NFsec Logo

Podwójne uwierzytelnienie w SSH (2FA) za pomocą FreeOTP

06/04/2016 w Bezpieczeństwo Brak komentarzy.

P

odówjne uwierzytelnianie polega na zabezpieczeniu dostępu do danej usługi (tutaj SSH) polegająca na dodatkowym uwierzytelnieniu oprócz wpisania standardowego loginu i hasła. Najczęściej występujące rodzaje zabezpieczeń to: sms z dodatkowym kodem; kody jednorazowe spisane na kartce lub wysyłane na adres e-mail; aplikacja z kodami jednorazowymi zainstalowana na komputerze lub urządzeniu mobilnym (tablet / telefon). W tym artykule skupimy się na kodach jednorazowych (OTP – One Time Passwords), które dodatkowo będą chronić naszą usługę SSH.
[ czytaj całość… ]

Logujemy logowania i nie tylko cz.I – moduły PAM

27/01/2016 w Bezpieczeństwo Brak komentarzy.

Z

ałóżmy, że posiadamy centralny system logowania, który gromadzi różne dane z wszystkich naszych serwerów. Może być on oparty o komercyjne usługi typu Loggly, Logentries, DataDog lub własne rozwiązania, których sercem jest Elasticsearch, czy RethinkDB. Zależy nam na tym, aby każde normalne logowanie i to na uprzywilejowane konto root, czy to bezpośrednio na maszynę, czy to za pomocą sudo było przesyłane do naszego centrum danych. Dane te mogą posłużyć nie tylko jako ewidencja i kontrola osób, które mają prawo do tego typu działań, ale również umożliwia nam ich analizę i wykrywanie potencjalnych naruszeń bezpieczeństwa.
[ czytaj całość… ]

Przejście z MD5 na SHA512 w systemach RedHat/CentOS 5.x (Fedora 9)

16/03/2013 w Bezpieczeństwo Brak komentarzy.

S

ystemy z rodziny RHEL w wersji 5‚tej korzystają z kryptograficznej funkcji skrótu MD5 do przechowywania haseł systemowych. Nie jest to zły algorytm, ale nie na tyle dobry i trudny do złamania – aby obecnie korzystać z jego możliwości. W celu zmiany metody szyfrowania z MD5 na SHA512, która jest o wiele bezpieczniejsza (i używana standardowo w wersji 6.x) wystarczy wydać polecenie:
[ czytaj całość… ]

CentOS 6 – /lib/security/pam_fprintd.so

05/09/2011 w Debug, Techblog Brak komentarzy.

J

eśli w logu systemowym /var/log/secure podczas logowania się użytkowników do systemu otrzymujemy informację związaną z błędami w konfiguracji PAM, a dokładniej – związaną z modułem czytnika linii papilarnych:

Sep  5 19:35:17 stardust su: PAM unable to dlopen(/lib/security/pam_fprintd.so):
/lib/security/pam_fprintd.so: nie można otworzyć pliku obiektu dzielonego:
Nie ma takiego pliku ani katalogu
---
Sep  5 19:35:17 stardust su: PAM unable to dlopen(/lib64/security/pam_fprintd.so):
/lib64/security/pam_fprintd.so: cannot open shared object file:
No such file or directory

Którego nie posiadamy – wystarczy wydać polecenie:
[ czytaj całość… ]

Piszemy własny moduł PAM

31/10/2009 w Hakin9 & Linux+ Brak komentarzy.

U

miejętność pisania modułów PAM jest bardzo przydatna, gdy tworzymy niestandardowy lub nietypowy system uwierzytelniania. Ponadto przekazywana tu wiedza z pewnością przyda się przy modyfikacjach konfiguracji PAM wykraczających poza tematy zawarte na ubogich nieraz stronach manuali. Analiza kodu źródłowego modułu może często wyjaśnić wiele pozornych nieprawidłowości w jego funkcjonowaniu albo nietypowych zachowań.
[ czytaj całość… ]

Tworzenie lepszych haseł dzięki CrackLib

22/07/2009 w Bezpieczeństwo Brak komentarzy.

L

inux jest systemem, w którym hasła pełnią jedną z głównych funkcji zabezpieczających (Punkt 3. Skomplikowane hasła). Niestety nie każdy użytkownik naszego systemu potrafi zrozumieć rangi ich bezpieczeństwa. Wielu z nich tworzy bardzo łatwe kombinacje przy ich doborze. Wpływa to nie tylko negatywnie na bezpieczeństwo samego konta danego użytkownika, ale również bezpieczeństwo całego systemu. By przeciwdziałać tego rodzaju uchybieniom, możemy wymusić tworzenie lepszych haseł na samych użytkownikach z poziomu mechanizmów służących do ustanowienia i zmiany hasła. Proces taki nazywany jest proaktywnym testowaniem haseł i polega on na eliminowaniu słabych haseł zanim pojawią się w plikach zawierających informacje o kontach użytkowników.
[ czytaj całość… ]