Pull to refresh
  • by relevance
  • by date
  • by rating

В OpenSSH добавлена двухфакторная аутентификация

ITSumma corporate blog Configuring Linux *System administration *Network technologies *Server Administration *
В OpenSSH добавлена экспериментальная функция двухфакторной аутентификации с помощью дешевых решений вида USB, Bluetooth или NFC-носителей. Соответствующая информация и детальное руководство опубликованы на marc.info.



Теперь OpenSSH имеет экспериментальную поддержку поддержку U2F / FIDO, а U2F добавлен как новый тип ключа "sk-ecdsa-sha2-nistp256@openssh.com" или сокращенно «ecdsa-sk» («sk» означает «ключ безопасности»).

Если ранее вы не сталкивались с U2F, то это — открытый стандарт для создания недорогих аппаратных решений в области security-токенов. Фактически, это самый дешевый способ для пользователей для получения аппаратных ключей, а на рынке достаточно продавцов. Например, токены можно купить у Yubico, Feitian, Thetis и Kensington. Аппаратные ключи дают преимущество в плане взлома: их надо физически украсть, что невозможно для большинства взломщиков.

При это токены — недорогие устройства, стоимость многих редко достигает сотни евро, то есть это сравнительно дешевый и надежный способ для того, чтобы обезопасить систему.
Читать дальше →
Total votes 29: ↑29 and ↓0 +29
Views 6.6K
Comments 13

Состоялся релиз OpenSSH 8.4

ITSumma corporate blog Information Security *Cryptography *Open source *


Вчера, 27 сентября 2020 года, состоялся релиз OpenSSH 8.4. Новая версия уже доступна для скачивания с официального FTP OpenBSD или предоставленных зеркал из этого списка.
Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views 2.1K
Comments 0

Релиз OpenSSH 8.5

Дата-центр «Миран» corporate blog Information Security *Cryptography *Open source *

Команда разработки анонсировала релиз OpenSSH 8.5 — открытой реализации клиента и сервера для работы с протоколами SSH 2.0 и SFTP. Работа над новой версией заняла более пяти месяцев — релиз OpenSSH 8.4 состоялся в конце сентября 2020 года.

Одно из важных изменений в новой версии — перевод в категорию устаревших алгоритмов на базе хэшей SHA-1, так как эффективность коллизионных атак с заданным префиксом серьезно возросла. Сейчас стоимость подбора коллизии по SHA-1 оценивается в ~$50 тыс.

Читать далее
Total votes 10: ↑10 and ↓0 +10
Views 2.4K
Comments 0

Xkcd — Дыры в безопастности.

Lumber room
Продолжаем трансляцию xkcd на хабр:) Сегодняшний выпуск.



П.С. Ну, вот, я в очередной раз самовольно перевел комикс, в обход всяких рассылок и коммюнити:(

Дополнительная информация:

баг c OpenSSH
Кольца декодеры
Реклама PowerBook с Джефом Голблумом(не уверен, именно ли это автор имел в виду)

Шрифт. Изначально взят отсюда, и немного доработан мной. Кириллица, украинские и русские буквы.
Total votes 54: ↑45 and ↓9 +36
Views 333
Comments 38

Microsoft: африканцы не понимают Open Source

Open source *
Директор по корпоративным стандартам Microsoft Джейсон Матусов (Jason Matusow) после командировки в ЮАР высказал в блоге свой скепсис по поводу того, как правительство Южной Африки продвигает в стране открытый софт. Как известно, одна из самых технологических продвинутых стран континента рекомендует повсеместно устанавливать открытое ПО, и такие «принудительные» методы Матусов считает в корне неправльными. Он говорит, что у OSS нет никаких преимуществ перед разработками Microsoft, а программисты ЮАР вообще вряд ли когда-нибудь будут принимать активное участие в серьёзных проектах Open Source.

Джон Матусов считает, что студентам ЮАР не хватает программистских способностей, чтобы участвовать в разработке Linux, да и вообще любая инновация в этом проекте «сразу перехватывается Red Hat или Novell и переводится на коммерческие рельсы в глобальном масштабе без каких-то заметных экономических выгод для Южной Африки». Статистика говорит, что более 95% всего мирового объёма венчурного финансирования OSS достаётся менее чем 20 крупнейшим проектам, которые уже, фактически, стали коммерческими.

Разумеется, высказывания топ-менеджера Microsoft сразу вызвали аргументированную критику из лагеря OSS. Пикантность этой истории придаёт тот факт, что многие ключевые проекты Open Source имеют южноафриканские корни. Например, основатель Ubuntu Майкл Шаттлворт родом из ЮАР, также как Тео де Раадт, автор OpenBSD и OpenSSH.
Total votes 14: ↑9 and ↓5 +4
Views 764
Comments 12

В OpenSSH появились картинки

Configuring Linux *
Оказывается, недавно в OpenSSH (средстве безопасного удалённого доступа для Unix систем и не только) появилась новая фича: все подписи ключей сопровождаются их визуализацией посредством ASCII картинки.

Теперь сухие фингерпринты сопровождаются странными картинками. Не поленился и собрал snapshot:

как это выглядит
Total votes 30: ↑25 and ↓5 +20
Views 753
Comments 24

Red Hat Enterprise Linux в опасности

Information Security *
Не знаю — многим ли будет эта информация интересна, но… лучше перебдеть, чем недобдеть.

Несколько серверов RedHat были взломаны на прошлой неделе. В частности был взломан сервер, на котором подписывались пакеты. RedHat немедленно отключила все обновления и, насколько измвестно, «по официальным каналам» никакой заразы никогда не передавалось. И для пользователей Fedora опасности нет — нужно просто обновить систему и всё (старые ключи «на всякий случай» отозваны, выпущены новые). А вот пользователям Red
Hat Enterprise Linux повезло меньше. Те кто пользуются ею легально находятся в том же положении, что и пользователи Fedora. А вот те, кто скачивают пакеты с разных странных сайтов могут получить трояна (обновления для Red Hat Enterprise Linux рассылаются только по подписке, так что если кто-то ставит себе пиратскую копию Red Hat Enterprise Linux, то обновления приходится добывать какими-то окольными путями).

Кто и зачем использует нелицензионный Red Hat Enterprise Linux при наличии CentOS — для меня загадка, но если такие люди всё же есть — проверьтесь (как рекомендует RedHat).
Total votes 10: ↑7 and ↓3 +4
Views 1.8K
Comments 3

Терминальный сервер для 1С с помощью vnc+ssh на основе fedora 8.

Lumber room
На самом деле, это инструкция скорее для меня самого, чтобы когда потребуется настроить такую штуку в следующий раз, не рвать волосы на голове и не думать в очередной раз: «Надо было все записать, когда в прошлый раз делал»… Но может быть, кому-то еще пригодится… Я абсолютно не претендую на то, что это абсолютно правильное решение и что нужно делать именно так, более того, буду только рад объективной критике… Просто я так сделал и решил это записать…
Итак, в один прекрасный день передо мной была поставлена следующая задача:
необходимо, чтобы пользователи удаленного офиса могли подключаться к 1С в нашем офисе…

Читать дальше →
Total votes 24: ↑21 and ↓3 +18
Views 1.7K
Comments 16

iPhone —как полноценный gprs/3g модем, используя VPN over SSH.

Smartphones
Видимо по той причине, что Apple заинтересована в безлимитном интернете только на самом iPhone (а не на устройствах подключенных к iPhone), они построили ядро ОС не включив в него технологию DIVERT, которая позволяет использовать NAT подобный тому, который обычно стоит в маршрутизаторах для обеспечения интернетом «серых» сетей (те которые 192.168.0.0/24 например).

К счастью, используя стороннее ПО на iPhone можно запустить socks –сервер, но с ним не умеют работать куча программ.

Однако у нас есть возможность использовать на iPhone SSH и туннелирование трафика, что частично позволяет нам неполноценно и достаточно неудобно, но доставать нужные сервисы из интернета.

Но оказывается такого туннелирования достаточно, что бы, благодаря программе OpenVPN, установить связь с удаленным сервером, который умеет и маршрутизировать и NAT-ить.

Единственный нюанс: необходим удалённый сервер, который будет вашим маршрутизатором. Для этого нужен обычный сервер с реальным белым IP- адресом (динамический тоже можно использовать, например, с помощью dynDNS). Таким сервером может быть: домашний компьютер, сервер на работе, VPS и т.п.
Читать дальше →
Total votes 53: ↑41 and ↓12 +29
Views 4.4K
Comments 30

OpenSSH. Установка

Lumber room

    Пакет OpenSSH — это свободная реализация сетевого протокола, позволяющего создавать защищенные соединения, удаленно управлять операционной системой, туннелировать TCP-соединения (например, для передачи файлов). OpenSSH содержит такие клиенты: ssh — для замены rlogin и telnet, scp — для замены rcp и sftp — для замены ftp.
Читать дальше →
Total votes 17: ↑6 and ↓11 -5
Views 8.7K
Comments 7

Шифрование с использованием PGP

Lumber room

Иногда сталкиваешься с ситуацией, когда в довольно большом предприятии совершенно не понимают (или не хотят понимать) зачем необходимо шифрование данных, каналов связи, почтовой переписки. Такая ситуация имеет место и на моей работе. Разрубить этот гордиев узел помогла ситуация со странной утерей данных клиент-банка.

Сейчас в несколько этапов проходит обучение коллектива азам работы с программой gpg. Решение использовать для шифрования почтовой переписки, файлов утилиту GnuPG принято из-за ее доступности в различных дистрибутивах Linux. Вы спросите — чего Linux делает в предприятии. Я отвечу так — в следствии упорной 3-х месячной работы сеть из порядка 200 пк была с 90%-ым успехом переведена на linux, о чем я возможно расскажу немного позже.
Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Views 4.9K
Comments 16

Настройка OpenSSH сервера на Nokia n900

Lumber room
Настройка OpenSSH на n900 не представляет собой ничего трудного. По принципу она схожа с настройкой всех других OpenSSH серверов.

I. Установка


Установить OpenSSH можно несколькими способами:
  • Скачать install файл и запустить его и следовать мастеру.
  • Скачать deb файл и проинсталлировать его
  • Открыть X-terminal и выполнить команду:
root
apt-get install openssh-server

прим. также можно сразу за раз установить OpenSSH клиент/сервер, но у меня возникли проблемы с его настройкой, никак не хотел принимать ключ.

II. Настройка


Для аутентификации на сервере мы будем использовать private/public ключи. Открывает Midnight Commander[1], переходим в каталог /etc/ssh/ и редактируем файл sshd_config:
раскоментируем строчку PasswordAuthentication и изменим значение «yes» на «no», этим мы запрещаем заходить на сервере по логину/паролю. На этом настройка OpenSSH закончилась, осталось сгенерировать ключи.

III. Генерация ключей


Для входа на сервер нам нужен публичный и приватный ключ. Генерируются они с помощью консольной программы ssh-keygen:

root
ssh-keygen -q -t rsa -b 4096 -f ~/.ssh/id_rsa
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys


После нужно будет ввести парольную фразу и подтвердить ее. На этом генерация ключей законченна. Осталось перезагрузить сервер:

etc/init.d/ssh restart

или если сервер не был запущен:

/etc/init.d/ssh start

IV. Подключение к серверу с помощью PuTTY(Windows


Для Windows пользователей есть SSH клиент PuTTY, что бы через него подключить к OpenSSH нужно преобразовать ключ, для этого нужно сделать несколько шагов:

  1. Скопируем приватный ключ (id_rsa) с директории ~/.ssh/ на PC любым удобным способом
  2. Установить PuTTY
  3. В директории с программой запустить puttygen.exe
  4. Нажать Load
  5. Выбираем для показа все файлы и открываем скопированный нами с телефона приватный ключ id_rsa
  6. Вводим пароль если такой был установлен ранее
  7. Нажимаем Save private key
  8. Выбираем место хранения и сохраняем например с именем private_nokia.ppk
  9. Запускаем PuTTY
  10. В закладке Session в поле Host Name вводим IP адрес телефона
  11. В закладке Windows — Translation меняем Receive data assumned to be in which character set: на UTF-8
  12. В Connection — Data в поле Auto-login username вводим root
  13. В Connection — SSH — Auth нажимает Browse… и выбираем сохраненный нами ключ private_nokia.ppk
  14. Нажимаем Open и ждем подключения

V. Заключение


На этом закончилась настройка OpenSSH на Nokia n900. Для некоторых это покажется детским лепетом, а некоторые потратят меньше времени на его приручение.

Сноски
[1] Midnight Commander
Total votes 12: ↑6 and ↓6 0
Views 634
Comments 9

Преодоление разрыва удаленного соединения при отсутствии действий пользователя

InterSystems corporate blog
Tutorial
При работе с GUI и терминальными приложениями нередко случается, что пользователь, работая в режиме удаленного доступа (как правило, через Интернет), покинув компьютер минут на 15, по возвращении обнаруживает, что программа зависла. На любое действие она отвечает ошибкой, содержащей примерно такие фразы: «Потеряна связь с сервером», "[WINSOCK] virtual circuit reset by host" и т.п. Наблюдается такое и при выполнении «долгоиграющих» методов (запросов к серверу), в которых не предусмотрен вывод прогресс-бара или какая-либо интерактивность.

Данная проблема характерна не только для GUI и терминальных решений на базе СУБД Caché и Ensemble компании InterSystems, а вообще для любого клиент-серверного взаимодействия по протоколу TCP/IP. Обычно она решается на прикладном уровне путём периодического обмена пустыми сообщениями специального вида, предназначенными лишь для того, чтобы просигнализировать о том, что приложение «живо».

Ниже о том, как можно решать эту проблему без программирования.
Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Views 59K
Comments 2

Повышаем безопасность закрытых ssh-ключей

Information Security *
Translation
Вы когда-нибудь интересовались механизмом работы ssh-ключей? Или тем, насколько безопасно они хранятся?

Я использую ssh каждый день много раз — когда запускаю git fetch или git push, когда развертываю код или логинюсь на сервере. Не так давно я осознал, что для меня ssh стал магией, которой я привык пользоваться без понимация принципов ее работы. Мне это не сильно понравилось — я люблю разбираться в инструментах, которые использую. Поэтому я провел небольшое исследование и делюсь с вами результатами.

По ходу изложения встретится много аббревиатур. Они не помогут понять идеи, но будут полезны в том случае, если вы решите погуглить подробности.

Итак, если вам доводилось прибегать к аутентификации по ключу, то у вас, скорее всего, есть файл ~/.ssh/id_rsa или ~/.ssh/id_dsa в домашнем каталоге. Это закрытый (он же приватный) RSA/DSA ключ, а ~/.ssh/id_rsa.pub или ~/.ssh/id_dsa.pub — открытый (он же публичный) ключ. На сервере, на котором вы хотите залогиниться, должна быть копия открытого ключа в ~/.ssh/authorized_keys. Когда вы пытаетесь залогиниться, ssh-клиент подтвержает, что у вас есть закрытый ключ, используя цифровую подпись; сервер проверяет, что подпись действительна и в ~/.ssh/authorized_keys есть открытый ключ, и вы получаете доступ.

Что же хранится внутри закрытого ключа?

Читать дальше →
Total votes 92: ↑92 and ↓0 +92
Views 58K
Comments 22

Двухфакторная аутентификация в OpenSSH: ключ+одноразовый код

System administration *
В предыдущей статье я рассказал, как добавить проверку одноразовых кодов при логине на свой сервер по SSH. Статья завершалась словами «если ходим по ключу — двухфакторная аутентификация не работает (не используется PAM)».

С недавнего времени, после выпуска OpenSSH версии 6.2, ситуация поменялась к лучшему.

+

Читать дальше →
Total votes 56: ↑53 and ↓3 +50
Views 27K
Comments 24

Google начинает выплачивать вознаграждения за исправление уязвимостей в проектах с открытым исходным кодом

Information Security *Open source *
Компания Google стала одним из пионеров в области своеобразного аутсорсинга обнаружения дефектов безопасности в своих веб-продуктах и Chromium, выплачивая хакерам вознаграждения как на регулярной основе, так и на специальных конкурсах — например, Pwn2Own и Pwnium. Теперь Google решила пойти дальше, расширив свою программу вознаграждений и на проекты, которые не имеют отношения к интернет-корпорации, но обязательно должны быть открытыми. Пока компания составила ограниченный список утвержденных проектов на время пробного периода, а в дальнейшем, в случае успеха, планирует расширять этот список. Впрочем, речь идёт не совсем об уязвимостях, а об их исправлениях. Заинтересовались?
Читать дальше →
Total votes 89: ↑85 and ↓4 +81
Views 19K
Comments 21

Простая установка сервера GIT на Windows

Git *
Recovery mode
image

Предисловие или от куда взялась «бредовая» идея ставить Git на Windows

Я работаю в одной не очень большой IT-компании, которая продает свои и чужие программные решения, занимается проектами внедрения, оказывает клиентскую поддержку, проводит обучение и далее все такое в том же духе. До недавнего времени в моей маленькой команде разработки все было неплохо организовано и у нас даже был свой собственный достаточно мощный сервер. Но случилось непредвиденное и по воле злого рока один из серверов фирмы полетел, а руководство решило вместо него в стойку поставить наш сервер отдела разработки. Нам предложили «временно» переехать на любой из серверов общего назначения.

А теперь внимание! Только мы одни во всей фирме работаем на Линуксе, а все остальные сидят исключительно на Windows и сервера у нас тоже под управлением серверных редакций ОС от Билла Гейтса. И если перенос базы Redmine не вызывает особых вопросов, то задача поднять на сервере Windows сервер для Git меня сразу поставила в тупик. Но несколько часов потраченных на поиски дали мне простое работающее решение.

Читать дальше →
Total votes 27: ↑18 and ↓9 +9
Views 167K
Comments 18

Проект OpenBSD под угрозой закрытия: нет денег на оплату счетов за электричество

Open source *
OpenBSD — вторая по популярности BSD-система. Она поддерживает 20 архитектур железа, включая такую экзотику, как VAX или Motorola 68000. OpenBSD широко используется в сетевом оборудовании, а дочерние проекты, такие как Packet Filter и OpenSSH, широко используются во многих других *nix-совместимых ОС.

Создатель и главный разработчик системы Тео де Раадт строго придерживается принципов радикальной открытости — все части системы имеют свободные лицензии, в ней вообще не используются фрагменты закрытого проприетарного кода даже в драйверах. Код системы доступен под максимально либеральной лицензией ISC. В отличие от копилефтных лицензий, подобных GPL, она не накладывает вообще никаких ограничений на использование кода, в том числе и в закрытых коммерческих системах.
Читать дальше →
Total votes 113: ↑110 and ↓3 +107
Views 53K
Comments 87

Поддержка SSH в Windows силами Microsoft

Development for Windows *
Картинка для привлечения вниманияИнициировано это всё командой разработки PowerShell, которую периодически на эту тему активно пинают. Будет как интегрированный PowerShell ssh-клиент, так и SSH-сервер под Windows. Помимо этого взаимодействие между windows-машинами для удалённого управления через PowerShell также планируется осуществлять через ssh. Реализовать это дело планируется на базе проекта OpenSSH, в который будут отправляться необходимые патчи.

До этого были попытки реализовать SSH-клиент в PowerShell V1/V2, но они так и не были представлены общественности.

[ Оригинал ]
Total votes 38: ↑32 and ↓6 +26
Views 74K
Comments 31

В клиенте OpenSSH обнаружена серьёзная уязвимость CVE-2016-0777

Information Security *Cryptography *

Сегодня стало известно о новой уязвимости в клиенте OpenSSH получившей идентификаторы CVE-2016-0777 и CVE-2016-0778. Ей подвержены все версии программы от 5.4 до 7.1.

Обнаруженный баг позволяет осуществить атаку, приводящую к утечке приватного ключа. Аутентификация ключа сервера предотвращает атаку типа man-in-the-middle, так что злоумышленникам понадобится сначала получить доступ к машине, на которую вы пытаетесь зайти. Хотя, при подключении к машине впервые, не сверяя ключ, MITM возможен.

До тех пор пока вы не обновите уязвимые системы рекомендуется использовать следующий фикс:
echo -e 'Host *\nUseRoaming no' >> /etc/ssh/ssh_config

Обновления для различных ОС уже выходят, в том числе выпущена portable версия OpenSSH 7.1p2.

Клиент OpenSSH версий от 5.4 до 7.1 содержит код экспериментальной функции «roaming», позволяющей продолжать сессии. Серверная часть этой функциональности никогда не была опубликована, но существующий код клиента уязвим — злоумышленники могут получить часть памяти клиентской машины, содержащую приватный ключ. По умолчанию эта функция включена, поэтому узявимость достаточно серьёзна.
Читать дальше →
Total votes 33: ↑30 and ↓3 +27
Views 37K
Comments 29
1