The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Безопасность

   Оглавление / Безопасность
Ограничение доступа и безопасность Apache: [->]
ipfw, IP-Filter: [->]
iptables, ipchains: [->]
Безопасность почтовой подсистемы: [->]
Увеличение безопасности FreeBSD: [->]
Увеличение безопасности Linux: [->]
SSH [23]
Виртуализация - Xen, OpenVZ, KVM, Qemu [42]
Помещение программ в chroot [16]
Шифрование, PGP [42]

----* Блокировка рекламы и вредоносных сайтов через /etc/hosts   [комментарии]
  Проект [[https://github.com/StevenBlack/hosts github.com/StevenBlack/hosts]] предлагает простой подход для блокировки рекламы и вредоносных сайтов, не требующий установки дополнений и работающий в любых операционных системах и браузерах. Суть метода в размещении черного списка с доменами рекламных сетей в файле /etc/hosts. При попытке загрузки рекламного блока имя связанного с ним домена резолвится в несуществующий адрес 0.0.0.0 и реклама не отображается из-за недоступности сервера.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Перенаправление на HTTPS при помощи HSTS в Apache, NGINX и Lighttpd (доп. ссылка 1)   [комментарии]
  Протокол HSTS (HTTP Strict Transport Security) позволяет администратору сайта указать на необходимость обращения только по HTTPS и автоматизировать проброс на HTTPS при изначальном обращении по ссылке на HTTP. Управление производится при помощи HTTP-заголовка Strict-Transport-Security, который выдаётся при обращении по HTTPS (при выдаче по HTTP заголовок игнорируется) и указывает браузеру на необходимость оставаться в зоне HTTPS даже при переходе по ссылкам "http://". Замена http:// на https:// будет автоматически выполняться при обращении к защищаемому ресурсу с внешних сайтов, а не только для внутренних ссылок.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Пример поиска подозрительных php-файлов, содержащих очень длинные строки   Автор: 100RAGE1  [комментарии]
 
Некоторые вирусные php-файлы содержат очень длинные строки в коде. Такие файлы
можно поискать однострочником:

   find ./ -name "*.php" -print0 |  wc -L --files0-from=- | sort -V | grep -E "^[0-9]{5,}+ \\./"

найденные файлы можно просмотреть визуально или проверить чем-то еще.
 
----* Использование systemtap для устранения уязвимости в реализации /proc/pid/mem (доп. ссылка 1)   [комментарии]
  Для устранения [[http://www.opennet.ru/opennews/art.shtml?num=32872 уязвимости]] CVE-2012-0056 в /proc/pid/mem без обновления ядра Linux можно использовать systemtap для ограничения системного вызова. Systemtap из коробки доступен в RHEL/CentOS и может быть установлен из репозитория в Debian/Ubuntu. Без systemtap обходным путем решения проблемы является блокирования доступа пользователя на запуск setuid-программ.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Проверка Linux-системы на наличие следов взлома (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
  В процессе разбора истории со взломом kernel.org было выявлено, что атаковавшим удалось установить вредоносное ПО на Linux-машины некоторых разработчиков, используя которое были перехвачены ключи доступа. В списке рассылки разработчиков ядра Linux [[https://lkml.org/lkml/2011/9/30/425 опубликована]] краткая инструкция по проверке целостности системы и выявлению следов активности злоумышленников. Суть опубликованных рекомендаций изложена ниже.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Совместное использование SELinux и iptables (доп. ссылка 1)   [комментарии]
  Используя утилиту [[http://james-morris.livejournal.com/11010.html Secmark]] можно организовать назначение в правилах iptables SELinux-меток для сетевых пакетов, примерно также как осуществляется назначение меток для локальных системных ресурсов. Подобное может использоваться для предотвращения доступа сторонних процессов, не находящихся под контролем SELinux, к определенному классу пакетов. Например, можно указать что запросы на 80 порт (метка http_packet_t) может отправлять только определенный web-браузер (или процесс, имеющий SELinux-метку http_t) и никто иной.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Замена setuid-бита на capabilities для системных программ в Linux (доп. ссылка 1)   [комментарии]
  С целью избавления системы от программ с suid-битом, можно использовать следующую инструкцию. Для привязки capabilities к исполняемому файлу используется утилита setcap из пакета libcap2-bin:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Проблемы с Evince при использовании нестандартного пути к домашней директории в Ubuntu   [комментарии]
 
После обновления Ubuntu перестал запускаться просмотрщик PDF-файлов Evince, выдавая ошибку:

   (evince:5592): EggSMClient-WARNING **: Failed to connect to the session manager: 
   None of the authentication protocols specified are supported

Причина оказалась в использовании нестандартного пути к домашней директории,
указанной через символическую ссылку /home -> /home2. Как оказалось такая
манипуляция требует изменения настроек AppArrmor, который по умолчанию
активирован в последних релизах Ubuntu.

Чтобы Evince заработал с нестандартным /home2 необходимо указать данную
директорию в файле /etc/apparmor.d/tunables/home и перезапустить apparrmor:

   sudo /etc/init.d/apparmor reload

Похожие проблемы наблюдаются с переносом директории /usr/share и установкой
firefox в сборке Mozilla. В случае Firefox исправления нужно внести в файл
/etc/apparmor.d/usr.bin.firefox, а при переносе /usr/share потребуется поменять
с десяток разных файлов, определив в них упоминание /usr/share через поиск.
 
----* Настройка установки обновлений с исправлением проблем безопасности в RHEL/CentOS (доп. ссылка 1)   [комментарии]
  Плагин yum-security позволяет использовать в yum команды list-security и info-security, а также опции "--security", "--cve", "--bz" и "--advisory" для фильтрации исправлений проблем безопасности из общего массива обновлений.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Работа с web-клиентом альфабанка (ibank) в Linux (доп. ссылка 1)   Автор: Vitaly  [комментарии]
  Краткое руководство для тех, кому в банке упорно твердят "наша система работает только под windows". На примере альфабанка для юридических лиц (с etoken) и Ubuntu 8.04.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Обнаружение червя Conficker через пассивный анализ трафика (доп. ссылка 1)   [комментарии]
  С конца 2008 года червь Conficker, поражающий Windows-клиентов, заразил несколько миллионов машин в сети, занимая первые позиции в рейтингах антивирусных компаний.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Аутентификация при помощи Bluetooth телефона или USB Flash в Debian/Ubuntu Linux (доп. ссылка 1) (доп. ссылка 2) (доп. ссылка 3) (доп. ссылка 4)   [комментарии]
  В качестве ключа для авторизации можно использовать MAC адрес телефона с Bluetooth интерфейсом. Для избежания перехвата MAC-адреса, Bluetooth адаптер телефона должен работать только в пассивном режиме. Тем не менее метод можно использовать только в ситуациях не предъявляющих серьезных требований к безопасности (например, для входа на гостевую машину или только для выполнения sudo).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как выделить файлы из перехваченной tcpdump-ом сессии   [комментарии]
  Утилита chaosreader (http://chaosreader.sourceforge.net) позволяет выделить пользовательские данные из лога tcpdump. Например, можно сохранить переданные по FTP файлы, картинки запрошенные по HTTP, сообщения электронной почты переданные по SMTP, ключи переданные в SSH сессии. Дополнительно поддерживается выделение данные из дампа трафика различных туннелей, 802.11b и PPPoE.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как разрешить доступ к точке монтирования для приложения контролируемого SELinux (доп. ссылка 1)   [обсудить]
 
Имеется CentOS с активным  SELinux. 
Требуется обеспечить возможность доступа Apache к примонтированному локально iso-образу, USB Flash 
или диску, содержащему файловую систему без поддержки SELinux.

Решение: при монтировании необходимо явно определить политику доступа через опцию "context=".
По умолчанию используется "context=system_u:object_r:removable_t".
Для apache нужно монтировать так:

   mount -o loop,context=system_u:object_r:httpd_sys_content_t /path/to/image.iso /var/www/html
 
----* Изменение метода хэширования паролей в Red Hat подобных дистрибутивах (доп. ссылка 1)   [комментарии]
  В будущих версиях RHEL и Fedora Linux появится возможность
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка аутентификации по отпечаткам пальцев в Ubuntu Linux   [комментарии]
  Устанавливаем пакеты необходимые для сборки системы fprint:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Использование login.access в FreeBSD 5.x и 6.x   Автор: 135all  [обсудить]
  В FreBSD есть прекрасная возможность разрешать логинится конкретным пользователям только с определённых терминалов или адресов. Делается это посредством модуля pam_acct_mgmt.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как найти все SUID программы на машине   [обсудить]
 
Все SUID и SGID программы:
find / \( -perm -04000 -o -perm -02000 \) -exec ls -ald {} \;
Только SUID ROOT:
find /sbin \( -perm -04000 -a -user 0 \) -exec ls -ald {} \;
 

 Версия для печати




  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList