cd /usr/ports/databases/mysql51-server/
make install clean
mysql_install_db
chown –R mysql:mysql /var/db/mysql
echo mysql_enable=YES >> /etc/rc.conf
/usr/local/etc/rc.d/mysql-server start

Дальше запускаем консоль командой mysql

UPDATE mysql.user SET Password=PASSWORD('NEWROOTPASSWORD') WHERE User='root';
DELETE FROM mysql.user WHERE User='';
DELETE FROM mysql.user WHERE User='root' AND Host!='localhost';
DROP DATABASE test;
DELETE FROM mysql.db WHERE Db='test' OR Db='test\\_%';
FLUSH PRIVILEGES;
exit

Что мы сделали? В порядке выполнения команд получается так:

mtree создает список файлов и их свойств в заданном каталоге. Полученный список может использоваться в дальнейшем для сравнения при помощи mtree текущего состояния файлов с моментом, когда создавался список. Если при сравнении будут найдены несоответствия mtree выведет на консоль информацию о них.

Нужно понимать, что файл со списком должен быть надежно защищен. Если злоумышленник найдет этот файл, то он сможет его изменить и он станет совершенно бесполезен. Для защиты лучше всего файл зашифровать и перенести с сервера на другую машину или еще лучше флешку.

Перейдем непосредственно к созданию списка:

cd /sbin
mtree -c -K uid,gid,mode,flags,size,cksum,md5digest,sha1digest,ripemd160digest > /root/sbin-mtree

Теперь файл /root/sbin-mtree можно использовать для проверки.

cd /sbin
touch test
mtree < /root/sbin-mtree
. changed
        modification time expected Wed Feb 17 14:19:16 2010 found Wed Mar 31 17:11:12 2010
test extra

Как видите, все достаточно просто. Поговорим немного об автоматизации и процессе использования mtree. Написать скрипт проверки не составляет проблемы, выглядеть он будет примерно так:

#!/bin/sh
MTREE_FILES_DIR='/mnt/security'
DIR_LIST='bin sbin etc root usr-bin usr-sbin usr-local-sbin usr-local-bin usr-local-etc boot'

for dir in $DIR_LIST; do
 realdir="/`/bin/echo $dir|/usr/bin/sed 's/-/\//g'`"
 cd $realdir
 mtree_result=`/usr/sbin/mtree 2>/dev/null < $MTREE_FILES_DIR/${dir}-mtree
 if [ "x$?" != "x0" ]; then
   echo $mtree_result | mail admin@mail.domain
 fi
done

Здесь есть важный момент /mnt/security должен монтироваться в read-only по NFS например, так чтобы злоумышленник не мог поменять содержимое файлов.

Для FreeBSD я составил такой список каталогов, конечно же на рабоче системе будут и другие каталоги:
/bin
/sbin
/etc
/root
/usr/bin
/usr/sbin
/usr/local/sbin
/usr/local/bin
/usr/local/etc
/boot

Естественно безопасность добавляет проблем при работе, в данном случае придется при каждом обновлении системы или софта обновлять списки mtree. Но кто сказал, что будет легко?

П.С.
Для написания заметки использовалась глава “Use mtree as a Built-in Tripwire” из книги “BSD hacks”

for i in  `gzcat /var/log/messages.*| fgrep ssh | fgrep 'authentication error for illegal'|awk '{print $15}'`;do
geoiplookup $i;
done| cut -d',' -f2|sort|uniq -c|sort -n|tail -n10

Получился любопытный график

block in quick on $if inet proto tcp from to $me port 80

Как красиво выглядит такое правило в PF по сравнению с ужасным аналогом в iptables:

$IPTABLES -A INPUT -i eth1 -p tcp -m tcp -s 192.168.0.1 -d $me –dport 80 -j DROP
$IPTABLES -A INPUT -i eth1 -p tcp -m tcp -s 192.168.4.1 -d $me –dport 80 -j DROP
$IPTABLES -A INPUT -i eth1 -p tcp -m tcp -s 10.10.0.1 -d $me –dport 80 -j DROP
$IPTABLES -A INPUT -i eth1 -p tcp -m tcp -s 10.0.1.1 -d $me –dport 80 -j DROP
…

И так далее. Более того, проверка каждого нового правила – это лишняя нагрузка на процессор, так что если у вас несколько тысяч правил, то не удивляйтесь idle процессора, равного 0 процентов… В общем такое положение дел в iptables меня долго отпугивало от него. Но не так давно я нашел проект http://ipset.netfilter.org/ , который дает весь функционал таблиц PF и даже больше!

Настройка вся ведется на gentoo, так что мне не пришлось патчить ядро и пересобирать его:

emerge ipset
modprob ipt_set

Теперь у нас есть и работает ipset. В ipset нет таблиц, а есть set различных типов. Типы позволяют задавать ip адреса из определенной подсети (ipmap тип), связки ip адресов с MAC адресами (macipmap), порты из заданного диапазона (portmap), набор ip адресов или сетей (iphash, nethash), разные комбинации этих set-ов, или даже хранить ip адреса в set только определенное время (iptree). Более подробно советую посмотреть man ipset(8).

Для нашей задачи подходит тип iphash. Создаем set с именем badip, и смотрим его содержимое:

# ipset -N badip iphash
# ipset -L badip
Name: test
Type: iphash
References: 0
Default binding:
Header: hashsize: 1024 probes: 8 resize: 50
Members:
Bindings:

Добавляем несколько ip в badip и смотрим содержимое set

# ipset -A badip 192.168.0.1
# ipset -A badip 10.10.0.1
# ipset -L test
Name: test
Type: iphash
References: 0
Default binding:
Header: hashsize: 1024 probes: 8 resize: 50
Members:
192.168.0.1
10.10.0.1
Bindings:

Удаляем ip из set

# ipset -D badip 192.168.0.1
# ipset -L test
Name: test
Type: iphash
References: 0
Default binding:
Header: hashsize: 1024 probes: 8 resize: 50
Members:
10.10.0.1
Bindings:

Проверяем, есть ли ip в set

# ipset -T badip 10.10.0.1
10.10.0.1 is in set test.

Удаляем все ip из set

# ipset -F badip

Удаляем сам set

# ipset -X badip

Теперь, когда мы разобрались с основными командами ipset нужно научиться использовать его в iptables, перепишем правило iptables:

$IPTABLES -A INPUT -i eth1 -p tcp -m tcp -d $me -m set –set badip src –dport 80 -j DROP

Т.е. мы подключили модуль set (-m set), потом указали какой set использовать (–set badip src). src – это флаг, который показывает какие ip сравнивать с set, src или dst . Если нужно проверить и src и dst, то флаг задается так src,dst. В результате использования ipset можно упросить и само написание правил и быстродействие фаервола в целом.

root@mars:~# openvpn –remote 192.168.100.10 –dev tun0 \
–ifconfig 10.0.0.1 10.0.0.2
root@moon:~# openvpn –remote 192.168.0.100 –dev tun0 \
–ifconfig 10.0.0.2 10.0.0.1

После какого-то времени должно появится сообщение

Wed Sep 29 15:33:05 2009 Initialization Sequence Completed

Что означает, что туннель был создан. Опция remote задает адрес, к которому будет подключаться openvpn и с которого он готов принимать трафик, dev указывает какой интерфейс использовать для туннеля, последняя опция ifconfig определяет IP адреса для создаваемого туннеля, первый для своей стороны, второй для удаленной.
Теперь можно открыть два новых терминала на mars и moon и проверить, работает ли туннель

user@mars:~$ ping 10.0.0.2
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=0.421 ms
…
user@moon:~$ ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.360 ms
…

Следует сразу сказать, что так VPN поднимать не нужно по двум причинам. Во-первых мы не задали опций для шифрования, т.е. весь трафик у нас идет в открытом виде. Во-вторых при закрытии консолей, в которых был запущен openvpn, на любом из компьютеров приведет к закрытию туннеля. Так что такой способ подходит только для тестовых целей.

Лучше поменять права на файл, так чтобы его нельзя было перезаписать:
$ chmod 400 id_rsa
Теперь нужно поместить публичный ключ на сервер, можно это сделать «руками», т. е. скопировать в буфер публичный ключ, зайти на сервер и добавить редактором в ~/.ssh/authorized_keys нужные строчки. А можно воспользоваться утилитой ssh-copy-id:
$ ssh-copy-id -i id_rsa.pub admin@server1.domain.ru
ssh-copy-id не только корректно скопирует ключ, но и проверит права на файл, его владельца, а так же вы копируете именно публичный ключ, а не приватный по ошибке.

При генерации пары ключей ssh-keygen запросит у вас пароль, его можно оставить пустым. Это конечно удобно, заход на сервер будет производиться без каких либо вопросов, но нужно помнить, если ваши ключи будут украдены, ничто не помешает злоумышленнику ими воспользоваться.