The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Безопасность

   Оглавление / Безопасность
Ограничение доступа и безопасность Apache: [->]
ipfw, IP-Filter: [->]
iptables, ipchains: [->]
Безопасность почтовой подсистемы: [->]
Увеличение безопасности FreeBSD: [->]
Увеличение безопасности Linux: [->]
SSH [29]
Виртуализация - Xen, OpenVZ, KVM, Qemu [49]
Помещение программ в chroot [17]
Шифрование, PGP [50]

----* Определение IP-адреса пользователя в Telegram через голосовой вызов (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
 
По умолчанию Telegram устанавливает прямой канал связи при осуществлении
голосового вызова пользователя, присутствующего в адресной книге (в настройках
можно выборочно отключить использование P2P и направлять трафик только через
внешний сервер). При инициировании соединения для обхода NAT в Telegram
применяется протокол STUN (Session Traversal Utilities for NAT), который
передаёт информацию об адресах звонящего и принимающего звонок в поле
XOR-MAPPED-ADDRESS. Соответственно, если в настройках "Security and Privacy" не
отключён P2P, звонящий может узнать IP-адрес того, кому адресован звонок. Метод
подойдёт и для любых других приложений, использующих STUN.

Для определения IP-адреса следует  во время осуществления вызова записать дамп
трафика в формате pcap, например, при помощи утилиты tcpdump или tshark, после
чего воспользоваться готовым скриптом
https://github.com/n0a/telegram-get-remote-ip/ или при помощи штатных утилит
проанализировать значение поля XOR-MAPPED-ADDRESS:

   tshark -w dump.pcap -a duration:5
   cat dump.pcap | 
     grep "STUN 106" | 
     sed 's/^.*XOR-MAPPED-ADDRESS: //' | 
     awk '{match($0,/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/); ip = substr($0,RSTART,RLENGTH); print ip}' |
     awk '!seen[$0]++'
 
----* Простое устройство для защиты данных в случае кражи ноутбука (доп. ссылка 1)   [комментарии]
  Майкл Олтфилт (Michael Altfield) [[https://tech.michaelaltfield.net/2020/01/02/buskill-laptop-kill-cord-dead-man-switch/ предложил]] простое и эффективное устройство для блокирования доступа к конфиденциальным данным в случае кражи ноутбука с активным пользовательским сеансом. Суть метода в контроле за подключением к ноутбуку определённого USB-устройства, прикреплённого к владельцу (аналогично в качестве признака можно использовать достижимость Bluetooth смартфона владельца или метку RFID).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Блокировка рекламы и вредоносных сайтов через /etc/hosts   [комментарии]
  Проект [[https://github.com/StevenBlack/hosts github.com/StevenBlack/hosts]] предлагает простой подход для блокировки рекламы и вредоносных сайтов, не требующий установки дополнений и работающий в любых операционных системах и браузерах. Суть метода в размещении черного списка с доменами рекламных сетей в файле /etc/hosts. При попытке загрузки рекламного блока имя связанного с ним домена резолвится в несуществующий адрес 0.0.0.0 и реклама не отображается из-за недоступности сервера.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Перенаправление на HTTPS при помощи HSTS в Apache, NGINX и Lighttpd (доп. ссылка 1)   [комментарии]
  Протокол HSTS (HTTP Strict Transport Security) позволяет администратору сайта указать на необходимость обращения только по HTTPS и автоматизировать проброс на HTTPS при изначальном обращении по ссылке на HTTP. Управление производится при помощи HTTP-заголовка Strict-Transport-Security, который выдаётся при обращении по HTTPS (при выдаче по HTTP заголовок игнорируется) и указывает браузеру на необходимость оставаться в зоне HTTPS даже при переходе по ссылкам "http://". Замена http:// на https:// будет автоматически выполняться при обращении к защищаемому ресурсу с внешних сайтов, а не только для внутренних ссылок.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Пример поиска подозрительных php-файлов, содержащих очень длинные строки   Автор: 100RAGE1  [комментарии]
 
Некоторые вирусные php-файлы содержат очень длинные строки в коде. Такие файлы
можно поискать однострочником:

   find ./ -name "*.php" -print0 |  wc -L --files0-from=- | sort -V | grep -E "^[0-9]{5,}+ \\./"

найденные файлы можно просмотреть визуально или проверить чем-то еще.
 
----* Использование systemtap для устранения уязвимости в реализации /proc/pid/mem (доп. ссылка 1)   [комментарии]
  Для устранения [[https://www.opennet.ru/opennews/art.shtml?num=32872 уязвимости]] CVE-2012-0056 в /proc/pid/mem без обновления ядра Linux можно использовать systemtap для ограничения системного вызова. Systemtap из коробки доступен в RHEL/CentOS и может быть установлен из репозитория в Debian/Ubuntu. Без systemtap обходным путем решения проблемы является блокирования доступа пользователя на запуск setuid-программ.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Проверка Linux-системы на наличие следов взлома (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
  В процессе разбора истории со взломом kernel.org было выявлено, что атаковавшим удалось установить вредоносное ПО на Linux-машины некоторых разработчиков, используя которое были перехвачены ключи доступа. В списке рассылки разработчиков ядра Linux [[https://lkml.org/lkml/2011/9/30/425 опубликована]] краткая инструкция по проверке целостности системы и выявлению следов активности злоумышленников. Суть опубликованных рекомендаций изложена ниже.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Совместное использование SELinux и iptables (доп. ссылка 1)   [комментарии]
  Используя утилиту [[http://james-morris.livejournal.com/11010.html Secmark]] можно организовать назначение в правилах iptables SELinux-меток для сетевых пакетов, примерно также как осуществляется назначение меток для локальных системных ресурсов. Подобное может использоваться для предотвращения доступа сторонних процессов, не находящихся под контролем SELinux, к определенному классу пакетов. Например, можно указать что запросы на 80 порт (метка http_packet_t) может отправлять только определенный web-браузер (или процесс, имеющий SELinux-метку http_t) и никто иной.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Замена setuid-бита на capabilities для системных программ в Linux (доп. ссылка 1)   [комментарии]
  С целью избавления системы от программ с suid-битом, можно использовать следующую инструкцию. Для привязки capabilities к исполняемому файлу используется утилита setcap из пакета libcap2-bin:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Проблемы с Evince при использовании нестандартного пути к домашней директории в Ubuntu   [комментарии]
 
После обновления Ubuntu перестал запускаться просмотрщик PDF-файлов Evince, выдавая ошибку:

   (evince:5592): EggSMClient-WARNING **: Failed to connect to the session manager: 
   None of the authentication protocols specified are supported

Причина оказалась в использовании нестандартного пути к домашней директории,
указанной через символическую ссылку /home -> /home2. Как оказалось такая
манипуляция требует изменения настроек AppArrmor, который по умолчанию
активирован в последних релизах Ubuntu.

Чтобы Evince заработал с нестандартным /home2 необходимо указать данную
директорию в файле /etc/apparmor.d/tunables/home и перезапустить apparrmor:

   sudo /etc/init.d/apparmor reload

Похожие проблемы наблюдаются с переносом директории /usr/share и установкой
firefox в сборке Mozilla. В случае Firefox исправления нужно внести в файл
/etc/apparmor.d/usr.bin.firefox, а при переносе /usr/share потребуется поменять
с десяток разных файлов, определив в них упоминание /usr/share через поиск.
 
----* Настройка установки обновлений с исправлением проблем безопасности в RHEL/CentOS (доп. ссылка 1)   [комментарии]
  Плагин yum-security позволяет использовать в yum команды list-security и info-security, а также опции "--security", "--cve", "--bz" и "--advisory" для фильтрации исправлений проблем безопасности из общего массива обновлений.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Работа с web-клиентом альфабанка (ibank) в Linux (доп. ссылка 1)   Автор: Vitaly  [комментарии]
  Краткое руководство для тех, кому в банке упорно твердят "наша система работает только под windows". На примере альфабанка для юридических лиц (с etoken) и Ubuntu 8.04.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Обнаружение червя Conficker через пассивный анализ трафика (доп. ссылка 1)   [комментарии]
  С конца 2008 года червь Conficker, поражающий Windows-клиентов, заразил несколько миллионов машин в сети, занимая первые позиции в рейтингах антивирусных компаний.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Аутентификация при помощи Bluetooth телефона или USB Flash в Debian/Ubuntu Linux (доп. ссылка 1) (доп. ссылка 2) (доп. ссылка 3) (доп. ссылка 4)   [комментарии]
  В качестве ключа для авторизации можно использовать MAC адрес телефона с Bluetooth интерфейсом. Для избежания перехвата MAC-адреса, Bluetooth адаптер телефона должен работать только в пассивном режиме. Тем не менее метод можно использовать только в ситуациях не предъявляющих серьезных требований к безопасности (например, для входа на гостевую машину или только для выполнения sudo).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как выделить файлы из перехваченной tcpdump-ом сессии   [комментарии]
  Утилита chaosreader (http://chaosreader.sourceforge.net) позволяет выделить пользовательские данные из лога tcpdump. Например, можно сохранить переданные по FTP файлы, картинки запрошенные по HTTP, сообщения электронной почты переданные по SMTP, ключи переданные в SSH сессии. Дополнительно поддерживается выделение данные из дампа трафика различных туннелей, 802.11b и PPPoE.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как разрешить доступ к точке монтирования для приложения контролируемого SELinux (доп. ссылка 1)   [обсудить]
 
Имеется CentOS с активным  SELinux. 
Требуется обеспечить возможность доступа Apache к примонтированному локально iso-образу, USB Flash 
или диску, содержащему файловую систему без поддержки SELinux.

Решение: при монтировании необходимо явно определить политику доступа через опцию "context=".
По умолчанию используется "context=system_u:object_r:removable_t".
Для apache нужно монтировать так:

   mount -o loop,context=system_u:object_r:httpd_sys_content_t /path/to/image.iso /var/www/html
 
----* Изменение метода хэширования паролей в Red Hat подобных дистрибутивах (доп. ссылка 1)   [комментарии]
  В будущих версиях RHEL и Fedora Linux появится возможность
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка аутентификации по отпечаткам пальцев в Ubuntu Linux   [комментарии]
  Устанавливаем пакеты необходимые для сборки системы fprint:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Использование login.access в FreeBSD 5.x и 6.x   Автор: 135all  [обсудить]
  В FreBSD есть прекрасная возможность разрешать логинится конкретным пользователям только с определённых терминалов или адресов. Делается это посредством модуля pam_acct_mgmt.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как найти все SUID программы на машине   [обсудить]
 
Все SUID и SGID программы:
find / \( -perm -04000 -o -perm -02000 \) -exec ls -ald {} \;
Только SUID ROOT:
find /sbin \( -perm -04000 -a -user 0 \) -exec ls -ald {} \;
 
----* Борьба с троллингом на opennet.ru при помощи uBlock Origin   Автор: уля  [комментарии]
  В последнее время на портале opennet.ru участились случаи троллинга и провокационных постов в новостях. Читатели, не желающие видеть комментарии и/или новости от какого-либо конкретного пользователя могут скрыть их при помощи пользовательских фильтров uBlock Origin. Это позволит сэкономить время и нервы при посещении ресурса.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Возможные проблемы с настройками пакета tor в Debian по умолчанию (доп. ссылка 1)   Автор: Аноним  [комментарии]
 
Пользователям пакетов, зависимых  от пакета tor в Debian, следует проявить
осторожность. Файл конфигурации, идущий с пакетом tor, закомментирован почти
полностью, включая места, запрещающие узлу работать в режиме выходного узла
Tor. Настройки по умолчанию ( ExitRelay = "auto") подразумевают работу как
выходного узла при определённых условиях (если активна одна из опций -
ExitPolicy, ReducedExitPolicy или IPv6Exit).

Проблему усугубляет то, что от пакета tor зависит apt-transport-tor, что может
привести к ситуации, когда пользователь не разбираясь установил пакет для
большей безопасности, а получил доступ всех подряд в свою внутреннюю сеть и
перспективу претензий со стороны правоохранительных органов, как в деле
Дмитрия Богатова.

Дополнение: По умолчанию активация tor не подтверждена, по крайней мере в
Debian Stable, если действия пользователя не привели к изменению настроек
ExitPolicy, ReducedExitPolicy и IPv6Exit.
 

 Версия для печати





Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру