Архив рубрики: Security

Безопасность операционных систем и сетей.

CentOS: YUM плагин yum-verify — проверка установленных пакетов
0 (0)

8 января 2015

yum-verify выполняет действия, схожие с rpm -V (—verify),  — проверяет корректность установленных пакетов и их конфигурационных файлов, что может помочь при поиске следов взлома. Выводит информацию в более удобном виде, и даёт более точное описание несоответствий. Устанавливаем: # yum install yum-verify После установки — для YUM будут доступны новые опции: verify — не проверяет файлы… Читать далее »

Loading

Linux: установка rkhunter
0 (0)

12 декабря 2014

Задача утилиты rkhunter — поиск известных бекдоров, руткитов и эксплоитов. Использует локальную базу, которую периодически обновляет, умеет отправлять отчёты на почту. Имеется в репозитории Epel, но можно установить вручную, скачав архив отсюда>>>. Устанавливаем из репозитория: # yum install rkhunter

Loading

Linux: установка и настройка Fail2ban
0 (0)

10 декабря 2014

Задача утилиты Fail2ban — мониторинг файлов (таких как /var/log/secure) и поиск в них следов bruteforce и других попыток некорректной авторизации. Так же, проверяет сервисы SSH, Dovecot, Nginx и другие. При обнаружении таковых — доступ с IP блокируется на фаерволе сервера. Установка выполняется на CentOS 6.6. Устанавливаем: # yum install fail2ban

Loading

Linux: система AIDE — отслеживание изменений файлов и директорий
0 (0)

8 декабря 2014

AIDE (Advanced Intrusion Detection Enviornment) — система предотвращения взлома системы. Домашняя страница проекта — тут>>>. Суть системы — она создаёт свою базу данных директорий и файлов, и периодически отслеживает изменения в них. Устанавливаем: # yum -y install aide Проверяем: # aide -v Aide 0.14

Loading

Linux: psad — обнаружение и блокировка сканирования портов
0 (0)

7 декабря 2014

PSAD — утилита для определения попыток сканирования открытых портов, при обнаружении таковых — отправляет оповещение на почту и может заблокировать атакующий хост. Для определения сканирования — использует указанную в конфигурации службу логирования, в данном случае — rsyslog. Устанавливаем: # yum -y install psad Редактируем /etc/rsyslog.conf. Добавляем строку: # for PSAD kern.info | /var/lib/psad/psadfifo IPTABLES генерирует очень… Читать далее »

Loading

NGINX: haccess и htpasswd
0 (0)

6 октября 2014

Создаём файл пароля, как и в случае с Apache HTTP: # htpasswd -c /var/www/vhosts/.htpasswd username New password: Re-type new password: Adding password for user username Редактируем файл настроек виртуалхоста, например /etc/nginx/conf.d/newsite.com.conf, и добавляем строки: auth_basic — указатель того, что имеет место авторизация + заголовок страницы; auth_basic_user_file — указывает на файл с логинами-паролями;

Loading

SSL: Comodo — получение и установка подписанного SSL-сертификата, CA Root сертификата и SSL-chain
0 (0)

24 января 2014

В примере будем использовать бесплатный SSL-сертификат от Comodo, получить его можно тут>>>. Процедура заказа и установки платного (коммерческого) сертификата — практически та же самая, не считая деталей при оформлении заказа. Создание Private Key сервера и .CSR — запроса на получение сертификата Для начала — создаём сертификат, который мы будем использовать в нашем приложении:

Loading

SSL: установка и примеры использования утилиты ssldump
0 (0)

23 января 2014

Для анализа пакетов SSL есть отличный инструмент — SSLDUMP. Страница разработчика — http://ssldump.sourceforge.net. Установка и примеры выполняются на: # uname -ro FreeBSD 9.0-RELEASE-p3 Установка ssldump Не забываем обновить порты: # portsnap fetch update

Loading

SSL: конвертировать файл .JKS в .PEM
0 (0)

22 января 2014

Задача — импортировать все данные из хранилища формата .JKS в формат .PEM. Сначала — перенесём данные в формат PKCS12 с использованием утилиты keytool, с помощью которой и выполнялось создание и наполнение хранилища .JKS и сохраним всё в файл с расширением .p12: # keytool -importkeystore -srckeystore oldstorename.jks -destkeystore newstorename.p12 -srcstoretype JKS -deststoretype PKCS12 -srcalias myalias -destalias… Читать далее »

Loading

OpenLDAP: включить поддержку шифрования TLS для сервера и phpLdapAdmin клиента
0 (0)

4 января 2014

Что такое TLS можно почитать тут>>>. Наша задача — обеспечить шифрование между LDAP-сервером и его клиентом — phpLdapAdmin. Хотя они и работают  в данном случае на одном хосте — но даже в таком случае это имеет смысл, особенно — если на сервере имеются учётные записи для других пользователей с доступом к консоли. Почему — будет… Читать далее »

Loading