Нещодавно наштовхнувся на цікаву утиліту ldapctl, яка є тільки в OpenBSD і захотілося мати і собі такий функціонал. Як виявилося, все це доступно в модулі monitor.
Для початку треба перевірити, чи доступний модуль monitor:
$ slapd -VVV
...
monitor
...
Як бути в курсі чи немає вразливостей у вашій ОС чи в пакетах? Звісно, обовʼязково бути підписаним на різні security news, але простіше користуватися відповідними інструментами, які заточені під вашу ОS/pkgs.
BackBox Linux — це дистрибутив Linux, орієнтований на тестування на проникнення та оцінку безпеки, що надає інструментарій аналізу мереж і систем. Він включає в себе деякі з найбільш відомих інструментів безпеки та аналізу, спрямованих на широке розповсюдження цілей, починаючи від аналізу веб-додатків до аналізу мережі, стрес-тестів, аналізу, оцінки вразливості, комп’ютерного криміналістичного аналізу, автомобільної промисловості та експлуатації. Він створений на базі основної системи Ubuntu, але повністю налаштований, розроблений як один із найкращих дистрибутивів для тестування на проникнення та безпеки тощо.
Офіційний сайт https://linux.backbox.org
Після одного оновлення один з клієнтів перестав підключатися по ssh до серверу. Враховуючи, що клієнт – це ПЗ закритого типу і з його сторони ми нічого не можемо вдіяти, прийшлося розбиратися зі сторони серверу. Включаємо debug в /etc/ssh/sshd_config:
SyslogFacility AUTH LogLevel DEBUG
і бачимо в логах таке:
Розглянемо лише ту частину яка стосується авторизації у LDAP. Отже в конфіг серверу додаємо таке
username-as-common-name
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf
Перший рядок каже, що login такий самий, як у LDAP’і, а другий – підключає відповідний модуль авторизації. А тепер налаштування для модулю авторизації /etc/openvpn/auth/ldap.conf:
Зараз все частіше доводиться генерувати саме ovpn файли, де все вже в середині (і конфіг і сертифікати). Нижче буде коротке how-to для випадку, коли треба зробити це для 10 чи 20 логінів.
Коротка замітка на тему, як бути, якщо так сталося якщо треба зробити revoke при тому, що 2 сертифіката мають однакове імʼя: так вийшло, що 24.pem, 67.pem мають один і той же CN=user123. Як же зробити revoke обом? Просто “штучно створюємо” новий сертифікат і одразу робимо revoke:
# cp 24.pem -> newname.crt && cd .. && ./revoke-full newname
Інколи, виникає така помилка. Як не дивно, то методи вирішення прості: додаємо такі рядки в кінець файлу var і знову перечитуємо environment:
KEY_CN="$1" FN="$KEY_CN" KEY_NAME="$KEY_CN" KEY_OU="$KEY_CN" export CA_EXPIRE KEY_EXPIRE KEY_OU KEY_NAME KEY_CN PKCS11_MODULE_PATH PKCS11_PIN
# source ./vars
Виникло завдання зробити зовнішлю авторизацію через LDAP для сервіса, який її не підтримував, зате підтримував авторизацію через Radius. А у radius’a виявився модуль LDAP.
Тестовий стенд: Debian Linux 11.6 + Freeradius.
Нам знадобляться пакети freeradius-ldap, freeradius-utils (для локального тесту через утиліту radtest).
Suricata is an open source network threat detection engine that provides capabilities including intrusion detection (IDS), intrusion prevention (IPS) and network security monitoring. It does extremely well with deep packet inspection and pattern matching which makes it incredibly useful for threat and attack detection.