Linux-security

Van egy távoli ssh elérésem egy mentés tárterülethez, amire rsync segítségével másolnék fájlokat.
Azt szeretném elérni, hogy a távoli területen valamilyen titkosítással tárolódjanak a fájlok.
A távoli fájlrendszerhez nincs további hozzáférésem, azon módosítani nem tudok, így gyanítom, vagy az rsync-nek kellene tudnom olyat mondani, hogy kódolva tárolja le a fájlokat, vagy valamilyen közbenső réteget, kódoló csatornát kellene kiépítenem.
Csinált már valaki ilyet? Van ötletetek, ezt hogyan tehetném meg?

Egy friss mod_security blokkol egy eddig jól működő weboldalt.
A naplók alapján egy coockie-ra illeszkedik a libinjection "sosks" fingerprint-je.
Még a libinjection forrásába is belenéztem, de nem találom, mit jelent ez az ujjlenyomat, milyen mintára illeszkedik az adott cookie, ami amúgy normálisnak, biztonságosnak tűnik.

ISSQL: libinjection fingerprint 'sosks' matched input 'a:2:{i:0;s:28:\"/cikkek/kategoriak/tartalom/\";i:1;s:5:\"index\";}'

Egyébként szinte minden más url-re is illeszkedik a minta. Érdekes azonban, hogy a nyitóoldali

a:1:{i:0;s:5:"index";}

cookie értékre nem illeszkedik. Talán a / jel lenne tiltott a cookie értékében a sosks szerint?
Tudja valaki, milyen minta ez, hogyan lehet megtalálni? Hogyan lehet kitalálni, mi nem tetszik neki ebben a coockie-ban?

Hi!

Néhány user gyenge jelszava kikerül, így szépen kiment néhány 1000 levél. Erre persze blokkoltak pár helyen, de egy címmel továbbra sem boldogulok, mert csak ennyit ír:
======================
(host mailgw8.chrobinson.com[168.208.16.177] refused to talk to me: 554-mailgw8.chrobinson.com 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
======================

Ötlet, hogy mit tehetnék, hogy a fenti címre újra tudjunk levelet küldeni?

A hibára persze jelszócsere, fail2ban na és persze felvilágosítás.

Előre is köszönöm az ötleteket!

Szerver: Ubuntu 18.04, 17.10-ről upgrade-elve, rajta FreeRADIUS 3.0

Szeretném a wifimet végre átállítani RADIUS-ra, első körben csak usernév-jelszó authentikációval.
Évekkel ezelőtt csináltam már ilyet, szerintem még 1.x verzióval (Tomato-ra telepíthető entware csomagból), akkor és ott, a default konfig... hát elég "érdekes" volt, az egyes protokollokat nekem kellett engedélyezni, elég könnyű volt elcseszni, ha valaki nem értett hozzá. Ráadásul valahogy sikerült úgy elkavarni, hogy végül üres usernév, üres jelszó párossal is beengedett volna az akkori router.
Jó lenne az ilyeneket elkerülni.

Ahogy elnézem, a 3.0-s FreeRADIUS konfigjában az egyetlen, számomra is feltűnő probléma, a kliens számára beírt testing123 jelszó, amit célszerű lesz megváltoztatni, pontosabban azt a klienst kidobni.

Ezen kívül tud valaki, valami ismertebb buktatóról?
Vagy elég a /etc/freeradius/3.0/users-be beleszerkeszteni a használni kívánt usereket, Cleartext-password-del és kész?

https://www.packet6.com/install-freeradius-ubuntu-server/ - ez volt, amit elsőre találtam, ez kb. semmi újat nem mondott, a komplett doksit meg most nem biztos, hogy időszerű előszednem, ahhoz már "idegállapotba kerültem" :)

Vannak rosszindulatú klienseim, akiknek az IP címe, a tevékenységük kiderülése után blokkolásra kerül az iptables paranccsal.
Jelenleg 369 ilyen IP cím van a tűzfalban, de elég tevékenyek a fiúk, így nem tudom, meddig fog ez a szám nőni.
Mennyi IP címet lehet, szoktak, érdemes így blokkolni, és mi van, ha ezt a mennyiséget meghaladja?
Hány közös alhálózatba tartozó IP után érdemes, illő, szokás az IP-k helyett már a teljes alhálózatot blokkolni?
Van értelme elévülési időt is kezelni? Én elsőre azt gondolnám, hogy nincs.

Fail2ban véd egy email szervert. Mivel vannak, akik ritkán, de kitartóan próbálkoznak, a findtime = 86400 (egy nap), a maxretry = 5. Ez általában jól is működik, de most egy új támadó 5 órája szinte percenként próbálkozik, ám az IP címe mégsem került tiltásra.
Csak nem fogja kivárni az 1 napot a fail2ban, hogy tiltsa? A fail2ban szerint a findtime értékét csak a tiltás feloldásához használja, a tiltáshoz nem.
Van valakinek ötlete, hogy miért nem kerül blokkolásra az új IP?
Nem akarom a findtime értékét lejjebb venni, így holnapra kiderül, hogy tényleg kivárja-e az egy napot, de addig is érdekelnek az ötletek, vagy az, hogy mit rontottam/ronthattam el.

Üdv,

Egyik ismerősöm szerverét megtörték.

Nem igazán nagy szerver guru, egy egyszerű kis vm amin a saját kis dolgait tárolja, így a biztonsághoz sem ért igazán valószínüleg ez lett a veszte.

Ami történt:

/opt/ng99 mappába rootként feltölttek egy nginx vagy annak álcázott programot és a 8080-as porton csinált valamit, ami miatt a szolgáltatója leállította a vm-et.

A folyamatokat kilőttem, lepucoltam a programot. Root login ssh-n letiltva ssh port megváltoztatva, más káros dolgot nem találtam.

Az auth.log-ban ez van, semmi próbálkozás csak simán beléptek: Accepted password for root from 149.202.153.251

Kérdésem mivel én sem vagyok nagy biztonsági guru:
- Hogyan juthattak hozzá a jelszóhoz?
- Mit lehet tenni az ellen, hogy ne forduljon hasonló elő újra?
- Érdemes-e újratelepíteni mindent a biztonság kedvéért?

Üdv,
Gab

Sziasztok!

Van néhány gép amire úgy kaptam a root jelszót valakitől, és nem szabad megváltoztatnom. Ezen felül az ssh root login le van tiltva, ezért csak úgy tudok bemenni root-ként, hogy először normál user-rel bejelentkezek, utána sudo-zok. Viszont a sudo mindig a titkos jelszót kéri, ami nagyon fárasztó. (Főleg úgy, hogy az a jelszó megjegyezhetetlen, és nem szabad megváltoztatnom.)

Arra gondoltam, hogy betöltök egy PAM modult, ami push login-ozni tud a telefonomra telepített app-pal. Olyan beállítás kellene, amivel továbbra is használható a sudo-ban a normál titkos jelszó, de lehetséges vele push login-ozni is. Van néhány fölösleges yubikey-em, esetleg ezzel is elfogadható alternatíva lenne, de ezek még elég régi verziók.

Amit néztem eddig az a "Duo Unix" nevű, de úgy láttam hogy ott csak fizetős verzióban elérhető ez a szolgáltatás.

Van itt valaki, akinek van más bevált módszere?

Van egy apache webszerverem php-val, mpm_itk modullal. Minden domain egy önálló user nevében kerül kiszolgálásra. Ugyanez a user másolhatja fel ftp-vel a fájlokat is a tárterületére.
Hogyan tudom a user írásjogát globálisan elvenni anélkül, hogy a teljes fájlrendszerben módosítanék minden jogot?
Van valamilyen kósza emlékem, hogy maszkolhatnám a user jogait, de nem tudom pontosabban, hol. Tud erről valaki valami részletesebbet? Vagy valamilyen más módszert, amivel blokkolható, majd egyszerűen visszaadható az írásjog userenként?

Sziasztok,

a legtöbb bejegyzés világos, de ezekkel a címekkel nem tudom mit tegyek, kell-e foglalkozni velük?

27.112.70.58 (icmp)
71.6.216.56 (SYN; invalid packets)
158.130.6.191 (SYN)
139.162.111.147 (SYN)