Archive for Декабрь, 2009

Настройка авторизации на веб-сервере Apache по сертификату пользователя.

Posted on Декабрь 10th, 2009 in FreeBSD, Linux, Безопасность вебсайтов | 8 Comments »

Исходные данные:
OC – FreeBSD или Linux, в наличии должен быть openssl
Веб-сервер – Apache 2.2 + mod_ssl (http://test.lan)

Необходимо:
Настроить SSL – издать сертификаты, настроить веб-сервер
При доступе к определенной директории веб-сервер должен запрашивать авторизацию по сертификату клиента.

Исходим из того что веб-сервер корректно установлен, у хоста есть полное FQDN и он корректно резолвится и доступен извне по портам 80/tcp и 443/tcp.

В первую очередь необходимо будет:
1) Настроить свой CA (Certificate Authority) для издания сертификатов веб-сервера и клиентов.
2) Сгенерировать ключ и сертификат веб-сервера
3) Сгенерировать и импортировать ключи и сертификаты веб-клиентов.

Приступим:
Read the rest of this entry »

Маленький тюнинг dhcpcd

Posted on Декабрь 10th, 2009 in Linux | 6 Comments »

Часто приходится работать в разных сетях, потому использую периодически демон dhcpcd, запуская его руками. Иногда необходимо вручную указать настройки, например DNS.

Файл /etc/resolv.conf как бы подсказывает:


# /etc/resolv.conf.head can replace this line
nameserver 192.168.1.1
# /etc/resolv.conf.tail can replace this line

То есть создав эти файлы (/etc/resolv.conf.head, /etc/resolv.conf.tail) и прописав в них необходимые значения мы получим их в сформированном демоном файле /etc/resolv.conf

Но есть еще метод – /etc/dhcpcd.conf
Добавляем туда, например эти строки:


interface eth0
static ip_address=192.168.1.237/24
static routers=192.168.1.1
static domain_name_servers=192.168.1.1 8.8.8.8 8.8.4.4

И получаем автонастройку интерфейса на необходииые нам значения.

Уважаемый All, может еще есть интересные методы поставить свои значения в /etc/resolv.conf в дополнение к полученым dhcp-сервера?

К вопросу о 0-day FreeBSD local root exploit.

Posted on Декабрь 1st, 2009 in FreeBSD | 4 Comments »

l33t haxorВсплыла уязвимость в FreeBSD, суть которой кроется в возможности запуска с повышенными привилегиями _init блока сторонней библиотеки, загруженной злоумышленником через подстановку переменной окружения LD_PRELOAD, при выполнении suid-программы через функцию execl().

Код эксплоита можно найти по ссылке: http://seclists.org/fulldisclosure/2009/Nov/371

Патч еще не вышел, но вроде, как говорят некоторые лица, уже есть пострадавшие.

Во всей этой истории мне не понятно только одно: а зачем вообще держать компилятор на сервере? Или если держать то зачем разрешать его использование пользователями?

Ведь вы же не держите газосварочный аппарат перед входной дверью своего дома.