Pesquisar na Comunidade

Olá Pessoal, Hoje eu atualizei o CSF Firewall em meus servidores, e agora a seguinte mensagem de alerta está aparecendo: --- Firewall Status: Enabled and Running WARNING: RESTRICT_SYSLOG is disabled. See SECURITY WARNING in Firewall Configuration --- A nova versão 6.41 agora traz esta questão de 'RESTRICT_SYSLOG', conforme descrição abaixo: --- SECURITY WARNING ================ Unfortunately, syslog and rsyslog allow end-users to log messages to some system logs via the same unix socket that other local services use. This means that any log line shown in these system logs that syslog or rsyslog maintain can be spoofed (they are exactly the same as real log lines). Since some of the features of lfd rely on such log lines, spoofed messages can cause false-positive matches which can lead to confusion at best, or blocking of any innocent IP address or making the server inaccessible at worst. Any option that relies on the log entries in the files listed in /etc/syslog.conf and /etc/rsyslog.conf should therefore be considered vulnerable to exploitation by end-users and scripts run by end-users. NOTE: Not all log files are affected as they may not use syslog/rsyslog The option RESTRICT_SYSLOG disables all these features that rely on affected logs. These options are: LF_SSHD LF_FTPD LF_IMAPD LF_POP3D LF_BIND LF_SUHOSIN LF_SSH_EMAIL_ALERT LF_SU_EMAIL_ALERT LF_CONSOLE_EMAIL_ALERT LF_DISTATTACK LF_DISTFTP LT_POP3D LT_IMAPD PS_INTERVAL UID_INTERVAL WEBMIN_LOG LF_WEBMIN_EMAIL_ALERT PORTKNOCKING_ALERT This list of options use the logs but are not disabled by RESTRICT_SYSLOG: ST_ENABLE SYSLOG_CHECK LOGSCANNER CUSTOM*_LOG The following options are still enabled by default on new installations so that, on balance, csf/lfd still provides expected levels of security: LF_SSHD LF_FTPD LF_POP3D LF_IMAPD LF_SSH_EMAIL_ALERT LF_SU_EMAIL_ALERT For advice on how to help mitigate these issues, see /etc/csf/readme.txt If you set RESTRICT_SYSLOG to "0" or "2" and enable any of the options listed above, it should be done with the knowledge that any of the those options that are enabled could be triggered by spoofed log lines and lead to the server being inaccessible in the worst case. If you do not want to take that risk you should set RESTRICT_SYSLOG to "1" and those features will not work but you will not be protected from the exploits that they normally help block 0 = Allow those options listed above to be used and configured 1 = Disable all the options listed above and prevent them from being used 2 - Disable only alerts about this feature and do nothing else --- Agora fica dúvida deixar 0, 1 ou 2! É uma dúvida cruel, deixando 0 ou 2 podemos ter linhas de logs fraudados, e como eles informam, na pior das hipóteses o servidor poderá ficar inacessível. Deixando como 1, nos protegeremos contra log fraudado e do servidor ficar inacessível, porém não receberemos mais os alertas mencionados acima e a segurança que eles proporcionam. Se alguém estiver mais aprofundado no assunto e puder dar uma força, valeu!

Verificando os servidores hoje para atualizações, notei que foi lançada a versão 5.47 do CSF Firewall, até aí tranquilo, pelo próprio WHM cliquei no botão para atualização, ele fez a atualização normalmente, informou que foi concluída, porém o CSF continua informando que existe a atualização 5.47. - A new version of csf (v5.47) is available. Upgrading will retain your settings View ChangeLog Agora fiquei sem entender, efetuei a atualização, mas continua solicitando para atualizar, e isto está ocorrendo em todos os meus servidores. O que pode ser isto, alguém já atualizou?