Security-all

Sziasztok!

Szeretnék belőni egy postfix-et postscreen-el és tlsproxy-val, hogy a 25-ös és a 465-ös porton is működjön.

A 25-ös porton működik is rendben, viszont a 465-ön semmiképp se akar működni, már annyira egyszerűre írtam a konfigot, amennyire csak lehet, mégse jövök rá a problémára.
Látszik a CONNECT, PREGREET, viszont utána semmi (ami érdekes, hogy a PREGREET-nél lévő üzenet elég zagyva, olyan mintha a tlsproxy-n nem menne keresztül).
A tlsproxy-t sajnos fogalmam sincs, hogyan lehetne debuggolni, semmilyen üzenetet nem kapok felőle.

Postfix verzió: 2.11.3main.cf:

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no


# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_loglevel = 1
smtpd_tls_security_level=may
smtpd_tls_cert_file=/etc/postfix/postfix.pem
smtpd_tls_key_file=/etc/postfix/postfix.key
smtpd_tls_auth_only=no
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = smtpout.local
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = smtpout.local, localhost
relayhost = relaydest.local
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

# Postscreen
postscreen_use_tls = yes
postscreen_tls_security_level = may
postscreen_upstream_proxy_protocol = haproxy

master.cf releváns rész:

10024 inet n - n - 1 postscreen
tlsproxy pass - - n - 0 tlsproxy
dnsblog pass - - n - 0 dnsblog
smtp inet n - n - - smtpd
smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=private/auth
smtpd pass - - n - - smtpd


A válaszokat/kritikákat/építő jellegű hozzászólásokat előre is köszönöm!

Update:
Ez egy postfix bug, amely a 2.10.17-es és annál nagyobb verziókban javításra került.
SSL esetén sajnos nem tudta jól lekezelni a haproxy-val való kommunikációt.

Szevasztok,

adva van egy hely, amit ki kell tiltani cégen belül. A squidben be van állítva, hogy mit szabad, mit nem. A kitiltás működik is. Azonban ragaszkodnának ahhoz, hogy kitiltáskor egy bizonyos üzenet jelenjen meg a t. felhasználónak (ez is érthető). A squid megfelelő részén változtatva csilivili saját hibaüzenet van.
A probléma ott kezdődik hogy adott oldal https re IS hallgat, így a kliens böngészője válaszol hogy nem sikerült a biztonságos csatornát létrehozni. Ez alapbeállításként erősebb mint hogy mit kap választ a squidtől.
Biztos vagyok benne hogy ti itt már megoldottatok ilyet :)
Szóval az ötlet az lenne, hogy a DNS ben állítanám be az "új" elérési útját az adott oldalnak (belső saját hely), ahol a https-> http
ahol is a megadott oldalt jelenítené meg, amiben tájékoztatja a felhasználót hogy ez tiltott oldal.

Azt kipróbáltam, hogy a hvg.hu ne kintre mutasson, hanem belső saját helyre, és működik. Https nél nyilván ez nem csak ennyi.
xampp van belül, ott kellene a .htaccess ben mókolni. ilyet találtam a neten erről:
RewriteCond %{HTTP_HOST} ^www [NC]
RewriteRule ^(.*)$ https://domainem.hu/$1 [L,R=301]

RewriteCond %{ENV:HTTPS} !=1 [NC]
RewriteRule ^(.*)$ https://domainem.hu/$1 [L,R=301]

Mik a tapasztalatok? Hogy érdemes ezt megoldani?

Udv!

Van nekem egy "code signing certificate" a Digicert-tol. Ez anno meg SHA-1 volt, de most kapott egy "re-key"-t "SHA-2"-vel, mivel nemsoka itt az ev vege.
Viszont a root az ugyanugy maradt SHA-1. A Windows is file properties alatt "digest algorithm"-nal azt irja sha1. Gondolom azert mert ha csak 1 tag is sha1-et hasznal a lancban akkor az egesz lanc sha-1. A support szerint ez igy nem gond.

"Thank you for the email and the update. We leave the root as SHA1 to get you greater compatibility, there should be no issue with using a SHA1 root and you would have further issues with a SHA2 root. SHA-1-based signatures for trusted root certificates are not a problem because clients trust them by their identity, rather than by the signature of their hash."

Ezt a valaszt kicsit nehezen tudom hovatenni, amikor epp a csapbol is az folyik, hogy ideje lenne lecserelni az "sha-1"-et.
Oszinten szolva egy kicsit kezd kepzavar kialakulni bennem, valaki felvilagositana, hogy akkor most mi merre hany meter?
Nem lesz az sha1 root-bol gond Windows alatt (7-8-10) kesobb?

A Protonmail DDOS támadást szenved el éppen, az oldal november 3. óta többnyire elérhetetlen.

Addig is Twitteren kommunikálnak a nagyközönséggel az eseményekről.

Nem ez az első eset, hogy problémákkal kell szembesülniük, mivel korábban a Paypal befagyasztotta az adománygyűjtés során összegyűlt pénzüket.

A Protonmailt elemzi biztonsági szempontból az alábbi cikk, bemutatva a fejlesztések várható irányát is:
http://www.wired.com/2015/10/mr-robot-uses-protonmail-still-isnt-fully-…

Sziasztok,

Van valakinek tapasztalata a Firejail megoldással?

https://l3net.wordpress.com/projects/firejail/

Sandbox megoldást keresek tetszőleges programhoz, amely egyszerűen konfigurálható és a hálózati hozzáférés is finoman szabályozható (milyen hálózati erőforrásokhoz férhet hozzá és milyen protokollon, milyen porton illetve IPC limit is lehetséges legyen, tehát teljes kontroll).

- SELinux sandbox-a túl egyszerű és keveset tud
- SELinux-ot körülményes konfigurálni
- AppArmorhoz nem találok sandbox-ot illetve nem tud port és IPC limitet tudomásom szerint
- mbox csak fájl szinten limitál

Egyéb ötlet? Programot és script-eket akarok sandbox-ba zárni virtualizáció nélkül. LXC és Docker overkillnek tűnik beállítás szempontjából.

Kösz.

Azaz kapott valaki innét/ide levelet?

Ez itt a kerdes.
Melyiket es miert szeressem jobban a masiknal?

Egyaltalan egy felhasznalo (sysadmin) szempontjabol mi a kulonbseg?
(egyelore zold vagyok a temaban)

10x

A címben a probléma. Ez normális, ennek így kell lennie? Nézem, december 28-ig lett volna érvényes, a következő január 5-ig, persze, már most megújítják. Ez ilyen, ezzel együtt kell élni?

Hetente nézegessek fingerprintet, vagy hetente reménykedjek, hogy nem vagyok hamis certtel egy MITM támadás áldozata?

Sziasztok,
használja valaki a fenti jelszó tároló gyönyörűséget?
ha igen: második feltétel firefox alatt?
ha igen kérdésem:
hogyan sikerült munkára bírnia?

Sziasztok,

Nyilván rengeteg paramétertől függ a kérdés, de van itt köztetek olyan aki foglalkozik security audittal és pentest-tel? Esetleg tudtok ajánlani céget? Lehet külföldi is.

Szeretnék kideríteni egy nagyságrendet az árról. Egyetlen szoftverről lenne szó, és nem egy egész infrastruktúráról.

Köszönöm.