5串对应的密码,由于所需存储极其昂贵,因而是不现实的,然而事情并不总是这样,计算技术的发展已经超越了我们的想象,今天听jh说,现在已经有达人提供MD5破解服务了。

阅读全文…( 本文约 220 字,阅读大致需要 1 分钟 )

为什么说基于ActiveX的「安全控件」一定是不安全的?

| Security

前几天听 bugs 说,国内某C2C网站打算这个月开始禁止Firefox用户登录其网站,而说到原因,又是「出于用户安全考虑」,「Firefox无法支持其‘安全控件’」云云。

我没用过这家公司的服务,因此我也不想就这家公司发表什么评论。我觉得很有意思的一件事是,似乎大家都很信任所谓「安全控件」。

那么,什么是「安全」控件呢?简单地说,这类控件是由特定商家发布的,基于ActiveX技术实现的一种Internet Explorer插件。尽管不同的公司会以不同的方式进行实现,但这类插件通常会实现的功能,不外乎以下几种:

很遗憾,「安全控件」往往并不能理想地达到上述目的。更有甚者,事实上这些控件几乎一定会破坏系统的安全性。

阅读全文…( 本文约 1861 字,阅读大致需要 4 分钟 )

水木MyWallet版进版画面报道某银行‘证书链出错’

| Security

进版画面说:某银行专业版「证书链出错」,暂时不能登录,请耐心等待。不用打9***5了,很难打,而且他们也不懂,提供不了任何有用的信息。基金和银证转帐用电话凑合一下,查询、小额支付用大众版将就一下——9***5如是说。

阅读全文…( 本文约 268 字,阅读大致需要 1 分钟 )

mod_security2看来代码品质不是很高啊

| Security

去掉以后,下列症状消失:

pid 11673 (httpd), uid 80: exited on signal 11
pid 25946 (httpd), uid 80: exited on signal 11
pid 26292 (httpd), uid 80: exited on signal 11
pid 13623 (httpd), uid 80: exited on signal 11
pid 27096 (httpd), uid 80: exited on signal 11
pid 31838 (httpd), uid 80: exited on signal 11
pid 30847 (httpd), uid 80: exited on signal 11
pid 38579 (httpd), uid 80: exited on signal 11
pid 38269 (httpd), uid 80: exited on signal 11
pid 34011 (httpd), uid 80: exited on signal 11
pid 38698 (httpd), uid 80: exited on signal 11
pid 32137 (httpd), uid 80: exited on signal 11
pid 38754 (httpd), uid 80: exited on signal 11
pid 38756 (httpd), uid 80: exited on signal 11
pid 38755 (httpd), uid 80: exited on signal 11
pid 38759 (httpd), uid 80: exited on signal 11
pid 38760 (httpd), uid 80: exited on signal 11
pid 39259 (httpd), uid 80: exited on signal 11
pid 39253 (httpd), uid 80: exited on signal 11

阅读全文…( 本文约 214 字,阅读大致需要 1 分钟 )

Google的一个小功能

| Security

感觉挺orz的,今天搜索某词汇的时候,找到的网站被注了一个小提示,说 网站可能存在危害您计算机系统安全的内容

其实从技术上做这件事并不难(也许增加一倍的搜索负载,也许这都不需要),我比较佩服的是做这件事的想象力。很多时候一个优秀的产品,并不一定是采用了多先进的技术而优秀的,先进的技术固然重要,但如何整合它们,产生更好的价值,似乎比一味改进技术本身更重要。

参与评论