Nova Versão - Csf Firewall

[Fernando Rafs]

Olá Pessoal,

 

Hoje eu atualizei o CSF Firewall em meus servidores,  e agora a seguinte mensagem de alerta está aparecendo:

 

---

Firewall Status: Enabled and Running

WARNING: RESTRICT_SYSLOG is disabled. See SECURITY WARNING in Firewall Configuration

---

 

A nova versão 6.41 agora traz esta questão de 'RESTRICT_SYSLOG', conforme descrição abaixo:

 

---

SECURITY WARNING
================

Unfortunately, syslog and rsyslog allow end-users to log messages to some
system logs via the same unix socket that other local services use. This
means that any log line shown in these system logs that syslog or rsyslog
maintain can be spoofed (they are exactly the same as real log lines).

Since some of the features of lfd rely on such log lines, spoofed messages
can cause false-positive matches which can lead to confusion at best, or
blocking of any innocent IP address or making the server inaccessible at
worst.

Any option that relies on the log entries in the files listed in
/etc/syslog.conf and /etc/rsyslog.conf should therefore be considered
vulnerable to exploitation by end-users and scripts run by end-users.

NOTE: Not all log files are affected as they may not use syslog/rsyslog

The option RESTRICT_SYSLOG disables all these features that rely on affected
logs. These options are:
LF_SSHD LF_FTPD LF_IMAPD LF_POP3D LF_BIND LF_SUHOSIN LF_SSH_EMAIL_ALERT
LF_SU_EMAIL_ALERT LF_CONSOLE_EMAIL_ALERT LF_DISTATTACK LF_DISTFTP
LT_POP3D LT_IMAPD PS_INTERVAL UID_INTERVAL WEBMIN_LOG LF_WEBMIN_EMAIL_ALERT
PORTKNOCKING_ALERT

This list of options use the logs but are not disabled by RESTRICT_SYSLOG:
ST_ENABLE SYSLOG_CHECK LOGSCANNER CUSTOM*_LOG

The following options are still enabled by default on new installations so
that, on balance, csf/lfd still provides expected levels of security:
LF_SSHD LF_FTPD LF_POP3D LF_IMAPD LF_SSH_EMAIL_ALERT LF_SU_EMAIL_ALERT

For advice on how to help mitigate these issues, see /etc/csf/readme.txt

If you set RESTRICT_SYSLOG to "0" or "2" and enable any of the options listed
above, it should be done with the knowledge that any of the those options
that are enabled could be triggered by spoofed log lines and lead to the
server being inaccessible in the worst case. If you do not want to take that
risk you should set RESTRICT_SYSLOG to "1" and those features will not work
but you will not be protected from the exploits that they normally help block

0 = Allow those options listed above to be used and configured
1 = Disable all the options listed above and prevent them from being used
2 - Disable only alerts about this feature and do nothing else

---

 

Agora fica dúvida deixar 0, 1 ou 2!

 

É uma dúvida cruel, deixando 0 ou 2 podemos ter linhas de logs fraudados, e como eles informam, na pior das hipóteses o servidor poderá ficar inacessível.

 

Deixando como 1, nos protegeremos contra log fraudado e do servidor ficar inacessível, porém não receberemos mais os alertas mencionados acima e a segurança que eles proporcionam.

 

Se alguém estiver mais aprofundado no assunto e puder dar uma força, valeu!

[LucianoZ]

eu também to querendo saber, ainda nem atualizei o Firewall no principal por causa disso.

[matt]

Ninguém mais para comentar sobre isso, o que é mais aconselhável?

[Jefferson]

E agora?

[Fernando Rafs]

E agora?

 

É aquele negócio, ou vai ou racha :D

 

0 ou 2 = Possibilidade de logs fraudados ou na pior das hipóteses o servidor poderá ficar inacessível, PORÉM recebendo alertas e outros logs que julgo serem importantes para segurança/monitoramento;

 

Ou

 

1 =  Proteção contra log fraudado e do servidor ficar inacessível PORÉM  sem alguns Logs/Alertas que muitos utilizam.

 

Pelo que entendi utilizando um ou outro podemos ter segurança diminuída, e segurança diminuída o servidor pode de qualquer forma vir a ficar Offline. Já que mesmo utilizando '1' vários logs/alertas serão desativados e com isto a segurança pode ir pro saco.

 

Se alguém mais aprofundado e conhecedor do assunto puder compartilhar sua experiência a comunidade agradece, porque para mim até o momento, estarei trocando 6 por meia dúzia, deixando 0/2 ou 1. No momento prefiro deixar 0, até ter algo mais concreto.

[Alexandre Duran]

Opção 2 é a melhor.

[LucianoZ]

Vixi que dúvida do cão é essa rs.

[Rhuan]

A 2 seria da maneira como está e sempre esteve, você permanece vulnerável a esse exploit (que não deve ser novo) porém tem os alertas e certas funções funcionando, apesar de que boa parte desses alertas e bloqueios podem ser feitos pelo cPHulk Bruteforce, vai de cada um...

[chuvadenovembro]

Em teoria, se não optar pela opção 2, o csf deixa de fornecer avisos sobre bloqueios e sobre relay.

 

Sendo assim, quem não tem o habito de monitorar o servidor por esses emails acho que poderia desativar o syslog e ativar o cphulk.

 

O problema do cphulk é que a remoção de ip bloqueado precisa ser feito via whm :(

[Rhuan]

Em teoria, se não optar pela opção 2, o csf deixa de fornecer avisos sobre bloqueios e sobre relay.

 

Sendo assim, quem não tem o habito de monitorar o servidor por esses emails acho que poderia desativar o syslog e ativar o cphulk.

 

O problema do cphulk é que a remoção de ip bloqueado precisa ser feito via whm :(

Não necessariamente, o cPHulk armazena todas as informações num banco de dados, logo da pra montar um script bem tranquilo pra fazer a limpeza.