31
|
Програмиране / Web development / Re: Достатъчно сигурен ли е този php скрипт ?
|
-: Mar 15, 2010, 15:26
|
OK. Благодаря на всички за интереса към моя въпрос. Напълно разбрах смисъла на вашите отговори. т.е. аз правя доста строго филтриране на входящите данни от потребителите.
Вие нищо не казахте за втория ми скрипт за отвариянето на сигурна сесия. Сигурен ли е ?
|
|
|
33
|
Сигурност / Системна Сигурност / Повече сигурност с iptables. Как ?
|
-: Mar 14, 2010, 13:25
|
Здравейте колеги, Проблема ми е следния, който произлиза от факта, че до сега не съм отварял от така наречените публичните поротве като в този случай е 80, Като притесненията ми са, че е напълно възможно да ме бомбандират с "лоши" tcp/ip пакети, кънекции и т.н. правилата, който съм сложил до този момент са: -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j HTTPD -A HTTPD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "iptables bad 1: " -A HTTPD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A HTTPD -f -j LOG --log-prefix "iptables bad fragment: " -A HTTPD -f -j DROP -A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "iptables bad 2: " -A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "iptables bad 3: " -A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "iptables bad 4: " -A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A HTTPD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "iptables bad 5: " -A HTTPD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP -A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "iptables bad 6: " -A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP -A HTTPD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j LOG --log-prefix "iptables bad 7: " -A HTTPD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP -A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "iptables bad 8: " -A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP -A HTTPD -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j LOG --log-prefix "trafic80 " -A HTTPD -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 25 --connlimit-mask 32 -j DROP -A HTTPD -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
Ако може да предложите някои правила да подсиля защитаната стена ще съм много благодарен Забравих и да спомента че направих и някои промени в насторойките на ядрото : /etc/sysctl.conf net.ipv4.icmp_echo_ignore_broadcasts = 1 net.ipv4.icmp_echo_ignore_all = 1 net.ipv4.tcp_syncookies = 1 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.all.log_martians = 1 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.all.send_redirects = 0 ОС: Fedora 12; Web server: Apache2
|
|
|
34
|
Програмиране / Web development / Достатъчно сигурен ли е този php скрипт ?
|
-: Mar 14, 2010, 13:07
|
Здравейте колеги, Ще ви помоля за мемието ви дали тези два скрипта са достатъчно сигурни за което за предазначени. Доста търсих из интернета, а и книги четох и това успях да измисля: Целта ми в пръвия е да почисти входните данни от пост масива, като в същото верме, като и прекрати автоматизирани ботове. GeSHi (PHP): <?php if ((isset($_POST['add']) && $_POST['add']=='1')) { if (isset($_SESSION['token']) && $_POST['token'] == $_SESSION['token']) { $token_age = time() - $_SESSION['token_time']; if (($token_age < $maxTime) && ($token_age > $minTime )) { $valueTitle=array('Господин','Госпожа','Госпожица');text if(in_array($_POST['title'],$valueTitle)) {$clean['title']=$_POST['title']; } if(preg_match("/^[a-zA-ZА]{3,32}$/",$_POST['name'])) {$clean['name']=$_POST['name']; } }}} $_SESSION['token_timestamp'] = time(); echo "<form action='' method='POST'> Username: <input type='text' name='username' /> <input type='hidden' value=".$token." name='token' /> <input type='submit' /> </form>"; ?>
А врория от тях е създаването на сесия, за оторизиран потребител, до ограничена част на сайта. GeSHi (PHP): //someWhereInSite.php <?php if (isset($_SESSION['HTTP_USER_AGENT'])) { if ($_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT'])) { echo "<form action='login_check.php' method='POST'> Username: <input type='text' name='username' /> <input type='submit' /> </form>"; /* Prompt for password */ } else { echo "Inside security zone"; } } if (!isset($_SESSION['HTTP_USER_AGENT'])) { echo "<form action='login_check.php' method='POST'> Username: <input type='text' name='username' /> <input type='submit' /> </form>"; } ?> //login_check.php <?php if (!isset($_SESSION['HTTP_USER_AGENT']) && isset($_POST['username'])) { if ($_POST['username'] == 1) { $_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']); echo "Inside security zone<br>"; } else {echo "greshna parola";exit; } ?>
Моля дайте ваште мнения, изказвания и препръки.
|
|
|
36
|
Linux секция за начинаещи / Настройка на програми / Re: Конфликт с две lan карти
|
-: Feb 02, 2010, 18:40
|
От "Network Configuration" --> "eth1" --> "Hardware Device" давам "Probe" така се опитвам да заредя мак адреса на карата ifconfig -a eth0 Link encap:Ethernet HWaddr 00:E0:4C:23:41:3D inet addr:192.168.7.223 Bcast:192.168.7.255 Mask:255.255.255.0 inet6 addr: fe80::2e0:4cff:fe23:413d/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:60396 errors:0 dropped:0 overruns:0 frame:0 TX packets:44039 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:77704506 (74.1 MiB) TX bytes:4472505 (4.2 MiB) Interrupt:18 Base address:0xec00
eth1 Link encap:Ethernet HWaddr 00:00:00:00:00:00 BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:17 Base address:0x2800
lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:40 errors:0 dropped:0 overruns:0 frame:0 TX packets:40 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2400 (2.3 KiB) TX bytes:2400 (2.3 KiB)
ifup eth1 Device eth1 has different MAC address than expected, ignoring.
|
|
|
38
|
Linux секция за начинаещи / Настройка на програми / Конфликт с две lan карти
|
-: Feb 02, 2010, 17:38
|
Здравейте колеги Имам доста неприятен проблем с две еднакви лан карти(repotec), които всяка по отделно си работи няма никакъв проблем, но кагато са заедно очевидно се получава някакъв конфликт. и само едната работи, а другата се разпознава с мак адрес 00:00:00:00:00 Системата е: Linux router2 2.6.31.5-127.fc12.i686.PAE #1 SMP Sat Nov 7 21:25:57 EST 2009 i686 athlon i386 GNU/Linux
Ще съм благодарен на вашата помощ.... закачил съм и /var/log/message В биоса всичко е на подразбиране с изключение, че съм забранил лана на дънната платка
|
|
|
41
|
Linux секция за начинаещи / Настройка на програми / Re: Инсталиране на mod_perl
|
-: Jan 14, 2010, 15:57
|
здрасти neter apache-to го компилирах по следния начин "./configure" \ "--with-layout=apache" \ "--enable-module=all" \ "--enable-shared=max" \
малко не ти разбрах въпроса - "С какви флагове пускаш ./configure?" модула за перл, не се ли изпълнява makefile.pl за конфигуриране Иначе компилирам апачето, защото би трабвало да работи по-бързо и по-добре от прекомпилираните пакети. С федора 11 64 bit съм
|
|
|
42
|
Linux секция за начинаещи / Настройка на програми / Инсталиране на mod_perl
|
-: Jan 14, 2010, 15:14
|
Здравейте колеги Опитвам се да си инсталирам вече споменятия модул за апачето, но при компилирането ми излиза грешка ..................................................................... /usr/bin/ld: /usr/local/apache2/lib/libaprutil-1.a(apr_buckets_alloc.o): relocation R_X86_64_32 against `.text' can not be used when making a shared object; recompile with -fPIC /usr/local/apache2/lib/libaprutil-1.a: could not read symbols: Bad value collect2: ld returned 1 exit status make[3]: *** [../../../blib/arch/auto/APR/APR.so] Error 1 make[3]: Leaving directory `/usr/local/src/mod_perl-2.0.4/xs/APR/APR' make[2]: *** [subdirs] Error 2 make[2]: Leaving directory `/usr/local/src/mod_perl-2.0.4/xs/APR' make[1]: *** [subdirs] Error 2 make[1]: Leaving directory `/usr/local/src/mod_perl-2.0.4/xs' make: *** [subdirs] Error 2
Конфигурирането минава без никаква грешка # perl Makefile.PL MP_APXS=/usr/local/apache2/bin/apxs Reading Makefile.PL args from @ARGV MP_APXS = /usr/local/apache2/bin/apxs no conflicting prior mod_perl version found - good. Configuring Apache/2.2.14 mod_perl/2.0.4 Perl/v5.10.0 [ info] generating script t/TEST [ info] generating script ./t/cgi-bin/cookies.pl [ info] generating script ./t/cgi-bin/next_available_port.pl Writing Makefile for Apache::Test Checking for File::Spec...ok Checking for Cwd...ok [ info] generating script t/TEST Writing Makefile for ModPerl::Registry Writing Makefile for APR::Base64 Writing Makefile for APR::Brigade Writing Makefile for APR::Bucket Writing Makefile for APR::BucketAlloc Writing Makefile for APR::BucketType Writing Makefile for APR::Date Writing Makefile for APR::Error Writing Makefile for APR::Finfo Writing Makefile for APR::IpSubnet Writing Makefile for APR::OS Writing Makefile for APR::Pool Writing Makefile for APR::SockAddr Writing Makefile for APR::Socket Writing Makefile for APR::Status Writing Makefile for APR::String Writing Makefile for APR::Table Writing Makefile for APR::ThreadMutex Writing Makefile for APR::ThreadRWLock Writing Makefile for APR::URI Writing Makefile for APR::UUID Writing Makefile for APR::Util Writing Makefile for APR Writing Makefile for Apache2::Access Writing Makefile for Apache2::CmdParms Writing Makefile for Apache2::Command Writing Makefile for Apache2::Connection Writing Makefile for Apache2::ConnectionUtil Writing Makefile for Apache2::Directive Writing Makefile for Apache2::Filter Writing Makefile for Apache2::FilterRec Writing Makefile for Apache2::HookRun Writing Makefile for Apache2::Log Writing Makefile for Apache2::MPM Writing Makefile for Apache2::Module Writing Makefile for Apache2::Process Writing Makefile for Apache2::RequestIO Writing Makefile for Apache2::RequestRec Writing Makefile for Apache2::RequestUtil Writing Makefile for Apache2::Response Writing Makefile for Apache2::ServerRec Writing Makefile for Apache2::ServerUtil Writing Makefile for Apache2::SubProcess Writing Makefile for Apache2::SubRequest Writing Makefile for Apache2::URI Writing Makefile for Apache2::Util Writing Makefile for Apache2 Writing Makefile for ModPerl::Global Writing Makefile for ModPerl::Util Writing Makefile for ModPerl Writing Makefile for ModPerl::WrapXS Writing Makefile for APR Writing Makefile for APR::Const Writing Makefile for APR::PerlIO Writing Makefile for libaprext Writing Makefile for APR_build Writing Makefile for Apache2::Const Writing Makefile for Apache2_build Writing Makefile for ModPerl::Const Writing Makefile for ModPerl Writing Makefile for ModPerl::XS Writing Makefile for mod_perl2 [warning] mod_perl dso library will be built as mod_perl.so [warning] You'll need to add the following to httpd.conf: [warning] [warning] LoadModule perl_module modules/mod_perl.so [warning] [warning] depending on your build, mod_perl might not live in [warning] the modules/ directory.
[warning] Check the results of [warning] [warning] $ /usr/local/apache2/bin/apxs -q LIBEXECDIR [warning] [warning] and adjust the LoadModule directive accordingly.
Ще съм благодарен, ако ударите едно рамо ...
|
|
|
44
|
Linux секция за начинаещи / Настройка на програми / Re: Subdomains с различни IP-та
|
-: Dec 02, 2009, 15:49
|
romeo_ninov и shoshon, благодаря за вашите постове Или аз немога да ви разбера или ви мен Така че ще се опитам да опесня по разлицен начин 1. Сядам пред линукс_1 отивам например на сайта regi****tor.bg (да не правя реклама) и си регистрирам домейн (или домейн име не знам точно как да се изразя) например grad.bg (100.111.111.111 ) 2. Възможно ли е линукс_1 така да се конфигурира че: - който адресира от интернет sofia.grad.bg всичко да се прехвърля към линук_2 - който адресира от интернет plovdiv.grad.bg всичко да се прехвърля към линук_3 - т.н.
|
|
|
45
|
Linux секция за начинаещи / Настройка на програми / Subdomains с различни IP-та
|
-: Dec 02, 2009, 13:32
|
Здравейте колеги, Моля да дадете малко помощ във връзка със следната ситуация: Имам да речем три линук машини в Интернет с съответните (реални, статични) ИП-та: линукс_1 с IP 100.111.111.111 линукс_2 с IP 200.111.111.111 линукс_3 с IP 250.111.111.111
на линукс_1 имам регистрирано домейн име например domainname.bg (100.111.111.111) идеата ми е да направя субдомейн host1.domainname.bg, който да прехвърля към портовете на линукс_2 с ИП 200.111.111.111, съответно host2.domainname.bg да се прехвърлят всички портове на линукс_3 с ИП 250.111.111.111
т.е. с "ssh host1.domainname.bg" да се връзвам на 200.111.111.111 с "links host1.domainname.bg" да се връзвам на 200.111.111.111 с "vncviewer domainname.bg" да се връзвам на 200.111.111.111 и т.н.
П.П. както е например {host}.no-ip.biz
|
|
|
Страници: 1 2 [3] 4 5 ... 8
|
|