W CVE-2015-7547 została opisana krytyczna luka bezpieczeństwa w powszechnie używanej bibliotece glibc. Błąd znaleziono w funkcji getaddrinfo().
Aby wykorzystać lukę, atakujący odpowiada specjalnie spreparowanym pakietem DNS na zapytanie DNS ofiary. Nie musi on dysponować własnym serwerem DNS, do manipulacji pakietu może też dojść poprzez atak Man-in-the-Middle. Zmodyfikowana odpowiedź DNS może doprowadzić do przepełnienia bufora oraz wykonania obcego kodu w systemie ofiary.
Archiwum kategorii: Bezpieczeństwo
glibc – krytyczna luka bezpieczeństwa (CVE-2015-7547)
SSH – klucze RSA (logowanie bez hasła)
SSH czyli Secure Shell pozwala na zdalne połączenie z serwerem. Co najważniejsze komunikacja pomiędzy klientem a serwerem jest szyfrowana. Domyślnie, logujemy się wpisując użytkownika oraz hasło. Jednak nie ma problemu aby takie zachowanie zmienić i uwierzytelniać swojego użytkownika przy użyciu kluczy RSA. Rozwiązanie bardzo wygodne jeśli często logujemy się po SSH, mamy wiele serwerów lub po prostu nie chcemy wpisywać za każdym razem hasła. Przydatne też w przypadku skryptów (np. Nagios, backup danych na zdalny serwer).
Generowanie własnego certyfikatu SSL
W tym wpisie opiszemy jak stworzyć klucz oraz CSR w systemie Linux (żądanie certyfikatu – Certificate signing request), następnie przy ich użyciu wygenerować certyfikat SSL oraz jak skonfigurować w apache wirtualnego hosta z włączoną obsługą SSL. Mimo, że własnoręcznie podpisany certyfikat, powoduje wyświetlanie ostrzeżeń w przeglądarkach, wciąż zapewnia nam takie same bezpieczeństwo transmisji jak certyfikat wystawiony przez autoryzowaną jednostkę.
Monitoring interfejsów z ifstated
Daemon ifstated
monitoruje status interfejsów sieciowych w systemie OpenBDS oraz umożliwia wykonanie odpowiedniej akcji (polecenia) w przypadku wykrycia zmian. Zmianą taką może być włączenie/wyłączenie karty sieciowej lub brak odpowiedzi na ping.
Czytaj więcej »
Packet filter i DNSBL
DNSBL (DNS-based Blacklist) czyli lista adresów IP podejrzanych o spamowanie. Listy takie bardzo często są używane przez serwery pocztowe, jako jedna z metod zabezpieczenia się przed spamem. Jest ich dostępnych wiele w internecie, część z nich jest zupełnie darmowa. Ich porównanie można znaleźć np na angielskiej Wikipedii. W podanym niżej przykładzie użyjemy takiej listy w połączeniu z packet filter
w systemie OpenBSD.
Czytaj więcej »