SSL. Получение валидного сертификата.

Наверное многих уже достали неудовства с самоподписанными сертификатами, а ведь есть возможность легально и бесплатно получить подписанный валидный сертификат. Об этом я и постараюсь рассказать ниже.

Теория

Для того, чтобы иметь “правильный” сертификат нужно:

1. Сгенерировать приватный ключ (крайне рекоммендую без пароля)

2. Создать запрос на подпись

3. Получить подписанный сертификат

4. Настроить сервер для работы с https протоколом с помощью ключа (п.1) и подписанного сертификата

итак приступим:

SSH сервер на Debian

Как становится понятно из названия, SSH сервер основан на работепротокола SSH. Существуют несколько реализация данного сервера (dropbear, lsh-server, openssh-server, ssh и др.), в данной статье я буду рассматривать реализацию сервера OpenSSH на Debian Squeeze. Протокол SSH изначально являлся проприетарным коммерческим и пережил 2 реализации. В 1995 г. была разработана версия протокола SSH-1, в 1996 г. разработали версию SSH-2(используется по настоящее время), не совместимую с SSH-1.

SSH — это протокол сеансового (транспортного) уровня, использует для работы 22/tcp порт. OpenSSH предлагает два уровня идентификации: идентификация сервера и идентификацию клиента (пользователя). В-первых, клиент проверяет, что подсоединен к требуемому серверу.  Затем OpenSSH шифрует все данные, передаваемые между системами. Во-вторых, как только защищенная шифрованная связь установлена, SSH убеждается в авторизации пользователя для входа в систему (или для копирования файлов с системы и на нее). Как только система  сервер и пользователь проверены, SSH разрешает службам пользоваться созданным соединением. Установленное соединение может использоваться для интерактивной работы в bash (утилита ssh), удаленного выполнение каких-либо команд (опять же утилита ssh и scp), а так же туннелирование портов TCP/IP.

В своей работе SSH задействует следующие типы шифрования: аутентификация производится с использованием асимметричного шифрования с открытым ключом (версия SSH1 - RSA, SSH2 - RSA/DSA). Обмен данными во время установленного соединения -симметричное шифрование (IDEA - патентованный, DES, triple DES (3DES), ARCFOUR, BLOWFISH, CAST128, AES/Rijndael). Целостность переданных данных проверяется с помощью CRC32 в версии SSH1 и HMAC-SHA1/HMAC-MD5 - в SSH2. Для сжатия шифруемых данныхможет использоваться алгоритм LempelZiv (LZ77), который обеспечивает такой же уровень сжатия, что и архиватор ZIP.  Спецификация протокола SSH-2 описана в RFC 4251.

Просто о сложном или разбираемся с SELinux

Screenshot of the SELinux administrator in Fedora 8 (Photo credit: Wikipedia)

SELinux снискала славу сложной в понимании и настройке системы безопасности, которая хоть и делает Linux намного более устойчивой к взлому операционной системой, но создает больше проблем, чем приносит решений. Такая точка зрения в корне не верна и в этой статье я покажу, что SELinux намного проще и удобнее в использовании, чем это кажется на первый взгляд.Система SELinux (Security-Enhanced Linux - Linux с улучшенной безопасностью) была разработана министерством обороны США и всего за несколько лет стала стандартом в области систем контроля прав доступа. Она была включена в ядро Linux версии 2.6.0 и впервые появилась как полностью работающая из коробки система в дистрибутиве Red Hat Enterprise Linux 4. Впоследствии поддержка SELinux была интегрирована в такие дистрибутивы как Debian, OpenSUSE и Ubuntu, а дополнительные пакеты, активирующие систему, были добавлены во многие другие более или менее популярные дистрибутивы. Именно благодаря SELinux дистрибутиву RHEL5, работающему на серверах IBM, удалось получить сертификат безопасности EAL4 Augmented with ALC_FLR.3, который в то время имела лишь одна операционная система - Trusted Solaris.

Восстановление пароля для root или угроза безопасности из коробки в Linux

Статью нашёл по адресу: http://itshaman.ru/articles/12/passwd-root-linux

Если Вы забыли пароль и не можете получить доступ к операционной системе? То эта статья для Вас!
В статье собрана исчерпывающая информация, способная помочь отредактировать пароль root в операционной системе Линукс. Способы восстановления подойдут абсолютно для любых дистрибутивов Linux.
В то же время эта статья даст пищу для размышлений на тему незащищенности менеджера загрузки ОС при физическом доступе к Linux машине. Злоумышленник может получить привилегированный доступ к компьютеру или серверу, войдя в однопользовательский режим и сменив пароль root. При этом ему не требуется знать ни единого пароля системы.

Наглядная схема работы iptables

На днях настраивал iptables и «заблудился в трех соснах». До такой степени, что пришлось обращаться за помощью к знатокам. Не буду вдаваться в суть проблемы, но выложенная в ответ на мой вопрос схема фильтрации пакетов в Linux заслуживает перепостинга. Давно хотел обзавестись такой. Прям из разряда «вырежи и сохрани»

Защищенный канал передачи данных с помощью самоподписанных SSL-сертификатов и Stunnel

Рано или поздно ко всем администраторам сети приходит руководство, и просит сделать доступ к внутренним ресурсам сети компании через Интернет. Руководству, чрезвычайно приятно попивая сок, на Мальдивских берегах, мониторить прогресс решения поставленных задач в корпоративной системе управления проектами. Вот и становиться задача организации доступа.
Почитав литературу, я остановился на методе создания самоподписанных SSL сертификатов и программе Stunnel. Самозаверенный (самоподписанный) сертификат — специальный тип сертификата, подписанный самим его создателем. Технически данный тип ничем не отличается от сертификата, заверенного подписью удостоверяющего центра (УЦ), только вместо передачи на подпись в УЦ пользователь создаёт свою собственную сигнатуру.

Об nmap для начинающих

Когда-нибудь задавались вопросом, откуда взломщики узнают о том, какие порты открыты в системе и какие службы доступны на этих портах? Как они это делают, не задавая вопросов администратору сервера? Это и гораздо больше можно делать при помощи маленькой утилиты под названием nmap. nmap — это сокращение от «Network Mapper», по-русски можно назвать «построитель карты сети». Nmap — поистине огромный набор инструментов «в одном флаконе» для сканирования сетей. Он может использоваться для поиска и определения запущенных в сети сервисов, определения типа используемой операционной системы, типа файрвола или же просто для быстрого определения хостов, находящихся в сети. Короче говоря, уметь пользоваться этой штуковиной лишним не будет. Nmap очень известная утилита в буквальном смысле. Когда вы с ней познакомитесь, вы можете узнать её в некоторых эпизодах кинофильмов. В этой заметке я покажу вам базовые приёмы работы с Nmap и покажу несколько примеров, как его использовать.

Loop-aes или как зашифровать все не спалив себе мозг

Драйвер loop-AES представляет собой, как нетрудно догадаться, модификацию стандартного Linux-драйвера loop.ko. Того самого, который используется для так называемого кольцевого подключения различных сущностей в качестве виртуальных блочных устройств (например, ISO-образов). В отличие от оригинала, создающего тонкую прослойку между чем-либо и виртуальным устройством, loop-AES еще и производит модификацию пропускаемых через него данных, шифруя записываемую или читаемую из устройства информацию.

Это делает его универсальной системой шифрования любой информации, будь то файлы (подключенные с помощью «mount -o loop»), дисковые разделы, RAID-тома, своп-области, флеш-брелки и т.п. Шифруя раздел с помощью этого драйвера, пользователь получает что-то вроде переходника в виде loop-устройства, без которого получить доступ к данным будет невозможно.

EncFS. В помощь параноикам

Какими бы надёжными и защищёнными не объявляли себя онлайн-сервисы хранения данных вроде Wuala или DropBox, всё равно нет никаких гарантий того, что до ваших файлов не доберутся особо заинтересованные в них люди или организации. Единственная гарантия — вы сами. Если ваши файлы на жёстком диске хранятся в зашифрованной файловой системе, то можно гораздо меньше беспокоится в случае, если ваш винчестер отправится куда-то «на исследование» (естественно, если вы адекватно подошли к выбору алгоритма шифрования, ключа и/или пароля). Сам-собой возникает вопрос: как быть с файлами перед отправкой их за пределы вашей системы туда, где нет никаких гарантий безопасности хранилища? Естественно, отправлять их «как есть», мягко говоря, не рекомендуется.

Установка и настройка клиента OpenVPN в Ubuntu

Когда-то давным-давно, когда арбузы на деревьях были совсем ещё зелёными, я познакомился с замечательным проектом OpenVPN, сделавшим мою работу по связыванию распределённых локальных сетей воедино. Первым опытом стала настройка сервера под FreeBSD, ну а дальше, как говорится, понеслось. На сегодняшний день почти все сервера, настроенные мной, работают под Ubuntu Linux той или иной версии.

И вот недавно я обратил внимание на то, что среди барахла, хранящегося в /etc/init.d, скромненько притаился скрипт с именем «openvpn». «Ну и чё?» — тут же спросит опытный администратор. Всё дело в том, что до недавних пор поднятие сетевых интерфейсов, в том числе и TUN, я организовывал исключительно через /etc/network/interfaces, оперируя опциями pre-up для запуска демона OpenVPN и опциями pre-down для его останова. Всё это «безобразие» повсеместно разбавлялось различными командами, манипулирующими таблицами маршрутизации... В общем, довольно громоздкая картинка получалась. В принципе, всё работало вполне себе прилично, но раз есть предоставленный разработчиками иной (Ubuntu-way?) путь, то почему бы им не воспользоваться, тем более, что это позволит значительно разгрузить /etc/network/interfaces.

Смена пароля пользователя MySQL

 

Смена пароля пользователя MySQL — одна из основных задач системного администратора. По умолчанию учётная запись root в MySQL — это административная учётная запись, обладающая максимумом привилегий. Обратите внимание, что root в MySQL — это не тот же самый root, который имеется в вашей операционной системе! Эти две одноимённые учётные записи не имеют между собой ничего общего, а некоторые администраторы в целях безопасности вообще переименовывают пользователя root в MySQL.

Безопасное облачное хранилище Wuala увеличила объем бесплатного хранилища до 5 Гбайт

Запуск Google Drive и выпуск десктопного клиента для сервиса Microsoft SkyDrive подтолкнули разработчиков других сервисов для синхронизации пересмотреть условия предоставления услуг. Так, пользователи сервиса Wuala получили письма с сообщением о том, что объем бесплатного хранилища данных увеличен до 5 Гбайт. Ранее сервис предоставлял бесплатно 2 Гбайт. Эти условия работают и для новых пользователей.

Основным достоинством Wuala перед конкурентами является безопасность. В отличие от других сервисов, Wuala шифрует все данные непосредственно на компьютере пользователя, и на сервер они передаются уже в зашифрованном виде. Пароль от учетной записи никогда никуда не передается, поэтому привычная схема восстановления пароля на Wuala не работает. Еще одна особенность Wuala, которая обусловлена повышенным вниманием к безопасности, это отсутствие веб-интерфейса для доступа к файлам. Работать с файлами в браузере невозможно, поскольку они хранятся на сервере в зашифрованном виде. Если же возникла необходимость получить доступ к данным с чужого компьютера, разработчики предлагают использовать клиент, написанный на Java. Он запускается прямо с сайта сервиса и не требует установки.

Ключи защиты 1С и VMware. Официальный список поддерживаемых устройств

Как известно, еще с версии vSphere 4.1 в VMware поддерживается проброс USB со стороны сервера в виртуальные машины. В версии vSphere 5 функциональность была расширена — стал возможен проброс со стороны клиента.

Список устройств достаточно ограниченный. В нем есть ключи, используемые фирмой 1С для защиты платформы 1С:Предприятие

Проверяйте совместимость!

Анонимный серфинг c Tor

Иногда появляется реальная необходимость скрытия вашего адреса и данных, передающихся через интернет. Особенно в свете последних тенденций тоталитарной слежки и попыток посадить всех под контроль, все кому не лень собирают на пользователей интернета подробные досье. Что же делать? Решение может быть найдено в использовании распределённой сети Tor. Подробнее можно прочитать на официальном сайте разработчиков: обзор, документация. Tor - система, позволяющая устанавливать анонимное сетевое соединение, защищённое от прослушивания и рассматривается как анонимная сеть, предоставляющая передачу данных в зашифрованном виде.

Squid и SARG создание отчётности в Windows

Сводка недоступна. Нажмите эту ссылку, чтобы открыть запись.

Сброс пароля root в MySQL

Если по тем или иным причинам вы потеряли пароль пользователя root вашего сервераMySQL — не отчаивайтесь. Дело пяти минут. План такой:

1. остановить сервер MySQL;
2. запустить сервер MySQL в режиме отключённой проверки привилегий;
3. подключиться к MySQL-серверу пользователем root без пароля;
4. сбросить пароль пользователя root;
5. перезапустить сервер MySQL в обычном режиме.

Само-собой, все операции выполняются от имени системного суперпользователя. Поехали!

 

Протокол сетевой аутентификации Kerberos 5

Протокол Kerberos был создан более десяти лет назад в Массачусетском технологическом институте в рамках проекта Athena. Однако общедоступным этот протокол стал, начиная с версии 4. После того, как специалисты изучили новый протокол, авторы разработали и предложили очередную версию — Kerberos 5, которая была принята в качестве стандарта IETF. Требования реализации протокола изложены в документе RFC 1510, кроме того, в спецификации RFC 1964 описывается механизм и формат передачи жетонов безопасности в сообщениях Kerberos.

Руководство администратора OpenLDAP 2.4

The OpenLDAP Project <http://www.openldap.org/> 12 февраля 2012

---

Содержание

Предисловие
1. Введение в службы каталогов OpenLDAP
1.1. Что такое служба каталогов?
1.2. Что такое LDAP?
1.3. Для чего можно использовать LDAP?
1.4. Для чего LDAP лучше не использовать?
1.5. Как работает LDAP?
1.6. Как насчёт X.500?
1.7. В чём отличие между LDAPv2 и LDAPv3?
1.8. Непростые взаимоотношения LDAP и реляционных СУБД
1.9. Что такое slapd и на что он способен?

Exim: если спамеры указывают "Return-path" один (MAIL FROM), а заголовок "From" - другой

На своей шкуре я прочуствовал одну хитрость спамеров: когда они в сессии SMTP принимающему серверу в команде "MAIL FROM" заявляют один обратный адрес (например, реальный), а в теле письма, в заголовке "From" указывают обратный адрес тот-же, на который отправляют письмо (или просто из Вашего домена).

Правовые аспекты использования I2P в России

Не раз и не два многие задавались вопросом: а насколько законно использовать системы анонимизации и шифрования в РФ? Ведь, по большому счёту, используя I2P на домашнем компьютере, пользователь не знает - что за этим может последовать со стороны нашего дорогого, трепетно любимого, государства. Честно говоря, меня этот вопрос весьма заинтересовал, и я решил в нём разобраться. Сразу хочу предупредить - в основном нижеследующий текст представляет собой результаты копания автора в разнообразных кодексах и правовых документах имеющих отношение к вопросу.