Схема такая: client -> server1 (ip=XX.XX.XX.XX) -> server2 (IP=YY.YY.YY.YY) То есть получаем более-менее анонимное подключение. Причём с шифрованием в 256 бит. Хочу заменить, что у сервера server1 будет 2 конфигурации – клиента (для подключения к server2) и сервера (для подключения клиентов, типа client)
Категорія: Security
Работаем с ssl
В статье будет рассмотрено несколько простых моментов связанных с работой SSL/OpenSSL, а именно: генерация сертификатов, просмотр действия сертификата и прочее.
Nikto — open source сканер
Nikto — open source сканер, который осуществляет всеобъемлющее тестирование веб-серверов на уязвимости, в том числе проверяет наличие более 6500 потенциально опасных файлов и CGI, определяет устаревшие версии более 1250 различных веб-серверов, а также отображает специфические проблемы для более чем 270 версий серверов. Сканер также определяет типичные ошибки в конфигурации веб-сервера, в том числе наличие нескольких индексных файлов, опции HTTP-сервера, после чего пытается составить максимально полный список версий программ и модулей на сервере. Список сканируемых объектов в Nikto реализован в виде подключаемых плагинов и часто обновляется (эти плагины не являются open source).
ZAP представляет собой простой в использовании инструмент всестороннего анализа веб-сайта на уязвимости, включающий в себя такую функциональность как перехватывающий прокси для отслеживания коммуникаций между браузером и веб-сайтом в реальном времени, активный и пассивный сканеры на множество известных уязвимостей, сканер портов, бот, позволяющий определить структуру сайта, и фуззер для проверки корректности обработки непредвиденных данных. Приложение способно работать с HTTPS-соединениями в роли прокси (при наличии сертификата), имеет поддержку скриптинга и смарт-карт.
Как защитить файл от удаления из-под root’a? Ведь root может удалить любой файл? Или не любой? Оказывается, и здесь есть небольшая защита от дурака.
Создатели файловых систем позаботились о том, что бы добавить возможность выставить дополнительные флаги на файлы или папки, которые бы ввели дополнительную защиту:
– нельзя удалить файл (неважно под каким пользователем это делать)
– можно только дописывать/добавлять, но не изменять или удалять
а так же много других возможностей. Напомню, что это свойство файловой системы, а не ОС, поэтому, не для всех ОС эти свойства применимы
Что бы добавить работы взломщикам 🙂 уберём из заголовков (запрос get HEAD / HTTP/1.0) информацию о версии нашего web-сервера. Естественно, что информацию о самом web-сервере таким образом убрать не удастся (зато можно изменить или убрать, поправив исходники).
Частенько системные администраторы не отдают должное безопасности, а зря. Пусть даже это не важный сервер, но тем не менее, однажды он может стать зомби в каком-нибудь ботнете, который будет кого-то DDoS’ить или распространять malware.
Предлагают вашему вниманию рассмотреть какие следует предпринять меры для предотвращения этого:
PF – очень мощный инструмент и в его арсенале имеются штатные средства для блокировки паролей. И так нужна такая конструкция:
table <badhosts> persist
...
block drop in quick on $ext_if from to any label "ssh bruteforce"
block drop out quick on $ext_if from any to label "ssh bruteforce"
...
pass in quick on $ext_if proto tcp from any to ($ext_if) port 22 flags S/SA keep state (max-src-conn-rate 1/60, overloadflush global)
Обновлена 23.06.2016
Введение.
Пару слов о самом pf. Пакетный фильтр (далее PF) OpenBSD предназначен для фильтрации TCP/IP трафика и трансляции адресов (NAT). PF так же способен нормализовать и преобразовывать TCP/IP трафик, управлять приоритетами пакетов и пропускной способностью. PF был включен в ядро GENERIC OpenBSD, начиная с OpenBSD 3.0. Предшествующие версии OpenBSD использовали другой файрвол/NAT пакет, который более не поддерживается. Позже он портировался на FreBSD (начиная с 5.3) и Solaris (начиная с Oracle Solaris 11.3)
Расскажу ещё про один блокировщик подбора паролей. Теперь он будет работать в паре с pf. Сам sshit представляет собой скрипт на языке perl со всеми вытекающими отсюда последствиями. То есть, при наличии необходимых знаний языка perl вы можете нелету (а именно так он и работает) изменять сам скрипт. Это же (то есть налету) можно делать и с конфигурационным файлом.
Примечание: для OpenBSD его так же можно использоват, не смотря на то, что его нет в репозитариях. Учитывая что это скрипт на perl’e – просто скопируйте себе этот бинарник и конфиг и следуйте указанием в статье. Единственное отличие – это то, что в OpenBSD в syslogd нету флага ‘-c’.