Linux-security

Rejtélyes fájlátnevezés valami.php-ról valami.php.suspected-re

Fórumok

Sziasztok!

Egy nagyon érdekes esettel találkoztam a napokban.

Van egy Debian Jessie szerver, mely weboldalakat hosztol. Főként CMS-eket, WordPress-szeket.

Előfordul olykor, hogy bizonyos fájlokat valami átnevez pl.: wp-db.php-ről wp-db.php.suspected-re. A legutóbbit ftp-n át történő feltöltéskor nevezte át, és benne is van a ProFTPd transfer logban. Mindezt úgy, hogy abban a fájlban semmi gyanús nincs, viszont a szájt persze lehal nélküle. De előfordult már, hogy ténylegesen ártalmas kódot tartalmazó fájlt talált meg és nevezett át.

Van a rendszeren telepítve ClamAV, chkrootkit, rkhunter és maldetect. Először a ClamAV-ra gyanakodtam, de az nem rezidens víruskergető, így az nem nevezné át a fájlokat menet közben. A maldetectben pedig nem láttam ilyen funkciót.

Kis kutakodás után a Google megmutatja, hogy jópár embernek volt már ugyanez a problémája különböző CMS-ekkel és rendszerekkel, de az okozója nem igazán világos.

Látott már valaki hasonlót, vagy van ötlete, hogy mi okozhatja ezt a viselkedést?

Előre is köszi a segítséget!

SSH kapcsolat eldobás

Fórumok

Sziasztok, segítséget kérnék egy VPS-en futó Ubuntu 14.04 szerver SSHD konfigurálásával kapcsolatosan.

Szeretném megtudni, hogy lehet azt beállítani, hogy kb. 10 perc inaktív idő után ne bontsa a szerver a kapcsolatot. Más nem VPS szerveren lévő ssh szervereken nincs ilyen gondom, azoknál nem bontódik X idő után a kapcsolat. Sajnos ezeknél a előtelepített VPS-es Linux szervereknél ez már nem mondható el.. :(

Ezekkel már próbálkoztam, nem jár eredménnyel:

TCPKeepAlive
ServerAliveInterval 300
ServerAliveCountMax 2

Előre is köszönöm a segítségeteket!

OpenVPN over I2P

Fórumok

Megoldható valahogy az, hogy OpenVPN szervert működtessek I2P hálózaton?
Csak arra van szükségem, hogy a VPN szerveremhez kapcsolódó kliens ne tudja mi a tényleges IP címem.

Linux HDD teljes titkosítása + OpenVPN kulcs védelem?

Fórumok

Sziasztok!

Mit javasoltok, hogy lehet a legmagasabb fokú adatvédelmet elérni Linuxon?
Azt szeretném, hogy a teljes disk tartalma titkosítva legyen, lehetőleg valami komolyabb, Truecrypt jellegű titkosítással, vagy lehet egyszerűbbel, beépítettel is. AES használat például jó lenne, mert az a CPU által is támogatott.

A cél, hogy a gépet ha egy hozzáértőbb biztonsági szakember akarja feltörni, akkor nagyon ne legyen egyszerű dolga. Vegyük úgy, hogy meg akarok tenni mindent, hogy biztonságos legyen.Itt van 2 cikk:

http://www.howtogeek.com/203708/3-alternatives-to-the-now-defunct-truec…

http://alternativeto.net/software/windows-bitlocker/?license=free&platf…

1. Milyen fajta titkosítási megoldás nyújt legjobb védelmet?

Tehát jelszó után töltődne be az operációs rendszer, majd lenne a felhasználónak is valami egyedi jelszava természetesen, mint Linux user.

2. Jól gondolom, hogy ez nem zárja ki, ha használjak akár valami Thinkpad FDE jellegű titkosítást is, mint másik biztonsági szint?

https://support.lenovo.com/us/en/documents/migr-69621

Tehát bekapcsolom a gépet, megadom a disk olvasáshoz a jelszót (FDE), amit a BIOS kérdez, majd utána a Linux boot előtt/közben is kér jelszót, majd betöltődik az operációs rendszer és belépek a felhasználómmal.

3. Melyik distro támogatja alapból a lenti igényeket, amit szeretnék, melyiken nem lehetséges ezt megvalósítani, melyiken a legegyszerűbb?

Distro / szoftver (nem túl nagy) igények:
- legyen hozzá rendszeres biztonsági frissítés legalább 2 évig, és át lehessen állni majd az újabb verzióra, ha már nincs támogatás, egyszerűen
- chrome és firefox böngésző legyen benne a csomagjaik között
- openvpn támogatás
- valami grafikus gui

(ezt kb minden "nagy" distro tudja, de azért leírtam)

Distro, amiket választanék, sorrendben, kérnék éveket, ellenérveket, ha nem túl érzelmi alapúak:

A.: CentOS 6 (ezt ismerem legjobban, a célnak megfelelő lehet, van hozzá gui. Ellenérv? )
B.: Fedora 22 (ez frissebb, több a frissítés, amik néha nem működnek. Miért előnyösebb mint a CentOS?)
C.: Ubuntu 14 TLS (populáris, de kevésbé ismerem. Miért előnyösebb, mint az előző kettő, a célra?)

4. Melyiket javasoljátok a célra?

Felhasználási terület, VPN-en keresztül:
- böngészés
- levelezés
- privát állományok tárolása

(Számomra) érzékeny adatokkal.

5. Bármilyen javaslat az OpenVPN kulcs extra védelmére?

Külön Truecrypt konténerbe tenni, vagy ennél elegánsabb, automatizáltabb módja?
Jelszó az OpenVPN kulcs használatához? Vagy még valami?

6. Hogy tudom a Linuxot a leginkább paranoid módon biztonságossá tenni? Gondolok itt a leginkább zárt tűzfal/iptables beállításokra, root belépés letiltás, SSH-t más portra, stb?

Eleve egy külön, nem root felhasználó futtatná természetesen a böngészőt, stb.
7. Külön titkosítás minden Linux felhasználó adatának?

Tudnátok erről valami ajánlott leírást, cikket adni?

8. Milyen távmenedzsment programot lehetne ennek ellenére használni ezen a gépen? Spacewalk jellegűre gondoltam.

http://spacewalk.redhat.com/

Köszönöm előre is az észrevételeket, javaslatokat.

Tudom, ez így egyben sok(k)... :-)

[MEGOLDVA} ssl cert java keystore

Fórumok

Hali,

van par lejart tomcat certem, arra gondoltam, hogy nosza ideje lecserelni oket.
Mivel csak belso hasznalatra van, ezert arra gonidoltam, hogy legyen self signed CA-nk, es akkor minden kizoldul.

Nekialltam legeneralni a certeket CA.pl -lel, mert lusta vagyok.
Mivel belso rendszer, ezert gyakran hasznaljak domain nev nelkul is. Mondom nem gond, akkor lesz SAN.

Az /etc/ssl/openssl.conf-ba megcsinaltam a modositasokat:


req_extensions = v3_req # The extensions to add to a certificate request

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = valami.example.com
DNS.2 = valami

/usr/lib/ssl/misc/CA.pl -newreq

openssl req -text -noout -verify -in newreq.pem

Na ez szepen ki is irja:

Requested Extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:valami.example.com, DNS:valami

/usr/lib/ssl/misc/CA.pl -sign
openssl rsa -in newkey.pem -out newkey.nopass.pem

openssl pkcs12 -export -out newkey.nopass.p12 -inkey newkey.nopass.pem -in newcert.pem -certfile /etc/ssl/ca/cacert.pem -passout pass:changeit

keytool -importkeystore -srcstorepass changeit -deststorepass changeit -destkeystore keystore -srckeystore newkey.nopass.p12 -srcstoretype PKCS12

Szoval keszen is van a keystore, ellenorizzuk:

/usr/java/bin/keytool -list -v -keystore keystore -storepass changeit

Na itt mar nincs benne a SAN.

Ha viszont a keytoollal generalok keystore-t:


$ keytool -genkeypair -alias sha256 -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore truststore -storepass changeit -ext san=dns:valami.example.com,dns:valami
What is your first and last name?
[Unknown]:
What is the name of your organizational unit?
[Unknown]:
What is the name of your organization?
[Unknown]:
What is the name of your City or Locality?
[Unknown]:
What is the name of your State or Province?
[Unknown]:
What is the two-letter country code for this unit?
[Unknown]:
Is CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown correct?
[no]: yes

Enter key password for
(RETURN if same as keystore password):
Re-enter new password:


$ keytool -list -v -keystore truststore -storepass changeit
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: sha256
Creation date: Sep 29, 2015
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown
Issuer: CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown
Serial number: 5df9df99
Valid from: Tue Sep 29 10:28:23 CEST 2015 until: Mon Dec 28 09:28:23 CET 2015
Certificate fingerprints:
MD5: 73:22:E4:E3:BB:08:08:06:75:74:C5:DD:9F:52:C1:4C
SHA1: 91:2F:9E:33:F6:47:FE:A8:8A:2F:7B:A1:EB:75:72:6A:B8:A4:C6:C0
SHA256: EA:3E:17:CD:93:4A:A8:85:DB:EA:03:83:CE:6D:63:C4:94:11:5F:E0:3F:EB:36:7F:71:1F:EB:E2:AA:D5:31:D5
Signature algorithm name: SHA256withRSA
Version: 3

Extensions:

#1: ObjectId: 2.5.29.17 Criticality=false
SubjectAlternativeName [
DNSName: valami.example.com
DNSName: valami
]

#2: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 06 A3 48 26 76 26 88 57 67 EF A6 A0 2F B9 56 CF ..H&v&.Wg.../.V.
0010: 53 4E AE 6A SN.j
]
]

*******************************************
*******************************************

Viszont ez utobbit a belso CA-val nem tudom alairni. Igy tovabbra is hisztiznek a bongeszok. Azt meg nem akarom, hogy minden egyes tomcat alkalmazasnal exportaljam a kulcsokat es importaljam a cegnel elofordulo osszes bongeszobe. Meg megismetelni ezt minden egyes cert cserelesekor.

Hogy tudnam ravenni a rendszert, hogy openssl-el generalt SAN-os cert-et tudjak importalni java keystore-ba, ugy hogy megmaradjanak a SAN-ok?

MEGOLDAS:

szoval lekezdtem vegigjatszani a parancsokat, es kiderult, hogy a SAN nem a keytool import soran tunik el, hanem mar az alairaskor.
Igy az egyik megoldas, hogy a CA.pl-ben kijavitja az ember, hogy az alairaskor is betoltse a modult (a "-extensions v3_req" hianyott):

$CA="$openssl ca -extensions v3_req $SSLEAY_CONFIG";

Vagy kezzel irogatja ala az ember:

openssl ca -policy policy_anything -extensions v3_req -out newcert.pem -config ./openssl.cnf -infiles newreq.pem

Meg azt nem neztem, hogy az openssl.conf alapjan miert nem rantja be az extension-t, majd kesobb, eloszor rendbe rakom a cert-eket.

Hardveres biztonsági megoldások használata Linux-szal

Fórumok

Sziasztok!

Tegnap megérkezett az új Dell notebookom, és azon tűnődök épp, hogy ha kizárólag Linuxot fogok futtatni rajta kisvállalati környezetben, akkor vajon van-e bármi gyakorlati haszna a hardver által nyújtott biztonsági technológiák használatának?Konkrétan ezekre gondolok:

  • TPM: mint tudjuk, Windows-vonalon a BitLocker képes a TPM chipben tárolni a lemeztitkosításhoz használatos kulcsot. Linux környezetben LUKS-szal megoldható valami hasonló, de fogalmam sincs, hogy ez valóban ad-e bármi pluszt, illetve mivel work-in-progress megoldás, ezért a stabil működés sem feltétlenül biztosított. Bár az ötlet tetszik, de azért vannak aggályaim. Talán a legtriviálisabb, hogy ha elszáll a TPM chip a gépben, akkor buktam az adataimat (igen, tudom, erre a rendszeres backup a megoldás :), illetve mi garantálja, hogy az itt tárolt kulcsokhoz valóban csak én férhetek hozzá (és mondjuk nincsenek beépített backdoor-ok valahol az implementációban)? A lemeztitkosításon kívül talán még az SSH-kulcsok biztonságos tárolása lehet egy lehetséges felhasználási terület, bár nem tudom, ez mennyire elterjedt dolog, és hogy mik a gyakorlati tapasztalatok vele. Ti tudtok más felhasználási területről Linux környezetben? Mondjuk Wifi/VPN/weboldal jelszavakat lehet tárolni benne? Ha igen, mik a tapasztalatok ezzel? Vannak már stabil, csomagból telepíthető megoldások?
  • EFI/UEFI: ahogy olvasgatom a neten, eléggé megosztó technológia. Sokan csak egy újabb támadási felületet látnak benne (megjegyzem, nem alaptalanul), mások meg ebben látják a jövőt, a fejlődést, mindent, ami szép és jó. Nem másztam bele nagyon a témába, de ha jól sejtem, ez is inkább nagyvállalati környezetben lehet igazából hasznos, ahol gépek százait/ezreit kell (távolról) menedzselni. Vagy tévednék?
  • Secure Boot: azt hiszem, ezt senkinek nem kell bemutatni, a kezdeti felháborodás ellenére mostanra már szinte az összes nagyobb Linux disztribúcióval működik, de azt már nem tudom, mennyire reális az a veszély, hogy Linuxon a boot kódot, firmware-t manipuláló malware-ek kezdenek terjedni?
  • Computrace: nem teljesen jött le, hogy ez pontosan mire is való. Illetve, ha jól értem, ez egy klasszikus agent-server konfigurációban működő, eszközök nyomon követésére használható szolgáltatás, így önmagában nem sok haszna van, fel kell húzni egy szervert is hozzá. Van linuxos agent is hozzá, de sajnos nincs vele semmi tapasztalatom, ezért nem tudom eldönteni, hogy használjam-e vagy sem.

Összegezve: szerintetek van értelme a fenti, hardveres/hardver-közeli biztonsági technológiákat használni általában, illetve Linux környezetben vagy mindez csak parasztvakítás, és - demagóg leszek - csak a márkás gépek jobb (nagyvállalati) eladhatóságát célozzák, vagy ennél is meredekebb dolgokat (pl. NSA-féle adatgyűjtés segítése)?

OpenSWAN + L2TPv3

Fórumok

Sziasztok,

Adott két gépem és azok között szeretnék egy statikus, bridgelt hálózatot csinálni, természetesen biztonságos módon. Ez arra fog szolgálni, hogy összekössem egy halom virtuális gép belső hálózatát és ne kelljen routolni, mert annak megvannak a maga problémái.

Az általam választott eszköz az IPSec / L2TP lenne, egész pontosan az OpenSWAN és a kernelben bent levő L2TPv3 támogatás, mert az tud layer 2-es tunnelt. Szépen össze is áll a kapcsolat, ahogy illik, transport módban, viszont innen nem tudom, hova tovább. Hogyan veszem rá az L2TP-t, hogy ezen a kapcsolaton keresztül menjen?

Köszönöm

János