Linux-security

rsync bug?

 ( plt | 2019. június 4., kedd - 10:48 )

Szeretnék rsync-et mélyebben használókkal körbejárni egy jelenséget, amibe most botlottam bele.
Egy szerver teljes mentése évek óta stabilan és megbízhatóan zajlik az rsync programmal.
Ám az éles szerveren egy letörölt mappa a backup területen továbbra is elérhető.
Az rsync root joggal fut, a következő kapcsolókkal:

rsync -aHvz --delete --numeric-ids root@{forrás} {cél}

SSH kapcsolat, nem megbízható SSH kliensről

 ( Hiena | 2019. május 14., kedd - 16:41 )

Szükségessé vált, hogy Andriod alól ssh-n keresztül tudjak kapcsolódni több távoli géphez klienssel. Mivel korábban sikerült megégetnem magamat Androidos ssh klienssel, most kissé viszolyogva figyelem a Play által felkínált lehetőségeket. Annó, a fenekemet az mentette meg, hogy a távoli gépen sessiononként változó felhasználónévvel és jelszóval lehetett belépni, de a most nincs meg ugyanez a háttér.

SSH kulcskeresés - Láma

 ( plt | 2019. április 17., szerda - 15:09 )

Úgy tűnik, nem értem, az SSH hitelesítés folyamatát.
Egy szerver mentést állítanám vissza egy újratelepített szűz rendszerre úgy, hogy az új szerver is elérje azokat az ssh erőforrásokat, amiket a régi.
A probléma ott van, hogy már maga a mentés is SSH kulcs segítségével érhető el.
Az új rendszer feltelepítése után el kellene érnem, hogy kulccsal tudjam hitelesíteni az új szervert is a mentés szerverén.
Ehhez azonban tudnom kéne, az SSH mikor milyen kulcsot használ hitelesítéshez. Ez azonban nem sikerül.

tor és ssh

 ( roleez | 2019. március 5., kedd - 9:40 )

Sziasztok!

Otthoni házautomatizálás projekt kapcsán egy raspberry pi zero W-re domoticz-ot
tettem. Interneten bárhonnan szeretném elérni a pi-t is (ssh), és a domoticz-ot is.
Adta magát a tor onion hidden service, fail2ban-nal megspékelve.
A domo szépen elérhető, az ssh-t is beállítottam a tor-ban, viszont windows
alól putty-val hogy tudom elérni a toron osztott ssh-t? Belső hálón megy az ssh, ezen
matatom a pi-t.
Köszönöm,
Roland

Full lemez backup eszköz

 ( plt | 2019. március 4., hétfő - 9:45 )

A laptopom wincsesztere (1TB) kezd elhalni. Jelenleg két nem olvasható szektora van.
Bár mentés van az adatokról, jó lenne az egészet átmásolni egy új merevlemezre, és egyszerűen csak kicserélni.
Ehhez keresek Debian alól használható eszközt.
Amit tudnia kellene:
- A teljes lemez másolása, boot információkkal együtt. Bár a lemez a Debianban csak adatpartíciókat tartalmaz, van rajta egy Win10, amiről be lehet bootolni. Szeretném, ha ez a másolattal is működne.
- Elég sok üres hely van a lemezen, ezt jó lenne nem másolni.

Rsync titkosított mentés

 ( plt | 2019. január 8., kedd - 10:26 )

Van egy távoli ssh elérésem egy mentés tárterülethez, amire rsync segítségével másolnék fájlokat.
Azt szeretném elérni, hogy a távoli területen valamilyen titkosítással tárolódjanak a fájlok.
A távoli fájlrendszerhez nincs további hozzáférésem, azon módosítani nem tudok, így gyanítom, vagy az rsync-nek kellene tudnom olyat mondani, hogy kódolva tárolja le a fájlokat, vagy valamilyen közbenső réteget, kódoló csatornát kellene kiépítenem.
Csinált már valaki ilyet? Van ötletetek, ezt hogyan tehetném meg?

libinjection sosks fingerprint

 ( plt | 2018. december 10., hétfő - 14:52 )

Egy friss mod_security blokkol egy eddig jól működő weboldalt.
A naplók alapján egy coockie-ra illeszkedik a libinjection "sosks" fingerprint-je.
Még a libinjection forrásába is belenéztem, de nem találom, mit jelent ez az ujjlenyomat, milyen mintára illeszkedik az adott cookie, ami amúgy normálisnak, biztonságosnak tűnik.

ISSQL: libinjection fingerprint 'sosks' matched input 'a:2:{i:0;s:28:\"/cikkek/kategoriak/tartalom/\";i:1;s:5:\"index\";}'

Egyébként szinte minden más url-re is illeszkedik a minta. Érdekes azonban, hogy a nyitóoldali

Melyik RBL-re sikerült felkerülni?

 ( pista_ | 2018. október 25., csütörtök - 13:22 )

Hi!

Néhány user gyenge jelszava kikerül, így szépen kiment néhány 1000 levél. Erre persze blokkoltak pár helyen, de egy címmel továbbra sem boldogulok, mert csak ennyit ír:
======================
(host mailgw8.chrobinson.com[168.208.16.177] refused to talk to me: 554-mailgw8.chrobinson.com 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
======================

FreeRADIUS 3.0 quickstart - help

 ( uid_7086 | 2018. április 27., péntek - 19:29 )

Szerver: Ubuntu 18.04, 17.10-ről upgrade-elve, rajta FreeRADIUS 3.0

Szeretném a wifimet végre átállítani RADIUS-ra, első körben csak usernév-jelszó authentikációval.

iptables reális titlásszám?

 ( plt | 2018. március 19., hétfő - 10:58 )

Vannak rosszindulatú klienseim, akiknek az IP címe, a tevékenységük kiderülése után blokkolásra kerül az iptables paranccsal.
Jelenleg 369 ilyen IP cím van a tűzfalban, de elég tevékenyek a fiúk, így nem tudom, meddig fog ez a szám nőni.
Mennyi IP címet lehet, szoktak, érdemes így blokkolni, és mi van, ha ezt a mennyiséget meghaladja?
Hány közös alhálózatba tartozó IP után érdemes, illő, szokás az IP-k helyett már a teljes alhálózatot blokkolni?
Van értelme elévülési időt is kezelni? Én elsőre azt gondolnám, hogy nincs.

fail2ban érdekesség vagy bug?

 ( plt | 2018. február 14., szerda - 11:19 )

Fail2ban véd egy email szervert. Mivel vannak, akik ritkán, de kitartóan próbálkoznak, a findtime = 86400 (egy nap), a maxretry = 5. Ez általában jól is működik, de most egy új támadó 5 órája szinte percenként próbálkozik, ám az IP címe mégsem került tiltásra.
Csak nem fogja kivárni az 1 napot a fail2ban, hogy tiltsa? A fail2ban szerint a findtime értékét csak a tiltás feloldásához használja, a tiltáshoz nem.
Van valakinek ötlete, hogy miért nem kerül blokkolásra az új IP?

Megtörték egy régebbi szervert, hogyan?

 ( gaabeesz | 2018. január 3., szerda - 12:42 )

Üdv,

Egyik ismerősöm szerverét megtörték.

Nem igazán nagy szerver guru, egy egyszerű kis vm amin a saját kis dolgait tárolja, így a biztonsághoz sem ért igazán valószínüleg ez lett a veszte.

Ami történt:

/opt/ng99 mappába rootként feltölttek egy nginx vagy annak álcázott programot és a 8080-as porton csinált valamit, ami miatt a szolgáltatója leállította a vm-et.

A folyamatokat kilőttem, lepucoltam a programot. Root login ssh-n letiltva ssh port megváltoztatva, más káros dolgot nem találtam.

PAM auth module androidos push login-hoz

 ( nagylzs | 2017. november 9., csütörtök - 8:32 )

Sziasztok!

Van néhány gép amire úgy kaptam a root jelszót valakitől, és nem szabad megváltoztatnom. Ezen felül az ssh root login le van tiltva, ezért csak úgy tudok bemenni root-ként, hogy először normál user-rel bejelentkezek, utána sudo-zok. Viszont a sudo mindig a titkos jelszót kéri, ami nagyon fárasztó. (Főleg úgy, hogy az a jelszó megjegyezhetetlen, és nem szabad megváltoztatnom.)

User írásjogának globális elvétele (linux)

 ( plt | 2017. június 16., péntek - 16:33 )

Van egy apache webszerverem php-val, mpm_itk modullal. Minden domain egy önálló user nevében kerül kiszolgálásra. Ugyanez a user másolhatja fel ftp-vel a fájlokat is a tárterületére.
Hogyan tudom a user írásjogát globálisan elvenni anélkül, hogy a teljes fájlrendszerben módosítanék minden jogot?
Van valamilyen kósza emlékem, hogy maszkolhatnám a user jogait, de nem tudom pontosabban, hol. Tud erről valaki valami részletesebbet? Vagy valamilyen más módszert, amivel blokkolható, majd egyszerűen visszaadható az írásjog userenként?

iptables logban találtam

 ( render_elek | 2017. április 25., kedd - 11:51 )

Sziasztok,

a legtöbb bejegyzés világos, de ezekkel a címekkel nem tudom mit tegyek, kell-e foglalkozni velük?

27.112.70.58 (icmp)
71.6.216.56 (SYN; invalid packets)
158.130.6.191 (SYN)
139.162.111.147 (SYN)

fail2ban vagy iptables?

 ( pepo | 2017. március 4., szombat - 12:03 )

Sziasztok!

Mindenféle próbálgatások jönnek az egyik szerveremre. Például (Logwatch-ból idézve az egyszerűség kedvéért.):

[code][...]http://1.x.1.x.1:80/2phpmyadmin/: 1 Time(s)
http://1.x.1.x.1:80/MyAdmin/: 1 Time(s)
http://1.x.1.x.1:80/PMA/: 1 Time(s)
http://1.x.1.x.1:80/PMA2011/: 1 Time(s)
http://1.x.1.x.1:80/PMA2012/: 1 Time(s)
http://1.x.1.x.1:80/admin/: 1 Time(s)
http://1.x.1.x.1:80/admin/db/: 1 Time(s)
http://1.x.1.x.1:80/admin/pMA/: 1 Time(s)
http://1.x.1.x.1:80/admin/phpMyAdmin/: 1 Time(s)
http://1.x.1.x.1:80/admin/phpmyadmin/: 1 Time(s)

apache NTLM auth helyett valami mást

 ( heroes83 | 2017. január 25., szerda - 21:20 )

Sziasztok!

Érdeklődni szeretnék, hogy valaki használ -e valami más technológiát apache szerver domain auth-ra?
Igazából valami olyasmi kellene, hogy a felhasználó a böngészőjével belépne egy weboldalra és automatikusan felküldi a domain name és password párost, viszont ha nem tartományi gép lépne be a felületre, akkor az kézzel beírja a felhasználói név és jelszópárost, aztán kész :)

Idáig a apache kerberos moduljával szívtam, de az istennek sem jön össze :(

Valakinek ötlete?

Köszönöm szépen

Tűzfal port nyitás SMS-sel, e-mail-lel

 ( dotnetlinux | 2016. december 22., csütörtök - 11:00 )

Kedves Fórumozók! Néha hozzászólok, néha kérdezek. Most ez utóbbi...

Alapfelállás, hogy a CentOS7 szervereink tűzfalában a 22-es port egy fix IP-ről érhető el. Néha az itthoni munkához jó lenne belépni. Alternatív megoldás az irodai gépemre RDP, ott putty, tűzfal ki+be, közben belépés itthonról.

PolKit és systemd

 ( xian | 2016. november 27., vasárnap - 0:25 )

RHEL7.2-n:

# pkaction -v -a org.freedesktop.login1.power-off
org.freedesktop.login1.power-off:
  description:       Power off the system
  message:           Authentication is required for powering off the system.
  vendor:            The systemd Project
  vendor_url:        http://www.freedesktop.org/wiki/Software/systemd
  icon:
  implicit any:      auth_admin_keep
  implicit inactive: auth_admin_keep
  implicit active:   yes

A polkit manualja szerint:

[code]
allow_active

Mi a fene van a Linux kernel háza táján?

 ( locsemege | 2016. november 21., hétfő - 15:41 )

Az utóbbi vanilla kernelek ilyen időközökkel jöttek ki egymás után:

10 nap
5 nap
4 nap
2 nap

Mindegyikhez egyben tartozott egy-egy longterm kiadás is, sőt, longtermben volt olyan, hogy az adott verzió megjelenését egy nappal követte a következő. Mindezt november elejétől nézem. A changelogok mérete sem elhanyagolható, nem egy-egy patch-ről van szó.

Valaki tud valamit? Auditálják a kódot? Több szem többet lát?

CVE-2016-4484: Cryptsetup Initrd root Shell

 ( Cybernet | 2016. november 16., szerda - 8:59 )

Nem szoktam minden CVE bejegyzest kovetni, de azert ez megdobbentett.
Tegnap ki is probaltam, es fekszik a story.

Ami engem zavar, ez a panic mode. Barmilyen gond adodik az initramfs noramal futsa soran, dob egy root emergency shellt.
Mintha single userkent inditottuk volna a gepet. Es ami a legrosszabb, hogy switchroot sem szukseges.

SELinux biztonság

 ( locsemege | 2016. szeptember 18., vasárnap - 15:01 )

Könnyednek szánom a felvetést, mert nem jártam alaposabban utána a kérdésnek, így lehetnek tévedéseim. Mégis megosztok egy érdekes tapasztalatot.

squidclamav és securiteinfo privatelife kérdés

 ( tmms | 2016. szeptember 9., péntek - 9:33 )

Sziasztok!

Az lenne a kérdésem, hogy miért írja ezt squid, mikor sem virustotal, sem nod nem jelez az adott oldalra?

The requested URL http://trackitonline.ru/?action=login contains a virus
Virus name: SecuriteInfo.com.JS.Privatelife-1.UNOFFICIAL

Captive portal alapok

 ( pekob | 2016. augusztus 17., szerda - 13:10 )

Sziasztok!

Meglévő Wifi hálózatot kellene kiegészítenem egy captive portal-lal, ami egy jelszó után engedné a netet. Úgy olvastam talán a Pfsense a legmegfelelőbb erre.
Hülye kérdésem az lenne, hogy a fizikai kiépítés hogy nézne ki? A meglévő wifi routeren le kéne tiltani a wifi-t és a pfsense-et futtató gépbe kellene egy wireless kártya? Vagy maradhat a router a wifi kiszolgáló?
Vagy két hálókártya a pfsense-be, egyikbe a net, másikba a router?

Köszönöm!

[MEGOLDVA] Amavisd vírus átengedése

 ( cadmagician | 2016. augusztus 10., szerda - 10:37 )

Sziasztok,

Nemrég napvilágra látott a Win.Exploit.CVE_2016_3316-1, az amavisd pedig a levelezőszerveren szépen elkezdte a word docokat megfoni, nem továbbengedni. Infected, kész.

Kérdésem lenne, hogy hogy lehetne azt az amavisdnak megmondani pl egy regexppel, hogy milyen virusokat engedjen át? ez globális lenne, nem domainhez, vagy sender köthetően.

Talán másnál is aktuális (lesz) a probléma.

köszönöm.