Unix,Cisco,TCP/IP,Security

Оригинал: http://it-expert.com.ua/weblog/message/406/

Что же представляет собой netgraph?

Если в двух словах, то netgraph это как высокоуровневый Basic для
сетевых сервисов по сравнению с машинным кодом. Идеология netgraph
позволяет путем создания визуальных графов из «кубиков» протоколов,
портов и сервисов как бы строить взаимодействие сетевых компонентов
простым созданием связей между «кубиками». Читать далее…

admin Администрирование Cisco, freebsd, monitor, netflow, netgraph, traffic

Черные дыры.

net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
Это превращает машину в черную дыру при попытке подключиться к портам,
которые не слушают. Nmap по настоящему не любит это.

Защита очереди сокета от SYN атак.

Основной из самых популярных атак остается SYN флуд, при которой
очередь сокета атакуемого хоста переполняется некорректными попытками
соединений. Для защиты от таких атак некоторые из UNIX поддерживают
отдельные очереди для входящих запросов на соединение. Одна очередь
для полуоткрытых сокетов (SYN получен, SYN|ACK послан), другая очередь
для полностью открытых сокетов, ждущих вызова accept() от программы.
Эти две очереди должны быть увеличены, чтобы атаки малой и средней
интенсивности почти не влияли на стабильность и доступность сервера.
kern.ipc.somaxconn=1024

Редиректы (Перенаправления)

Атакующий может использовать IP redirect для изменения таблицы
марщрутизации на удаленном хосте. В хорошо разработанной сети
редиректы на конечные станции не должны требоваться. Оба – отправка и
принятие редиректов должны быть отключены.
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
Читать далее…

admin Администрирование BSD, flood, freebsd, kernel, security, sysctl, tune

UNIX IP Stack Tuning Guide v2.7

http://www.cymru.com/Documents/ip-stack-tuning.html

By Rob Thomas

Introduction

The purpose of this document is to strengthen the UNIX IP stack
against a variety of attack types prevalent on the Internet today.
This document details the settings recommended for UNIX servers
designed to provide network intensive services such as HTTP or routing
(firewall services). This document covers the following UNIX variants:

A. IBM AIX 4.3.X
B. Sun Solaris 7
C. Compaq Tru64 UNIX 5.X
D. HP HP-UX 11.0 (research ongoing)
E. Linux kernel 2.2 (tested both SuSE Linux 7.0 and RedHat 7.0)
F. FreeBSD
G. IRIX 6.5.10

  Читать далее…

admin Администрирование aix, arp, freebsd, linux, optimization, security, solaris, speed, tune

Книга известного профессионала в области операционных систем и сетевых технологий посвящена очередной версии самой популярной в настоящее время операционной системе с открытым исходным кодом – FreeBSD 6. Подробно рассматриваются такие вопросы, как установка, сборка и конфигурирование FreeBSD из коллекции портов, загрузка и завершение работы системы, работа в командной строке и в графических оболочках X Window System, настройка безопасности и организация сетей на базе FreeBSD 6. Большое внимание уделяется файловым системам, установке программного обеспечения Web-сервера Apache, совместной работе множества пользователей, а также поиску и устранению неполадок. Книга изобилует не только множеством примеров из реальной жизни, но также снабжена теоретическими сведениями по таким сложным темам, как протоколы и маршрутизация.
Прилагаемый к книге DVD-диск содержит дистрибутив FreeBSD 6.1, текущую коллекцию портов и многое другое.

Книга рассчитана на пользователей и администраторов разной квалификации, а также может быть полезна для студентов и преподавателей соответствующих специальностей.

Скачать: freebsd6taimen.djvu

admin Полезные книги BSD, freebsd, UNIX

Стенограмма выступления Игоря Сысоева с конференции РИТ-2007.

mbuf clusters

FreeBSD хранит сетевые данные в mbuf clusters, размер каждого 2Кб, но из
них используется только около 1500 байт (по размеру Ethernet пакета).

mbufs

Для каждого mbuf кластера нужен «mbuf», который имеет размер 256 байт и
нужен для организации связи цепочек из mbuf кластеров. В mbuf можно поместить
полезную информацию в районе 100 байт, но это не всегда используется.

Если в машине 1Гб и больше памяти, то по умолчанию будет создано 25 тыс. mbuf кластеров,
что не всегда достаточно.

При ситуации исчерпания числа свободных mbuf кластеров FreeBSD попадает в
состояние zonelimit и перестает отвечать на запросы по сети,
в top это выглядит как «zoneli». Единственная возможность как-то повлиять на
ситуацию – это зайти с локальной консоли и перезагрузить систему, уничтожить
процесс находящийся в состоянии «zoneli» невозможно. Для Linux 2.6.x данная проблема
тоже характерна, причем работать переставала даже консоль.

PID USERNAME THR PRI NICE SIZE RES STATE TIME WCPU COMMAND
13654 nobody 1 4 0 59912K 59484K zoneli 209:26 0.00% nginx
Для выхода из этой ситуации существует патч возвращающий приложению ошибку ENOBUFS,
сигнализирующий о попадании в состояние «zoneli», после чего программа может
закрыть лишние соединения. К сожалению патч пока не принят в состав FreeBSD. Читать далее…

admin Администрирование freebsd, mbuf, optimization, sendfile, socket, speed, sysctl, tcp, tune

И так имеем платформу intel 2500LX  на борту 2 четырехядерных Intel Xeon E5420 2500MHz, 8 гигабайт оперативной памяти, Adaptec RAID 5805 c 1,5 терабайтным массивом RAID 5E. RAID5E подобен уровню RAID5, только со встроенным в массив резервным диском. Задача настроить на базе этой платформы систему для хостинга виртуальных машин на  ОС FreeBSD с помощью продукта VDSmanager от ISPsystem.

Выдержки с сайта ISPsystem:

Ниже приведён краткий список основных изменений, коснувшихся стандартного ядра FreeBSD:

- поддержка ограничений CPU для виртуальной среды.
- поддержка ограничений оперативной памяти для виртуальной среды, с системой остановки больших процессов при превышении лимита.
- персональные параметры работы со свопом (swap): лимиты, использование, статистика.
- файловая система, основанная на шаблонах.
- поддержка дисковых квот внутри виртуальной среды.
- поддержка ограничений на количество процессов.
- поддержка ограничений на количество открытых дескрипторов (файлов, сокетов и т.д.).
- возможность привязки множества IP-адресов к одной виртуальной среде.
- sysctl параметры: скрыты ненужные, добавлены необходимые.
- возможность изменения абсолютно всех лимитов «на лету».
- поддержка персонального ipfw (firewall) для каждой виртуальной среды.
- поддержка полноценного персонального sysV. Читать далее…

admin Виртуализация freebsd, vds, vdsmanager, vdsmanger-smp, vps