[GTER] SQUID squid-3.1.0.14 + TPROXY

Renato Murilo Langona renato at linuxsecurity.com.br
Sat Nov 21 21:06:51 -02 2009


Na verdade, pela sua linha de pensamento, o perigo vai morar em utilizar 
o default e nao em alterar o kernel :-) Ateh porque dificilmente vc 
utilizara o padrao menor do kernel tbem para suas aplicacoes ou 
servicos... Se vc nao for root nao vai ultrapassar os limites que o 
administrador impor para o sistema de qualquer forma, por isso essa nao 
eh a questao, correto?

Esta claro que vc deve administrar os limits, conforme mencionei...
Em um servidor proxy, com squid "unlimited" ou com limite altissimo, as 
probabilidades de DoS ou "problemas de seguranca" sao exatamente os 
mesmos com ou sem alteracao, afinal seu limite ja esta alto de qualquer 
forma, correto? Alto em termos tambem, ja que, com o poder de 
processamento dos servidores atuais, eh tudo uma questao de tuning...

Muitos administradores tem medo de alterar o kernel, mas a maioria segue 
as receitas de bolo para "performance tuning" on-the-fly na Internet e, 
a primeira coisa que muitos fazem, eh realizar alteracoes de portas 
limites, hard e soft limits, numero de inodes, file-max, brincar com 
sysctl e etc... Isso sim eh um perigo realizar sem calcular a 
escalabilidade de seu servidor e sua utilizacao, ateh porque nao adianta 
setar limite alto em um servico que vai utilizar uma funcao do kernel 
com limite menor, correto? Nao teria nexo...
Alterar o teto no source nao libera esse teto para toda e qualquer 
aplicacao. Como administrador, vc continua no controle de tudo, seja via 
limits, via sysctl/ulimit, ou por vias menos convencionais como 
grsecurity, lids, lsec, etc...
Por isso a seguranca do sistema esta em sua administracao, pura e simples...

Alias, muito bom poder debater sobre esse assunto, lhe agradeco por isso...

Abs!

Herbert Faleiros escreveu:
> 2009/11/21 Renato Murilo Langona <renato at linuxsecurity.com.br>:
>   
>> via sysctl ou ulimit, consegue alterar on-the-fly
>> para qualquer aplicacao sem essa modificacao, como foi possivel com o squid,
>> correto?
>>     
>
> não é bem assim, se não for suid 0 você não altera essas configurações, ex:
>
> $ ulimit -HSn 12345
> bash: ulimit: open files: cannot modify limit: Operation not permitted
>
> $ id -u
> 1001
>
> se modificar p/ todo o sistema (kernel) todos os usuários tem essa
> configuração alterada por default, aí mora o perigo.
>
> Detalhe, aqui não executo o Squid com suid 0:
>
> # su squid -c id -u
> uid=1001(squid) gid=102(squid) groups=102(squid)
>
> # grep squid /etc/rc.d/rc.squid | head -1
>     su squid -c "/usr/sbin/squid ${opts}"
>
> --
> Herbert
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>   




More information about the gter mailing list