Security

根据协议栈特征判断操作系统

2006-10-24 06:18 | Security

传统上判断操作系统是通过扫描进行的，例如，发一个SYN+FIN的包，看对方如何回应，由于各式各样的原因，包括性能考虑，或编程上的疏忽，这些包会留有一些特征。这类典型的应用是nmap和NetCraft。

这类方法有它的作用，对于尝试攻击的人来说，这些特征能够给他们相当多的信息，这些信息甚至足以让攻击者找到一击毙命的攻击方法(例如，发现那是一台没有打过补丁、没有防火墙的Windows)。然而，它也有一些不可避免的局限：

并不是所有地区的法律都允许网络扫描行为。除此之外，这种行为通常也是不受欢迎的，至少它不是一种友好的行为。(事实上，发生在互联网上的扫描行为几乎都不是友善的)
对于NAT后的服务器，它只能判断出NAT网关所用的操作系统，而无法判断其后的系统所用的操作系统。
事后的「反击」或「报复」性扫描往往于事无补，在第一击的时候遏制攻击，对于安全相当重要。

阅读全文…( 本文约 1367 字，阅读大致需要 3 分钟 )

看来还是按操作系统封比较有效

2006-10-23 14:09 | Security

之前一直有些头疼的ssh虫问题，很令人吃惊地找到了一个解决方法。在扫描感染IP的TCP特征之后，发现这些机器的共同特征——他们都用的是Linux。

很幸运地，我不使用Linux，FreeBSD附带的pf提供了一项非常有意思的强大能力(这项能力源于OpenBSD的pf)，即按操作系统来控制访问。其它用法还包括例如，禁止没有打补丁的Windows访问，让不同用的操作系统访问得到不同的内容等等。

考虑到Linux如此容易感染ssh蠕虫，我决定采用下述pf策略：

block in quick proto tcp from any os “Linux” to any port ssh

阅读全文…( 本文约 439 字，阅读大致需要 1 分钟 )

一组似乎有ssh虫子的机器 2006-10-18

2006-10-18 19:01 | Security

决定reboot之前彻底封禁来自这些机器的IP包。

58.181.2.72
60.31.211.5
60.248.202.210
61.154.12.95
67.15.164.194
67.15.197.26
202.8.85.116
202.111.128.231
210.13.41.1
210.29.163.57
210.117.6.185
210.221.221.57
211.95.160.46
211.99.194.3
211.147.224.41
211.150.123.229
218.1.65.233
218.23.49.228
218.31.157.27
218.55.227.175
218.188.0.56
218.249.15.254

阅读全文…( 本文约 66 字，阅读大致需要 1 分钟 )

作弊条：如何为postfix配置TLS

2006-10-06 06:01 | Security

以下内容为作弊条，仅供参考；只保证在FreeBSD下能用。

为postfix配置TLS的关键是产生自己的CA证书，并签署一年一续的服务证书。注意一定要保管好前者的私钥！

第一步，创建自签名CA：

mkdir /usr/local/etc/ca
cd /usr/local/etc/ca
mkdir certs crl newcerts private
echo 「01」 > serial
cp /dev/null index.txt
cp /etc/ssl/openssl.cnf openssl.cnf
vi openssl.cnf

阅读全文…( 本文约 347 字，阅读大致需要 1 分钟 )

作弊条：如何限制ssh验证的cvs/svn用户权限

2006-09-11 13:33 | Security

传统上，SCM系统的用户登录有两种方式，一种是通过启动自己对应的服务，如cvs的cvs pserver或svn的svnserve、Apache DAV等等，而另一种方式是ssh，即不启动服务，而使用ssh来完成身份认证工作，如果通过，则通过ssh远程启动对应的服务，如cvs server和svnserve。

阅读全文…( 本文约 766 字，阅读大致需要 2 分钟 )

这不就是脑子长包么？！

2006-09-09 06:02 | Security

看到水木有人问：tor什么时候能加个聊天功能。

我真不知道现在的年轻人除了泡妞、逃课、不求上进之外还有什么本事。

参与评论

新增了反垃圾策略

2006-09-05 03:41 | Security

由于blog上面的spammer愈演愈烈（一天600条，不能忍了！），决定增加了一组新的反垃圾策略，今天总算清净了一天。看看spammer们会如何改进他们的方法吧。

参与评论

trac+apache+ldap验证

2006-08-28 15:20 | Security

trac确实是个好东西。为了方便（主要是为了少维护一个daemon考虑），我采用的方式是cgi方式(除此之外还有两种常见的用法，一种是使用trac自己的daemon，另一种是通过FastCGI)。

阅读全文…( 本文约 652 字，阅读大致需要 2 分钟 )

The missing uptime explained

2006-08-21 07:14 | Security

It seems that my box loses its uptime record after I have migrated it to the Yizhuang IDC. The two things are related, but technically speaking, they are not. Actually I have discovered gokeeper’s hosts losed their uptimes as well, but I did not know why before. Sometimes I thought that was because the Linksys switch we have used, but there are some evidence that it is not; also I have at a point doubted the Cisco devices were misconfigured or have some firewalling features, but that’s not the answell, either.

阅读全文…( 本文约 137 字，阅读大致需要 1 分钟 )

关于密码验证的一些问题

2006-08-15 03:42 | Security

前几天 hzqbbc 兄 [blog]在blog上留言中提及此事，正好就这个话题说两句。

通常我们在设计安全系统的时候，会希望在满足功能的前提下为每个用户授予最少的权限。对一个数据元而言，假如我们限定允许的权限包含：写、读(获取其内容)、验证(判断给定值是否有很大概率与其相等)、判断其是否存在、完全没有这5类时，通常我们会发现，比较靠前的权限会包含(或暗含)靠后的权限，或者说，靠前的授权要比靠后的授权来的大。(注意，此处我们并不考虑拥有写权限，而没有读权限这种情形，这种授权通常见于文件系统)。

阅读全文…( 本文约 1067 字，阅读大致需要 3 分钟 )