Titkosítás, biztonság, privát szféra

Vagy lökött vagyok igaz, hogy nem tudok angolul; de mintha a www.theneoproject.com-on az lenne kiírva, hogy elkezdik az rsa-640-et...

Az American Megatrends (AMI) 4 nappal ezelőtt, január 6-án bejelentette a 'trusted computing' Palladium BIOS-át. Úgy tűnik, hogy az elkódolt BIOS integritását egy speciális chip vagy flash ROM ellenőrzi, és a boot folyamat során ellenőrzésre kerül a 'hitelesség, az integritás, a titoktartás (privacy)' és az operációs rendszer.Ez azt jelentheti, hogy ezek a gépek visszautasíthatják a non-'trusted' OS-ek bebootolását? A technológiát támogatók között van az AMD, Intel, IBM, és HP, amelyek közül mindegyik kedvezően vélekedik a Linuxról. Reméljük, hogy nem kell attól félni, hogy házilag barkácsolt alaplapokkal kell a Linuxot, *BSD-t bootolni. Hogy mi is a Palladium igazából?

Olvasd el az ide kapcsolódó cikket:

Orwelli jővőkép még az idén?

Bob Toxen - aki egyike a 162 elismert Berkeley UNIX fejlesztőknek - elkészítette a visszatekintését a biztonsági eseményekről amelyek 2002-ben történtek a Linux világában, és közben beletekintve a kristálygömbjébe, előrevetítette a várható biztonsági hibákat, eseményeket a 2003-as évre nézve. Az úriember Real World Linux Security című könyv szerzője, de ennek ellenére furcsa dolgokat állít. A cikkében többek között azt írja, hogy véleménye szerint az OpenSSH nem elég biztonságos, hogy azt "termelő" környezetben lehessen használni, így használjuk helyette az ssh.com féle kereskedelmi verzió (ingyenes linuxra), mert az sokkal biztonságosabb, és könnyebb használni.

Hát nem tudom mit mondjak. December 17-én egy olyan sebezhetőséget fedeztek fel az SSH implementációkban ami tömegében érintette a témában felbukkanó ssh programokat. Egyedül az OpenSSH nem volt sebezhető.

Ennelk ellenére, akit érdekel olvassa el itt.

Megjelent a GrSecurity 1.9.8 stable verziója a 2.4.20-as kernelhez. A GrSecurity egy biztonsági patch a 2.4-es kernelekhez, mely a kezdeti "Openwall for 2.4"-ből mára elég erős és teljesen önálló dologgá nőtte ki magát. Az új verzió még robosztusabb és gyorsabb ACL rendszert tartalmaz, valamint az SHA1 kódolásról áttértek az SHA256-ra. Az új relase mostmár támogatást nyújt a nem x86 alapú rendszerekhez is.



Feature-ök, Homepage, Magyar mirror

Helló, mindenki! Boldog Szilveszter Napot! A Nagy Szilveszteri Forgalomban jól jön a biztonság ... Közel egy évvel a feture-freeze után végre itt az OpenSSL 0.9.7 a legújabb platformokra is így például Linux sparc64 meg x86_64-re! A verzió rengeteg kiváló feature-t tartalmaz, amiből még szemezgetni sem merek, úgyhogy inkább itt a bejelentés: http://www.openssl.org/news/announce.html. Feltétlenül olvassátok a hup-t, mert még sok minden történik idén!

Megjelent a Linux Advisory Watch eheti kiadása. A Linux Advisory Watch heti rendszerességgel megjelenő összefoglaló a Linux világában felbukkanó biztonsági hibákról. A héten megjelent figyelmeztetések a Caldera, Debian, Gentoo, és a SuSE terjesztéseket érintik. Az érintett programok pedig a bind, perl, canna, klisa, cyrus-imapd, wget, kde, és a fetchmail.

Linux felhasználóknak kötelező.

A hírlevelet elolvashatod itt.

Mint tudjuk az rpc impementáció számos súlyos hibát tartalmazott az elmúlt évek során. A NFS (Network File System) működéséhez szükség van az rpc-re. A Biztonságos (Secure) NFS (SNFS) az SSH2-n keresztül tunnelezve küldi a UDP datagram-okat, amely lényegesen nagyobb biztonságot nyújt a hagyományos módszernél. Ez a funkció implementálva van sec_rpc-1.35.tar.gz csomagba, amely egy továbbfejlesztett verziója az eredeti sec_rpc csomagnak, amelyet Holger Trapp fejlesztett.

Az SSH2-n keresztüli tunnelezés növeli a kapcsolat biztonságát, és megelőzi (meg próbálja előzni) az IP spoofing típusú támadást (az SSH Protocol 1 is használható, viszont a Protocol 2 biztonságosabb). Az SNFS működik az NFS mindkét jelenlegi verziójával, az NFS1-gyel és az NFS2-vel is (a jövőbeli NFS 4-ről nincs infó) . Az SNFS tesztelve van Linux i386 és alpha 21164/21264 platformokon RedHat 7.1-8.0 OS-sel. Szintén működik HPUX, FreeBSD, és Solaris alatt. A konfigurációs szkriptek az 5.006-os vagy újabb perl meglétét igénylik a rendszeren.

Nem csak NFS-t lehet tunnelezni SSH segítségével, hanem CVS-t ls lpd-t is. Volt idő amikor még én is SSH tunnelen keresztül IRC-ztem ;-)

Ezekről a dolgokról ezen a siteon olvashatsz bővebben.

Biztonságról beszélő cikk, "apró" biztonsági hibákkal.

A LinuxJournal-on jelent meg egy cikk Jose Nazario tollából arról, hogy hogyan építsünk biztonságos, távoli web alapú email rendszert.

A cikk végigvezet a telepítés menetén, ahogy néztem forrásból, segít abban hogy saját ceritikációt készítsünk az SSL-lel biztosított mail szerverünkhöz, stb., szóval hasznos elolvasni.A telepítéshez aeromail-1.40.tar.gz, apache_1.3.14.tar.Z, imap.tar.Z, mod_ssl-2.7.1-1.3.14.tar.gz, openssl-0.9.6.tar.gz, php-4.0.3pl1.tar.gz csomagokat használ a cikk írója.

Kis bajom a cikkel, hogy túl régi csomagokat használ, hiszen a cikk tegnap jelent meg és a legfrissebb apache az 1.3.27-es, az ez előtti verzió biztonsági hibákat tartalmaz, a mod_ssl 2.8.12 már elérhető, az előzőek biztonsági hibákat tartalmaznak, az openssl library-ból a 0.9.6g a legfrissebb amely _fontos_ biztonsági hibákra tartalmaz javítást, és végül a php amelyből a 4.2.3-as a legfrissebb stabil verzió amely számos biztonsági hibát tartalmaz.

Ezen apró "bakiktól" eltekintve a doksi jó, csak azt kell figyelembe venni, hogy mindenből a legújabb _bugmentes_ verziót kell használni.

A cikket megtalálod itt.

Markus Friedl bejelentette, hogy megjelent az OpenSSH 3.5.Elérhető a mirrorokon. A változások bugfixek, jobb Privilege Separation támogatás (portabilitás, Kerberos, PermitRootLogin kezelés), stb.

Markus levele:Date: Tue, 15 Oct 2002 20:58:07 +0200

From: Markus Friedl

To: announce@openbsd.org

Subject: OpenSSH 3.5 released

OpenSSH 3.5 has just been released. It will be available from the

mirrors listed at http://www.openssh.com/ shortly.

OpenSSH is a 100% complete SSH protocol version 1.3, 1.5 and 2.0

implementation and includes sftp client and server support.

We would like to thank the OpenSSH community for their continued

support and encouragement.

Changes since OpenSSH 3.4:

============================

* Improved support for Privilege Separation (Portability, Kerberos,

PermitRootLogin handling).

* ssh(1) prints out all known host keys for a host if it receives an

unknown host key of a different type.

* Fixed AES/Rijndael EVP integration for OpenSSL
problems with bounds checking patches for gcc).

* ssh-keysign(8) is disabled by default and only enabled if the

HostbasedAuthentication option is enabled in the global ssh_config(5)

file.

* ssh-keysign(8) uses RSA blinding in order to avoid timing attacks

against the RSA host key.

* A use-after-free bug was fixed in ssh-keysign(8). This bug

broke hostbased authentication on several platforms.

* ssh-agent(1) is now installed setgid in order to avoid ptrace(2)

attacks.

* ssh-agent(1) now restricts the access with getpeereid(2) (or

equivalent, where available).

* sshd(8) no longer uses the ASN.1 parsing code from libcrypto when

verifying RSA signatures.

* sshd(8) now sets the SSH_CONNECTION environment variable.

* Enhanced "ls" support for the sftp(1) client, including globbing and

detailed listings.

* ssh(1) now always falls back to uncompressed sessions, if the

server does not support compression.

* The default behavior of sshd(8) with regard to user settable

environ variables has changed: the new option PermitUserEnvironment

is disabled by default, see sshd_config(5).

* The default value for LoginGraceTime has been changed from 600 to 120

seconds, see sshd_config(5).

* Removed erroneous SO_LINGER handling.

Checksums:

==========

- MD5 (openssh-3.5p1.tar.gz) = 42bd78508d208b55843c84dd54dea848

- MD5 (openssh-3.5.tgz) = 79fc225dbe0fe71ebb6910f449101d23

Reporting Bugs:

===============

- please read http://www.openssh.com/report.html

and http://bugzilla.mindrot.org/

OpenSSH is brought to you by Markus Friedl, Niels Provos, Theo de Raadt,

Kevin Steves, Damien Miller and Ben Lindstrom.

NewsFactor: "Ramen, Slapper, Scalper és Mighty. Ezek a férgek (worm) szivárogtak be az elmúlt hetekben a rosszul, vagy hiányosan adminisztrált Linux szerverekbe, átvették az "irányítást" és intéztek distributed denial-of-service (ddos) típusú támadásokat más szerverek ellen. A Linux rajongók akik egyszer elhitték, hogy az ő rendszerük sérthetetlen, vagy legalábbis kevésbé sebezhető, mint a Microsoft felhasználók rendszere, elkezdtek csodálkozni, és joggal hitték, hogy túlzottan optimisták voltak. Hiba azt gondolni, hogy van olyan operációs rendszer amely természeténél fogva rizikósabb lenne a masiknál. -állítja Eric Hemmendinger, az Aberdeen Group kutatási igazgatója"

NewsFactor cikk