Category: Безопасность

Записи касаемо безопасности работы на компьютерах. Безопасности как в информационном плане, так и в плане физического и психического состояния и здоровья.
“Безопасность – это процесс, а не результат”
– Брюс Шнайер.

Установка fail2ban в Centos 6

fail2banНа свеже установленном минималистическом Centos yum не находит пакета fail2ban. Его можно поставить из исходников, но проще и удобнее поставить из репозитория. Необходимо только подключить его.

Заходите по ссылке http://pkgs.repoforge.org/rpmforge-release/ и выбирайте последнюю версию, я выбирал 32-х битную версии 0.5.2-2.

# yum install http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.i686.rpm

И потом ставим fail2ban:

# yum install fail2ban

Конфиг по умолчанию настроен. Но проверим некоторые важные опции:

vi /etc/fail2ban/jail.conf
 ignoreip = 127.0.0.1/8  Здесь могут быть IP адреса и CIDR маска или DNS хост. Fail2ban не будет банить перечисленные адреса. Несколько адресов нужно разделить пробелами

 bantime = 600  время бана в секундах (600 сек = 10 минут)

 findtime = 600  хост будет забанен если исчерпает отведёные ему попытки за последние findtime секунд.

 maxretry = 3  максимальное количество неверных попыток до бана.

Включаем автозапуск:

# chkconfig fail2ban on

Запускаем:

# service fail2ban restart

Если до этого он не был запущен при остановке будет ошибка, это не важно. Главное чтобы запустился.

Всё.

Для Centos 6 можно также подключить этот репозиторий:
для 32 бит

# rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm

для 64 бит

# rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

Skype кардинально изменяет подход к построению сети. В чём проблема?

В апреле 2012 года Skype, который сейчас принадлежит компании Microsoft, кардинально изменил подход к построению своей сети. До этого времени Skype работал преимущественно через пользовательские мощные компьютеры на которых загружен клиент Skype и у которых есть широкие и быстрые каналы в интернет с публичным IP. В терминологии сети Skype они называются супернодами. Одна такая супернода могла обслуживать до 800 пользователей Skype. Пирингновая топология сети и независимость супернод, (любой достаточно мощный компьютер, на котором запущен скайп, с мощными каналами мог стать супернодой) имела две особенности, которые с разных точек зрения имеют разное значение. С одной стороны, наличие огромного количества независимых супернод приводило к периодическим проблемам в связи, когда такая супернода внезапно выключалась или теряла канал. Это в большинстве случаев это влияло и на длительность входа в сеть Skype, так как поиск активной ближайщей суперноды занимал какое-то время. Сдругой стороны независимость этих нод давала возможность пользователям оставаться до определённой степени анонимными. И поскольку трафик проходил через случайные суперноды в сети, то для поддержания достойной безопасности требовались серьёзные криптоалгоритмы. В новой сети Skype начал быстро избавляться от независимых супернод, заменяя их своими, более мощными, построенными на Linux и позволяющими обслуживать от 4000 до 100000 пользователей сети Skype.
Continue reading Skype кардинально изменяет подход к построению сети. В чём проблема?

Не используйте современные телефоны для получения кодов из банка

После очередного сообщения о распространении нового трояна под Mac появилась мысль: Новые телефоны с унифицированными операционками (iOS, Android) с интернетом становятся удобной мишенью для кражи денег со счетов. Под широко распространённую систему выгоднее писать вирус, потому что целевая аудитория значительно больше.

Задача трояна под мобильную платформу:
1) получить доступ к SMS
2) получить пароль к SMS-banking
3) отправлять и получать SMS незаметно для хозяина телефона, sms-ки не должны появляться в списке sms.
Continue reading Не используйте современные телефоны для получения кодов из банка

Генерация RSA ключей для OpenVPN


Генерация RSA ключей для OpenVPN выполняется в несколько простых шагов.

Но прежде чем перейти к генерации ключей нам потребуется определиться с некоторыми моментами.
Нам нужны?

  • название CA ключа
  • название ключа сервера
  • название ключей клиентов
  • название организации (опционально)
  • e-mail (опционально)

При генерации клиентских ключей важно понять, что ключ клиента может быть либо “персональным” либо “совместным” одним на нескольких клиентов и даже одним на всех клиентов.
Continue reading Генерация RSA ключей для OpenVPN

Кража ssl сертификатов

В газете компьютерра была опубликована статья в которой говорилось о краже ssl сертификатов. Несколько лет назад я писал об опасностях которые в себе таят коммерческие (выданные некими центрами сертификации) цифровые сертификаты. И вот эта новость стала подтверждением высказанного мною тогда опасением. Если вы купили ключ для шифрования трафика у известного центра сертификации это значит что ваш трафик будет доступен тому кто выдал вам этот сертификат.

Мораль? Шифрование интимный процесс. И не стоит доверять его всяким проходимцам да ещё и платить им за выпуск этого сертификата.
Continue reading Кража ssl сертификатов

TrueCrypt в Fedora 12

Обновил систему (перешёл с 64-х на 32битную) и решил поставить TrueCrypt чтобы иметь доступ к старым данным и не потерять кросплатформенность файлов-контейнеров.

Пакет src файлов я взял отсюда

$ wget http://www.lfarkas.org/linux/packages/fedora/12/SRPMS/truecrypt-6.3a-1.fc12.src.rpm

Компилируем:

$ rpmbuild --rebuild truecrypt-6.3a-1.fc12.src.rpm

Предпологается, что установлено всё вспомогательное

# yum install rpm-build
# yum install wxGTK-devel
# yum install fuse-devel
# yum install gcc-c++

Переходим в каталог где лежит собранный пакет и устанавливаем его:

# rpm -ivh  truecrypt-6.3a-1.fc12.i386.rpm

Если не хотите компилировать, а взять готовое

$ wget http://www.lfarkas.org/linux/packages/fedora/12/i386/truecrypt-6.3a-1.fc12.i686.rpm

Устанавливаем пакет:

# rpm -ivh truecrypt-6.3a-1.fc12.i386.rpm

Дополнено:
Для Fedora 14 и Fedora 16 пакет собирается по этому же сценарию.

Дактилоскопирование. Дистанционное.

Не так давно в нашу жизнь вошёл интернет. Поступь его широкая и неумолимая, он расширяется захватывая всё новые и новые бастионы реального мира. Интернет принёс нам новое ощущение свободы и анонимности. Continue reading Дактилоскопирование. Дистанционное.

Skype + Firewall

Skype очень дружественен неискушённому к пользователю, но всё же хотелось знать технические особенности настройки Firewall для его работы. На сайте скайпа размещена информация по настройке разных Firewall, а также техническая информация, которую я привожу здесь в своём трактовании.

Continue reading Skype + Firewall

Firewall на Windows 2003 sp1

Недавно довелось мне настраивать VPN на сервере под Windows 2003 в связке с ADSL модемом роутером. Настроил VPN через UDP порт 11965. Он шустро заработал. Я настроил адреса, маршрутизацию между сетями. И считал бы я что всё “тип-топ” если бы не случай. Взял как-то в ресторан ноут, нужно было поработать, а тут смотрю в трее появляется оповещение о том что установлена связь с клиентской сетью. Continue reading Firewall на Windows 2003 sp1

Взлом контроллера домена через физический доступ.

“В апреле 2008 года Pavel Nagaev и Stanky провели WebCast “Эксперементы с AD” в рамках которого продемонстрировали общественности, как можно провести взлом контроллера домена и получить полные права доменного админа.”

Мне было интересно посмотреть на это потому, что я не знал о подробностях взлома. Если бы в заголовке WebCast-а и сообщений о нём, сразу предупредили о взломе с физическим доступом я бы даже не полез смотреть. А так только потерял время, хоть и смотреть пришлось в записи.

Continue reading Взлом контроллера домена через физический доступ.