Категорії
FreeBSD Linux Misc, staff, other OpenBSD Security Solaris

Audit OS/pkgs

Як бути в курсі чи немає вразливостей у вашій ОС чи в пакетах? Звісно, обовʼязково бути підписаним на різні security news, але простіше користуватися відповідними інструментами, які заточені під вашу ОS/pkgs.

Категорії
Linux Misc, staff, other OS distribution Security

BackBox

BackBox Linux — це дистрибутив Linux, орієнтований на тестування на проникнення та оцінку безпеки, що надає інструментарій аналізу мереж і систем. Він включає в себе деякі з найбільш відомих інструментів безпеки та аналізу, спрямованих на широке розповсюдження цілей, починаючи від аналізу веб-додатків до аналізу мережі, стрес-тестів, аналізу, оцінки вразливості, комп’ютерного криміналістичного аналізу, автомобільної промисловості та експлуатації. Він створений на базі основної системи Ubuntu, але повністю налаштований, розроблений як один із найкращих дистрибутивів для тестування на проникнення та безпеки тощо.

Офіційний сайт https://linux.backbox.org

Категорії
Misc, staff, other Security

ssh: додаємо необхідні host key types

Після одного оновлення один з клієнтів перестав підключатися по ssh до серверу. Враховуючи, що клієнт – це ПЗ закритого типу і з його сторони ми нічого не можемо вдіяти, прийшлося розбиратися зі сторони серверу. Включаємо debug в /etc/ssh/sshd_config:

SyslogFacility AUTH
LogLevel DEBUG

і бачимо в логах таке:

Категорії
Misc, staff, other Security

[OpenVPN] LDAP auth на основі груп

Розглянемо лише ту частину яка стосується авторизації у LDAP. Отже в конфіг серверу додаємо таке

username-as-common-name
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf

Перший рядок каже, що login такий самий, як у LDAP’і, а другий – підключає відповідний модуль авторизації. А тепер налаштування для модулю авторизації /etc/openvpn/auth/ldap.conf:

Категорії
Misc, staff, other Security

[OpenVPN] Масово генеруємо ovpn-конфіги

Зараз все частіше доводиться генерувати саме ovpn файли, де все вже в середині (і конфіг і сертифікати). Нижче буде коротке how-to для випадку, коли треба зробити це для 10 чи 20 логінів.

Категорії
Misc, staff, other Security

[OpenVPN] Однакові ключі і revoke

Коротка замітка на тему, як бути, якщо так сталося якщо треба зробити revoke при тому, що 2 сертифіката мають однакове імʼя: так вийшло, що 24.pem, 67.pem мають один і той же CN=user123. Як же зробити revoke обом? Просто “штучно створюємо” новий сертифікат і одразу робимо revoke:

# cp 24.pem -> newname.crt && cd .. && ./revoke-full newname
Категорії
Misc, staff, other Security

[OpenVPN] Duplicate CN при генерації ключів

Інколи, виникає така помилка. Як не дивно, то методи вирішення прості: додаємо такі рядки в кінець файлу var і знову перечитуємо environment:

KEY_CN="$1"
FN="$KEY_CN"
KEY_NAME="$KEY_CN"
KEY_OU="$KEY_CN"
export CA_EXPIRE KEY_EXPIRE KEY_OU KEY_NAME KEY_CN PKCS11_MODULE_PATH PKCS11_PIN

# source ./vars

Категорії
Misc, staff, other Security

Radius + LDAP

Виникло завдання зробити зовнішлю авторизацію через LDAP для сервіса, який її не підтримував, зате підтримував авторизацію через Radius. А у radius’a виявився модуль LDAP.

Тестовий стенд: Debian Linux 11.6 + Freeradius.

Нам знадобляться пакети freeradius-ldap, freeradius-utils (для локального тесту через утиліту radtest).

Категорії
OS distribution Security

Suricata: best IDS+IPS

Suricata is an open source network threat detection engine that provides capabilities including intrusion detection (IDS), intrusion prevention (IPS) and network security monitoring. It does extremely well with deep packet inspection and pattern matching which makes it incredibly useful for threat and attack detection.

Категорії
Misc, staff, other Security

OpenVPN: multihome или несколько каналов

Сейчас всё чаще сервера подключают сразу к нескольким провайдерам. Поэтому, остро стоит проблема корректной работы сервисов, неважно к какому из каналов сервера вы подключились. У OpenVPN для этого есть несколько “хаков”.

Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP