egi.pl

vipserv glupoty piszesz;-). Cain & Abel został użyty zapewne do ataku MITM (man-in-the-middle) i gdyby użytkownik miał świadomość jak należy zarządzać certyfikatami to hasła by nie wprowadził (to o czym wspomniał p).

http://www.google.com/support/a/bin/answer...mp;answer=33786

Chyba nie rozumiesz ataku. Nie chodzi o same pakiety, a o to co te pakiety powoduja. A powoduja one prace serwera www ponad sily. Wystarczy zastosowac mechanizm blokujacy takie "specyficzne" zachowanie - np. mod_evasive

Moze masz ustawione jakies limity (ulimit, PAM, ...)?

grep + poswiecenie jednego wieczora na wyrazenia regularne. Z pewnoscia sie przyda.

odseparuj ich , np. http://linux-vserver.org/ . Do tego tak jak zawsze: aktualne oprogramowanie, prawa itp... Ewentualnie mozna pokusic sie o jakas polityke bezpieczenstwa realizowana np. przez SELinux, ale to raczej zabierze Ci sporo czasu.

Jezeli faktycznie tak jest, ze atak to polaczenia TCP to nie bedzie problemu z ich zatrzymaniem. Polecam np. http://deflate.medialayer.com/ + drobne przerobki

Pierw zorientuj sie jak dokladnie wyglada atak (tcpdump , iptraf lub cos innego ). Jesli podejrzewasz syn-flood to wlacz SYN cookies.

Jak bym sie zastanowil nad wyjeciem wtyczki

Co prawda nie wiem o co dokładnie Tobie chodzi, ale jeśli chcesz "podglądać" procesy to na szybko: strace -p PID

Problemu z szyfrowaniem nie rozumiem? Po co szyfrowac kilka razy jeden plik? Pliki maja byc szyfrowane JEDYNIE w momencie gdy maja byc wyslane na serwer. Deszyfrowane w momencie, w ktorym zostaly z serwera sciagniete. Taka warstwa posredniczaca, reszte zalatwia klient lokalnie, czyli miesza, diffuje itp.. SVN ma dobrze opisane API. Zaczalbym od tego, lub od pysvn. Jesli chodzi o szyfrowanie to szkoda czasu jesli ma to byc szyfr cezara;). Chociaz w tym przypadku jego stosowanie moze przyniesc wiele korzysci (nie ograniczy funkcjonalnosci repo w ogole), to nie ma on nic wspolnego z bezpieczenstwem. OpenSSL sluzy pomoca.

Zadnej, z wymienionych przez Ciebie, funkcjonalnosci to rozwiazanie nie pozbawia.

Szyfrowanie odbywa sie po stronie klienta przed wrzuceniem plikow na serwer. Deszyfrowanie po sciagnieciu ich od razu z serwera. Operacje te wykonuja sie "w locie". Wszystkie diffy, merge,... odbywaja sie po stronie klienta po deszyfrowaniu. Co do funkcjonalnosci to repozytorium bedzie obslugiwac pliki praktycznie tak jak pliki binarne (czyli rozmiar repo wzrosnie), po stronie klienta wszystko po staremu.

Masz racje, wydaje sie Tobie;)

Takiej funkcjonalnosci repozytoria nie maja, ale nie stanowi wielkiego problemu implementacja dzialajacego mechanizmu po stronie klientow.

Tak jak wspomnial patrys, poki co, wszystko wskazuje na to, ze bug jest w paczkach RHEL, takze chyba najlepiej skompilowac samemu serwer ssh z oficjalnych zrodel. A rozwiazania typu port ssh w gore i antyscan przejda, ale co gdy userzy maja miec zdalny dostep?

perror 145 - moze wiele wyjasnic;)

Z tego co rozumiem, to wlasnie tu jest problem. Proces dziala jakos serwer (czyli najpewniej nie ma terminalu sterujacego -> czyli kontakt via stdin/stdout odpada), a "xorg" chce wywolac w nim jakis kod "w locie". A jeszcze do tego nie posiada zrodel, takze go nie zmodyfikuje w prosty sposob;)

Moj pierwszy post w tym temacie zaczynal sie: zdecydowanie nie bedzie to latwe zadanie... , takze prosze dokladniej czytac. A co do Twojego pytania, to nie wiem jak rozumiec "bezpiecznie dobrac sie", ale jesli chcesz po prostu czytac stdin to udaj sie do /proc/PID_PROCESU/fd i czytaj plik 0 (oczywiscie musisz miec uprawnienia)

Ale to sie wlasnie do tego sprowadza. Wszystki wymienione rozwiazania zostaly zaprojektowane by zapobiegac eskalacji uprawnien i moga co najwyzej utrudnic zadanie rootowi.

Jakis mit. Jakie to zabezpieczenia musi przelamac root w celu manipulacji pamiecia procesu? Co wiecej moze manipulowac pamiecia jadra. pozdrawiam

zdecydowanie nie bedzie to latwe zadanie (szukaj pod haslami: code inject itp.., http://lists.virus.org/darklab-0201/msg00000.html <- tu jakis stary PoC). Duzo sprawniej wyjdzie skompilowac dany kod z uwzglednieniem takich wymagan.

Ja polecam 3COMa.

Dla mnie oczywistym było, że rozmawiamy ( w domyśle ) o hostingach. Tak czy inaczej lista TOP100 mało mówi o insfrastrukturze, i chyba się nie dowiemy jak to znacznie 'strip' podnosi wydajność

To są te "niektóre przypadki"?