Skocz do zawartości

egi.pl

Użytkownicy
 Wyświetl profil  Zobacz jego aktywność

  • Zawartość

    24

  • Rejestracja

  • Ostatnio

Posty napisane przez egi.pl

  3. Napisano · Raportuj odpowiedź

    Cisco ASA 5505 :) ?

     

    Przed DoSem, DDoSem powinna zabezpieczyć Cię serwerownia lub oferować usługę wykupienia firewalla sprzętowego.

     

    Bo w przypadku takiego ataku, pakiet i tak dochodzi do serwera, więc softem za dużo nie zdziałasz :D

    Chyba nie rozumiesz ataku. Nie chodzi o same pakiety, a o to co te pakiety powoduja. A powoduja one prace serwera www ponad sily. Wystarczy zastosowac mechanizm blokujacy takie "specyficzne" zachowanie - np. mod_evasive

  11. Napisano · Raportuj odpowiedź

    Możecie podać jakieś konkrety, jak to zrobić? :) Przetestuję i zobaczę jak to się sprawdza. Prędzej szyfrowanie się sprawdzi w git bo pracuje się lokalnie na repozytorium i potem można je elegancko łączyć. W svn to jest jedno centralne repo i nie jest już tak łatwo. Problem z szyfrowaniem plików może być taki, że jak jeden plik zaszyfrować kilka razy dokładnie w ten sam sposób z takim samym hasłem to zawsze plik wyjściowy będzie inny, więc przy wysyłaniu zawsze będzie wysyłał całość bo przy porównaniu zawsze dwa te same zaszyfrowane pliki będą różne. W zasadzie to mogę zastosować jakiś prymitywny algorytm bo nie potrzebuję tu dobrego szyfrowania np. szyfr cezara. Tylko jak to praktycznie zrealizować? :)

    Problemu z szyfrowaniem nie rozumiem? Po co szyfrowac kilka razy jeden plik? Pliki maja byc szyfrowane JEDYNIE w momencie gdy maja byc wyslane na serwer. Deszyfrowane w momencie, w ktorym zostaly z serwera sciagniete. Taka warstwa posredniczaca, reszte zalatwia klient lokalnie, czyli miesza, diffuje itp.. 

     

    SVN ma dobrze opisane API. Zaczalbym od tego, lub od pysvn. Jesli chodzi o szyfrowanie to szkoda czasu jesli ma to byc szyfr cezara;). Chociaz w tym przypadku jego stosowanie moze przyniesc wiele korzysci (nie ograniczy funkcjonalnosci repo w ogole), to nie ma on nic wspolnego z bezpieczenstwem. OpenSSL sluzy pomoca. 

  13. Napisano · Raportuj odpowiedź

    Chcesz się pochwalić jak można zaimplementować takie szyfrowanie po stronie klienta nie zabijając kompletnie funkcjonalności typowych dla repozytoriów? :)

    Szyfrowanie odbywa sie po stronie klienta przed wrzuceniem plikow na serwer. Deszyfrowanie po sciagnieciu ich od razu z serwera. Operacje te wykonuja sie "w locie". Wszystkie diffy, merge,... odbywaja sie po stronie klienta po deszyfrowaniu. Co do funkcjonalnosci to repozytorium bedzie obslugiwac pliki praktycznie tak jak pliki binarne (czyli rozmiar repo wzrosnie), po stronie klienta wszystko po staremu.

  15. Napisano · Raportuj odpowiedź

    Czy jest możliwość szyfrowania danych w repozytoriach svn lub git? Chodzi mi o to, że w firmie chcemy skrzystać z usług firmy, która oferuje hosting svn i git. Chcemy jednak aby admin serwera nie był w stanie odczytać naszych danych. Wszyscy korzystamy z systemu linux.

     

    Takiej funkcjonalnosci repozytoria nie maja, ale nie stanowi wielkiego problemu implementacja dzialajacego mechanizmu po stronie klientow.

  18. Napisano · Raportuj odpowiedź

    Biedny @xorg chcial sobie zrobic "zdalna konsole" do serwera z gra a Wy mu takie rzeczy piszecie :) No ale zle zadal pytanie stad takie odpowiedzi.

    Do jego zastosowania potrzebny jest jakis maly "posrednik" - ktory z jednej strony odpali program i bedzie mogl z nim sie komunikowac via stdin/stdout z drugiej strony bedzie nasluchiwal na jakims porcie i przyjmowal komendy od np. panelu www napisanego w phpie.

    Taki "posrednik" mozesz napisac w dowolnym jezyku (w tym i php), mozesz sprobowac wykorzystac np. screena (panel laczy sie przez ssh z serwerem, wchodzi na screena i wykonuje potrzebne operacje), itd.

    Z tego co rozumiem, to wlasnie tu jest problem. Proces dziala jakos serwer (czyli najpewniej nie ma terminalu sterujacego -> czyli kontakt via stdin/stdout odpada), a "xorg" chce wywolac w nim jakis kod "w locie". A jeszcze do tego nie posiada zrodel, takze go nie zmodyfikuje w prosty sposob;)

  19. Napisano · Raportuj odpowiedź

    Znasz sposób na ^^bezpieczne^^ dobranie się do STDIN procesu?

    Skoro to takie łatwe, to napisz, jak to w miarę prosto <NIE przez gdb> zrobić...

     

    Moj pierwszy post w tym temacie zaczynal sie: zdecydowanie nie bedzie to latwe zadanie... , takze prosze dokladniej czytac. A co do Twojego pytania, to nie wiem jak rozumiec "bezpiecznie dobrac sie", ale jesli chcesz po prostu czytac stdin to udaj sie do /proc/PID_PROCESU/fd i czytaj plik 0 (oczywiscie musisz miec uprawnienia)

  20. Napisano · Raportuj odpowiedź

    W celu manipulacji pamięcią? Żadnych (w końcu niczego takiego nie napisałem :( ).

     

    Ale to sie wlasnie do tego sprowadza.

     

     

    Natomiast żeby wykonać dowolne polecenie w dowolnym procesie (i jednocześnie go nie ubić) musiałby w moim mniemaniu obejść zabezpieczenia typu: W^X, mprotect, guard pages czy kanarki... Generalnie wszystko co chroni stos / pamięć procesu przed niepowołanymi manipulacjami.

     

    Wszystki wymienione rozwiazania zostaly zaprojektowane by zapobiegac eskalacji uprawnien i moga co najwyzej utrudnic zadanie rootowi.

  22. Napisano · Raportuj odpowiedź

    Dowolne :D

     

    Nie mówimy tu o apache akurat... tylko powiedzmy serwer głosowy Ventrilo. Można tam wykonać np. komendę status. Coś takiego mi potrzebne... Nie potrzebuję nic co aplikacja mi zwróci, po prostu wykonać coś w niej i tyle.

    zdecydowanie nie bedzie to latwe zadanie (szukaj pod haslami: code inject itp.., http://lists.virus.org/darklab-0201/msg00000.html <- tu jakis stary PoC). Duzo sprawniej wyjdzie skompilowac dany kod z uwzglednieniem takich wymagan.

×