Linux-security

Sziasztok!

Mit javasoltok, hogy lehet a legmagasabb fokú adatvédelmet elérni Linuxon?
Azt szeretném, hogy a teljes disk tartalma titkosítva legyen, lehetőleg valami komolyabb, Truecrypt jellegű titkosítással, vagy lehet egyszerűbbel, beépítettel is. AES használat például jó lenne, mert az a CPU által is támogatott.

A cél, hogy a gépet ha egy hozzáértőbb biztonsági szakember akarja feltörni, akkor nagyon ne legyen egyszerű dolga. Vegyük úgy, hogy meg akarok tenni mindent, hogy biztonságos legyen.Itt van 2 cikk:

http://www.howtogeek.com/203708/3-alternatives-to-the-now-defunct-truec…

http://alternativeto.net/software/windows-bitlocker/?license=free&platf…

1. Milyen fajta titkosítási megoldás nyújt legjobb védelmet?

Tehát jelszó után töltődne be az operációs rendszer, majd lenne a felhasználónak is valami egyedi jelszava természetesen, mint Linux user.

2. Jól gondolom, hogy ez nem zárja ki, ha használjak akár valami Thinkpad FDE jellegű titkosítást is, mint másik biztonsági szint?

https://support.lenovo.com/us/en/documents/migr-69621

Tehát bekapcsolom a gépet, megadom a disk olvasáshoz a jelszót (FDE), amit a BIOS kérdez, majd utána a Linux boot előtt/közben is kér jelszót, majd betöltődik az operációs rendszer és belépek a felhasználómmal.

3. Melyik distro támogatja alapból a lenti igényeket, amit szeretnék, melyiken nem lehetséges ezt megvalósítani, melyiken a legegyszerűbb?

Distro / szoftver (nem túl nagy) igények:
- legyen hozzá rendszeres biztonsági frissítés legalább 2 évig, és át lehessen állni majd az újabb verzióra, ha már nincs támogatás, egyszerűen
- chrome és firefox böngésző legyen benne a csomagjaik között
- openvpn támogatás
- valami grafikus gui

(ezt kb minden "nagy" distro tudja, de azért leírtam)

Distro, amiket választanék, sorrendben, kérnék éveket, ellenérveket, ha nem túl érzelmi alapúak:

A.: CentOS 6 (ezt ismerem legjobban, a célnak megfelelő lehet, van hozzá gui. Ellenérv? )
B.: Fedora 22 (ez frissebb, több a frissítés, amik néha nem működnek. Miért előnyösebb mint a CentOS?)
C.: Ubuntu 14 TLS (populáris, de kevésbé ismerem. Miért előnyösebb, mint az előző kettő, a célra?)

4. Melyiket javasoljátok a célra?

Felhasználási terület, VPN-en keresztül:
- böngészés
- levelezés
- privát állományok tárolása

(Számomra) érzékeny adatokkal.

5. Bármilyen javaslat az OpenVPN kulcs extra védelmére?

Külön Truecrypt konténerbe tenni, vagy ennél elegánsabb, automatizáltabb módja?
Jelszó az OpenVPN kulcs használatához? Vagy még valami?

6. Hogy tudom a Linuxot a leginkább paranoid módon biztonságossá tenni? Gondolok itt a leginkább zárt tűzfal/iptables beállításokra, root belépés letiltás, SSH-t más portra, stb?

Eleve egy külön, nem root felhasználó futtatná természetesen a böngészőt, stb.
7. Külön titkosítás minden Linux felhasználó adatának?

Tudnátok erről valami ajánlott leírást, cikket adni?

8. Milyen távmenedzsment programot lehetne ennek ellenére használni ezen a gépen? Spacewalk jellegűre gondoltam.

http://spacewalk.redhat.com/

Köszönöm előre is az észrevételeket, javaslatokat.

Tudom, ez így egyben sok(k)... :-)

Hali,

van par lejart tomcat certem, arra gondoltam, hogy nosza ideje lecserelni oket.
Mivel csak belso hasznalatra van, ezert arra gonidoltam, hogy legyen self signed CA-nk, es akkor minden kizoldul.

Nekialltam legeneralni a certeket CA.pl -lel, mert lusta vagyok.
Mivel belso rendszer, ezert gyakran hasznaljak domain nev nelkul is. Mondom nem gond, akkor lesz SAN.

Az /etc/ssl/openssl.conf-ba megcsinaltam a modositasokat:


req_extensions = v3_req # The extensions to add to a certificate request


[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = valami.example.com
DNS.2 = valami

/usr/lib/ssl/misc/CA.pl -newreq

openssl req -text -noout -verify -in newreq.pem

Na ez szepen ki is irja:

Requested Extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:valami.example.com, DNS:valami


/usr/lib/ssl/misc/CA.pl -sign
openssl rsa -in newkey.pem -out newkey.nopass.pem

openssl pkcs12 -export -out newkey.nopass.p12 -inkey newkey.nopass.pem -in newcert.pem -certfile /etc/ssl/ca/cacert.pem -passout pass:changeit

keytool -importkeystore -srcstorepass changeit -deststorepass changeit -destkeystore keystore -srckeystore newkey.nopass.p12 -srcstoretype PKCS12

Szoval keszen is van a keystore, ellenorizzuk:

/usr/java/bin/keytool -list -v -keystore keystore -storepass changeit

Na itt mar nincs benne a SAN.

Ha viszont a keytoollal generalok keystore-t:


$ keytool -genkeypair -alias sha256 -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore truststore -storepass changeit -ext san=dns:valami.example.com,dns:valami
What is your first and last name?
[Unknown]:
What is the name of your organizational unit?
[Unknown]:
What is the name of your organization?
[Unknown]:
What is the name of your City or Locality?
[Unknown]:
What is the name of your State or Province?
[Unknown]:
What is the two-letter country code for this unit?
[Unknown]:
Is CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown correct?
[no]: yes


Enter key password for
(RETURN if same as keystore password):
Re-enter new password:


$ keytool -list -v -keystore truststore -storepass changeit
Keystore type: JKS
Keystore provider: SUN


Your keystore contains 1 entry

Alias name: sha256
Creation date: Sep 29, 2015
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown
Issuer: CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown
Serial number: 5df9df99
Valid from: Tue Sep 29 10:28:23 CEST 2015 until: Mon Dec 28 09:28:23 CET 2015
Certificate fingerprints:
MD5: 73:22:E4:E3:BB:08:08:06:75:74:C5:DD:9F:52:C1:4C
SHA1: 91:2F:9E:33:F6:47:FE:A8:8A:2F:7B:A1:EB:75:72:6A:B8:A4:C6:C0
SHA256: EA:3E:17:CD:93:4A:A8:85:DB:EA:03:83:CE:6D:63:C4:94:11:5F:E0:3F:EB:36:7F:71:1F:EB:E2:AA:D5:31:D5
Signature algorithm name: SHA256withRSA
Version: 3

Extensions:

#1: ObjectId: 2.5.29.17 Criticality=false
SubjectAlternativeName [
DNSName: valami.example.com
DNSName: valami
]

#2: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 06 A3 48 26 76 26 88 57 67 EF A6 A0 2F B9 56 CF ..H&v&.Wg.../.V.
0010: 53 4E AE 6A SN.j
]
]

*******************************************
*******************************************

Viszont ez utobbit a belso CA-val nem tudom alairni. Igy tovabbra is hisztiznek a bongeszok. Azt meg nem akarom, hogy minden egyes tomcat alkalmazasnal exportaljam a kulcsokat es importaljam a cegnel elofordulo osszes bongeszobe. Meg megismetelni ezt minden egyes cert cserelesekor.

Hogy tudnam ravenni a rendszert, hogy openssl-el generalt SAN-os cert-et tudjak importalni java keystore-ba, ugy hogy megmaradjanak a SAN-ok?

MEGOLDAS:

szoval lekezdtem vegigjatszani a parancsokat, es kiderult, hogy a SAN nem a keytool import soran tunik el, hanem mar az alairaskor.
Igy az egyik megoldas, hogy a CA.pl-ben kijavitja az ember, hogy az alairaskor is betoltse a modult (a "-extensions v3_req" hianyott):

$CA="$openssl ca -extensions v3_req $SSLEAY_CONFIG";

Vagy kezzel irogatja ala az ember:

openssl ca -policy policy_anything -extensions v3_req -out newcert.pem -config ./openssl.cnf -infiles newreq.pem

Meg azt nem neztem, hogy az openssl.conf alapjan miert nem rantja be az extension-t, majd kesobb, eloszor rendbe rakom a cert-eket.

Sziasztok!

Tegnap megérkezett az új Dell notebookom, és azon tűnődök épp, hogy ha kizárólag Linuxot fogok futtatni rajta kisvállalati környezetben, akkor vajon van-e bármi gyakorlati haszna a hardver által nyújtott biztonsági technológiák használatának?Konkrétan ezekre gondolok:

• TPM: mint tudjuk, Windows-vonalon a BitLocker képes a TPM chipben tárolni a lemeztitkosításhoz használatos kulcsot. Linux környezetben LUKS-szal megoldható valami hasonló, de fogalmam sincs, hogy ez valóban ad-e bármi pluszt, illetve mivel work-in-progress megoldás, ezért a stabil működés sem feltétlenül biztosított. Bár az ötlet tetszik, de azért vannak aggályaim. Talán a legtriviálisabb, hogy ha elszáll a TPM chip a gépben, akkor buktam az adataimat (igen, tudom, erre a rendszeres backup a megoldás :), illetve mi garantálja, hogy az itt tárolt kulcsokhoz valóban csak én férhetek hozzá (és mondjuk nincsenek beépített backdoor-ok valahol az implementációban)? A lemeztitkosításon kívül talán még az SSH-kulcsok biztonságos tárolása lehet egy lehetséges felhasználási terület, bár nem tudom, ez mennyire elterjedt dolog, és hogy mik a gyakorlati tapasztalatok vele. Ti tudtok más felhasználási területről Linux környezetben? Mondjuk Wifi/VPN/weboldal jelszavakat lehet tárolni benne? Ha igen, mik a tapasztalatok ezzel? Vannak már stabil, csomagból telepíthető megoldások?
• EFI/UEFI: ahogy olvasgatom a neten, eléggé megosztó technológia. Sokan csak egy újabb támadási felületet látnak benne (megjegyzem, nem alaptalanul), mások meg ebben látják a jövőt, a fejlődést, mindent, ami szép és jó. Nem másztam bele nagyon a témába, de ha jól sejtem, ez is inkább nagyvállalati környezetben lehet igazából hasznos, ahol gépek százait/ezreit kell (távolról) menedzselni. Vagy tévednék?
• Secure Boot: azt hiszem, ezt senkinek nem kell bemutatni, a kezdeti felháborodás ellenére mostanra már szinte az összes nagyobb Linux disztribúcióval működik, de azt már nem tudom, mennyire reális az a veszély, hogy Linuxon a boot kódot, firmware-t manipuláló malware-ek kezdenek terjedni?
• Computrace: nem teljesen jött le, hogy ez pontosan mire is való. Illetve, ha jól értem, ez egy klasszikus agent-server konfigurációban működő, eszközök nyomon követésére használható szolgáltatás, így önmagában nem sok haszna van, fel kell húzni egy szervert is hozzá. Van linuxos agent is hozzá, de sajnos nincs vele semmi tapasztalatom, ezért nem tudom eldönteni, hogy használjam-e vagy sem.

Összegezve: szerintetek van értelme a fenti, hardveres/hardver-közeli biztonsági technológiákat használni általában, illetve Linux környezetben vagy mindez csak parasztvakítás, és - demagóg leszek - csak a márkás gépek jobb (nagyvállalati) eladhatóságát célozzák, vagy ennél is meredekebb dolgokat (pl. NSA-féle adatgyűjtés segítése)?

Sziasztok,

Adott két gépem és azok között szeretnék egy statikus, bridgelt hálózatot csinálni, természetesen biztonságos módon. Ez arra fog szolgálni, hogy összekössem egy halom virtuális gép belső hálózatát és ne kelljen routolni, mert annak megvannak a maga problémái.

Az általam választott eszköz az IPSec / L2TP lenne, egész pontosan az OpenSWAN és a kernelben bent levő L2TPv3 támogatás, mert az tud layer 2-es tunnelt. Szépen össze is áll a kapcsolat, ahogy illik, transport módban, viszont innen nem tudom, hova tovább. Hogyan veszem rá az L2TP-t, hogy ezen a kapcsolaton keresztül menjen?

Köszönöm

János

Sziasztok!

Valaki találkozott már vele?? Van rá valami megoldás??

Sziasztok!

Van egy olyan log-om, ami a következő formátumban tartalmazza a bejegyzéseket:
[Kliens]: URL
azaz:
[1.2.3.4]: 5.6.7.8/phpmyadmin

fail2ban-t próbálnám ráereszteni ezzel:

failregex = [[]<HOST>[]]: .*/(phpMyAdmin|phpmyadmin|mysqladmin|myadmin)

De az eredmény az, hogy semmi nem történik. Mivel regex-ben nem vagyok túl jártas, így... Ötlete valakinek?

Szerk:
Megoldva, Köszönöm!

A dátum hiányzott. Miután a sorok elejére beillesztettem a dátumot "éééé-hh-nn óó:pp:mm" formátumba, rögtön végig banolta a tesztfájlom IP-it!

Sziasztok!

Adott a kérdés :) Keresek olyan vírusírtőt(keresőt) ami mind a kettőn fut :) a lényeg annyi lenne még, hogy ne zabálja az erőforrást, és ne csak a rendszer fájljaiban keressen, hanem az ügyfelek cuccai közt. Illetve adott esetben FTP-t is nézze (amit tölt fel akkor azt fésülje át, de ez nem feltétlen fontos). RKHunter és Clamav kizárva :) Remélem érthető voltam :)

Sziasztok!

Szeretnék beüzemelni egy free IDS rendszert, viszont még nincs vele tapasztalatom, amiket találtam:

suricata
snort
OSSEC HIDS

Elvileg ezek a legnépszerűbbek. Valakinek tapasztalata bármelyik IDS szoftvert illetően?

Fontos dolgok:

Legyen valami grafikus kimenet, amin látható minden esemény. (elvileg a Logstash + Kibana kombináció megoldható mind a három esetén)
Fontos, hogy nem csak oprendszereket/alkalmazásokat szeretnék figyelni, hanem hálózati eszközöket is, pl.: ASA

köszönöm

MEGOLDVA

Végül az OSSEC-et választottam, agent, agentless, log, stb... feldolgozásra, már tesztelem egy ideje és elég jónak tűnik.

Köszi mindenkinek

Békésen böngészek a Firefoxszal, egyszer csak elszáll. Sebaj, előfordul az ilyesmi, indítom újra a böngészőt. Ekkor kapásból a crash ablak jön fel. Mi a fene? Nézzük a boot-oláskor back-upolt profillal. Ugyanaz. Akkor safe mode. Az is elszáll. Hűha! Ezután:

rpm -V firefox
..5......    /usr/lib64/firefox/libxul.so
A manual szerint:

       5 digest (formerly MD5 sum) differs

Egy másik gépről áthoztam ugyanezt a file-t, cmp-vel ellenőriztem, valóban eltért. Na, akkor reinstall a firefox. Ez a file már jó, helyette másik beteg:

rpm -V firefox
..5......    /usr/lib64/firefox/omni.ja

Fura. Reinstall újra a firefox-ot, mostmár jó a csomag. Már vagy 10 perce el sem romlott, a firefox is hibátlanul fut.

Na, most ez mi? Gyanakodjak a HDD-re, netán valami a tudtomon kívül cselekszik a gépemen root joggal, SELinux ellenére ott, ahol nem kellene? Vagy ilyenkor mi van?

Sziasztok!

Nem egy 1xű problémám van.
Frissítettem a NAS4free szerverem a legújabbra (9.3.0.2) és a következőt tapasztalom.
A fájlokat helyileg nem tudom a hálózati meghajtóról lejátszani, csak lemásolni.
Mi lehet a gond?

Bocsi, a jogosultságkezelés unix alatt nem az erősségem.