Security-all

Letsencrypt mail servernek

 ( gee | 2017. június 29., csütörtök - 1:05 )

Ezen egy ideje rágódom, de nem találtam jó megoldást.

Van egy gép, linux, netfilter, publikus IP cím.
Bejövő smtp, submission, pop3, imaps kapcsolódásokat egy másik gépre továbbítja: linux, postfix, dovecot.
Bejövő http és https kéréseket egy harmadik gépre: windows, valami webserver.

A mail serveren lejárt a startcom cert.

Szeretnék helyette letsencryptet, de ami példákat eddig láttam, mind http-t akart használni. Az meg nem jut el a géphez.

Valaki belefutott ebbe már?

Valami jó ötlet?

Petya - fájlok visszaállítása.

 ( timi | 2017. június 28., szerda - 12:24 )

A Petya valóban csak a master file table-t titkosítja? Vagy csinál még valami mást low-level ami problémát okoz a visszaállításban?
Egy merevlemez fájljai visszaállíthatóak a master file table teljes elvesztése esetén is. Elvesznek ugyan a fájlnevek és a könyvtárstruktúra de a fájlok tartalma sértetlen. Természetesen egy banki rendszer még nem indítható el a fájlok raw visszanyerése után. A teljes adatvesztésnél viszont jobb a helyzet.

DNSSEC-et normálisan támogató DNS-szolg

 ( netn00b | 2017. június 18., vasárnap - 13:21 )

Sziasztok! Tudom, korábban már volt téma, de ha újra előhúzzuk, nem árt. Nemrég beállítottam a DNSSEC-et egy domainen, gyanusan könnyen be lehetett állítani az összehangolását a Cloudflare-rel. Ugyanakkor gyakorlatilag nincs olyan nap, amikor ne lenne valamilyen eléggé ütős kiesés éppen a DNSSEC miatt, nem ritkán olyan helyeken is, amiről nem gondolnánk: https://ianix.com/pub/dnssec-outages.html Adja magát a kérdés, hogy ilyen esetben nem kockáztatja-e inkább a biztonságos és stabil működést éppen a DNSSEC?

IP kamera rendszerek IP vagy CCTV

 ( kalmarr | 2017. május 29., hétfő - 21:09 )

Sziasztok,

gondolkodok egy 8 csatornás "független, hardveres" kamera rendszerben.

Az első kérdésem, hogy szerintetek mit érdemes választani IP alapú-t vagy CCTV-s? Nem tudom mennyire megbízhatóak, főleg az IP alapúnál lehetnek-e újraindítások?

Továbbá még bizonytalan vagyok a márkában is amit érdemes lenne megnéznem 3-4MP-ben gondolkodnék.

Várom a tapasztalatotokat és segítségeteket!

Köszi!

Kalmi

WannaCry terjedés - élőtérkép

 ( trey | 2017. május 15., hétfő - 19:20 )

Pureftpd trusted network

 ( pekob | 2017. május 5., péntek - 10:39 )

Sziasztok!

Létezik a pureftpd-nek olyan beállítása, hogy TLS-t követel mindenhonnan, kivéve egy ip-t vagy tartományt? Nem igazán találtam ilyesmit, de nem hiszem el, hogy ne lenne.

Köszönöm!

Gyökeres változás közeleg a jelszavaknál - ez Önt is érinteni fogja

 ( unstar | 2017. május 4., csütörtök - 15:07 )

"Május elsején lezárult a NIST (az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete) által megfogalmazott új digitális személyazonossági irányelvek (Digital Identity Guidelines) nyilvános vitája, és az anyag készen áll a véglegesítésre. A tervezet új, továbbfejlesztett jelszókövetelményeket tartalmaz, megváltoztatva az eddigi szokásokat és a hozzájuk kapcsolódó kellemetlenségeket."

Melyek a fő változások?
• Nincs többé kötelező szabály a jelszavak összetételéről

app ssh kulcs kezelesre

 ( Sixday | 2017. május 2., kedd - 11:55 )

Megtalaltak egy ilyennel a fejlesztok hogy ok ezt szeretnek hasznalni ssh kulcskezelesre:
https://krypt.co/
Termeszetesen semmi okat nem latom annak hogy a maceken jol bevalt ssh-add tipusu kulcskezelest kivaltsuk egy kitudja mifele appal, aminek a FAQ-jaban (https://krypt.co/why_kryptonite/) talalhato reszek kozul ez szerintem szemenszedett hazugsag, en legalabbis soha nem hallottam meg olyanrol hogy az ssh agentbol (regen pageantoztam, miota macezek pedig a beepitett ssh agentet hasznalom, ami ha joltudom openssh) ki lehetne szedni a kulcsot plaintextkent (szoljatok ha tevedek):

ebay tanúsítvány gond?

 ( gee | 2017. április 9., vasárnap - 21:40 )

Belépnék az ebay-re, azt mondja a chrome, hogy your connection is not private!!!!4négy!

Megnézem, hogy mi a gondja, azt mondja, hogy Err Certificate transparency required

Nézem, mi a fene, csak nem a Startcomtól szerezték be a tanúsítványt :-)

Hát nem.

Azt mondja, there are issues with this site's certificate chain
Issued to signin.ebay.com
Issued by Symantec

Most akkor mi van? A Symantec is feketelistára került? Vagy valami más a gond? Azt nem árulja el a chrome, hogy konkrétan mi nem tetszik neki.

CSF/LFD alternatíva

 ( Proci85 | 2017. április 6., csütörtök - 22:45 )

Sziasztok

Utoljára 5 éve néztem ezt a párost, akkor is beletört a bicskám, most is.
Az LFD koncepciója tetszik, mert, ami nekem kell:
- Legyen egy fehér process lista, ami azon kívül van, lője ki és jelentsen
- ha valamelyik processzel elszalad a ló, jelentsen
- ha megváltozik az md5 lenyomata, jelentsen esetleg lője ki (tud ilyet?)

Viszont jön vele a CSF nevű állat is, ami nagyon nem tetszik, mert:
- nincs established related state, helyette mindenhova forrás és célportot használ, mint 15 éve csináltuk

Startcom helyett mit ajánltok?

 ( Honkydoo | 2017. április 6., csütörtök - 11:42 )

Sziasztok!

Van a cégnél startssl cert-ünk, ami tökjó volt eddig, viszont a chrome már nem támogatja.
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

Az lenne a kérdésem, hogy van másik ingyenes és hasonló alternatíva?

Köszönöm előre is!

hup ssl welcome, CIB ssl good bye

 ( bb | 2017. március 17., péntek - 15:04 )

Sziasztok,

Más is úgy látja, hogy a CIB-ről eltűnt az ssl? :-)
ezt hogy lehet majd a szokásos DDOS-ra és az hekkerekre fogni?

üdv
BB

Penetration Testing Company

 ( GergA84 | 2017. március 16., csütörtök - 11:16 )

Sziasztok,

Hamarosan releaselendo termekunkhoz keresnek kulsos ceget agi foglalkozik penetration teszttel.
Szeretnenk ha megnezne a webes szolgaltatasunkat security szempontbol.

Meg kellene nezni a szerver es az applikacio sebezhetoseget is.

elektronikus aláírás egy órán belül

 ( connor | 2017. március 14., kedd - 18:14 )

Sziasztok!

Van-e arra mód, hogy "fokozott biztonságú elektronikus aláírást" szerezzek egy órán belül?
Mai napon fel kellene tölteni egy hitelesített dokumentumot, de emiatt a tetves firefox miatt sikerült a privát kulcsot elbsznom és most vakarom a fejem.
Sajnos a magyar hitelesítés szolgáltatók már nem elérhetőek és egyébként is postázgatni kell. :(

Világi monitorozás?

 ( pepo | 2017. március 6., hétfő - 9:39 )

Mi ez a humbug? Majd minden cég kiadja, hogy jaj, éppen támadnak?

Cloudflare's #Cloudbleed HTTPS Traffic Leak

 ( wpdaniel | 2017. február 25., szombat - 20:59 )

Egyetlen elgépelt karakter okozta a Cloudbleed nevű programhibát, amit szakértők máris az elmúlt évek egyik legsúlyosabb internetes adatbiztonsági katasztrófájának neveznek. Egy programozó "=="-t írt a kódba ">=" helyett, ami ahhoz vezetett, hogy a szoftvere időnként, ha adatokat akart menteni, és elfogyott a helye, olyan memóriacímekre írta ki azokat, amik egyáltalán nem biztonságosak.

http://index.hu/tech/2017/02/25/nyakunkon_a_legujabb_adatvedelmi_katasztrofa/

OpenVPN user engedélyezés forrás IP alapján

 ( Proci85 | 2017. február 22., szerda - 15:28 )

Sziasztok

Adott egy VPN szerver, ahol az userek közös kulcs mellett egyedi user-pass párossal lépnek be.

Az ezt biztosító sorok:

username-as-common-name

auth-user-pass-verify "/etc/openvpn/vpn_auth" via-file

A script csak user-pass párt kapja meg, mást nem. Rá lehet beszélni, hogy még engedélyezés előtt feladja a forrás IP-t is?

Cél: SQL-ben az user neve mellett ott legyen az engedélyezett forrás IP-k sora, mint plusz engedélyezési faktor.

Köszönöm!

iOS mobile device management és biztonság

 ( netn00b | 2017. február 2., csütörtök - 11:21 )

Üdv! A szitu a következő: elloptak egy iPhone 6-ost, iOS 10.2-essel, azaz alighanem nem tudják kinyitni csak úgy, hacsak nem találják ki az egyébként lenyűgözően béna billentyűzárat… Ha valaki az Apple által is ajánlott Revocery mode használatával próbál a mobilhoz hozzáférni, ugyan az összes adat eltűnik róla, viszont továbbra sem tud belépni a billentyűzár ismerete nélkül.

Letsencrypt bénázás

 ( pekob | 2017. január 10., kedd - 13:25 )

Sziasztok!

Szeretnék egy letsencrypt tanúsítványt létrehozni egy webmail-hez, de egyelőre bénázok.
Így próbáltam:

letsencrypt-auto certonly --standalone -d webmail.domain.hu

A kliens erre panaszkodik:

Domain: webmail.domain.hu
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge. Requested 99fc721418f5c6b95539f64d192e6d65.fd978977e90e35617a51b6f7ac1d5ac0.acme.invalid from 1.2.3.4:443. Received certif
icate containing ''

Wordpress, Joomla brute force login védelem

 ( Proci85 | 2017. január 8., vasárnap - 21:28 )

Sziasztok

Adott egy szerver, rajta sok féle honlap, többek között Wordpress és Joomla. Ezekre nincs közvetlen ráhatásom. Olyanok amilyenek. A frissítés úgy-ahogy kikényszeríthető.
Magas CPU terhelést generálnak, ha megpróbálják feltörni az admint.
Random IP-ről jönnek és nagyon sokan.

A következő fail2ban filtert raktam össze netes ajánlásokból:

[code]
cat /etc/fail2ban/filter.d/framework-ddos.conf
[INCLUDES]
before = common.conf

[Definition]
_daemon = framework-ddos

failregex = .*:(80|443) .*POST .*/xmlrpc.php

Globális adatvédelem böngésző támogatással

 ( log69 | 2017. január 3., kedd - 15:55 )

Sziasztok,

Nem akar valaki nekiállni az alábbi ötletemnek? (böngészőbe implementált transzparens és automatikus szövegdoboz titkosítás, szimmetrikus és asszimetrikus módon):

https://hup.hu/cikkek/20161201/minden_amit_az_internetes_adatvedelemrol_tudni_erdemes?comments_per_page=9999#comment-2043150

Joomla RCE exploit

 ( sfeher | 2016. december 30., péntek - 10:10 )

Hello,

Üzemeltetek jópár joomla-s oldalt (nem az enyémek), amit rendszeresen rommá törnek.
Mindenhol a legfrissebb verzió van fent, de tegnapelőtt megint telerajzolták az összes érintett oldal mindenféle php fájlokkal.
iWatch, maldet , auditd megy ezerrel, de ezzel nem akadályozok meg semmit csak látom, hogy mi történik.
A kérdés az lenne, hogy mit tudok még tenni azon kívül hogy read-only-ba raktam az összes oldalt miután ki lett takarítva ?

Az other_vhost.logban ezt látom:

letsencrypt ingyenes tanusítvány megbízhatóság

 ( gedg87 | 2016. december 27., kedd - 19:42 )

Sziasztok!

Adott egy web szerver, amely szerveren minden weboldal https-en keresztül kell, hogy elérhető legyen.

Soha nem volt dolgom még tanúsítványokkal, ezért utánaolvastam a témának.

Tekintve, hogy nekünk 5 féle aldomain igényli a tanúsítványt, ezért úgy gondolom , hogy a Wildcard domain ellenőrző tanúsítványra (RapidSSL Wildcard vagy Comodo Positive SSL Wildcard) lesz szükségünk, mert az , ha jól olvastam, akkor az adott domain név összes aldomainjét hitelesíti.