|
Определение IP-адреса пользователя в Telegram через голосовой вызов (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| По умолчанию Telegram устанавливает прямой канал связи при осуществлении
голосового вызова пользователя, присутствующего в адресной книге (в настройках
можно выборочно отключить использование P2P и направлять трафик только через
внешний сервер). При инициировании соединения для обхода NAT в Telegram
применяется протокол STUN (Session Traversal Utilities for NAT), который
передаёт информацию об адресах звонящего и принимающего звонок в поле
XOR-MAPPED-ADDRESS. Соответственно, если в настройках "Security and Privacy" не
отключён P2P, звонящий может узнать IP-адрес того, кому адресован звонок. Метод
подойдёт и для любых других приложений, использующих STUN.
Для определения IP-адреса следует во время осуществления вызова записать дамп
трафика в формате pcap, например, при помощи утилиты tcpdump или tshark, после
чего воспользоваться готовым скриптом
https://github.com/n0a/telegram-get-remote-ip/ или при помощи штатных утилит
проанализировать значение поля XOR-MAPPED-ADDRESS:
tshark -w dump.pcap -a duration:5
cat dump.pcap |
grep "STUN 106" |
sed 's/^.*XOR-MAPPED-ADDRESS: //' |
awk '{match($0,/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/); ip = substr($0,RSTART,RLENGTH); print ip}' |
awk '!seen[$0]++'
|
|
|
|
|
Простое устройство для защиты данных в случае кражи ноутбука (доп. ссылка 1) |
[комментарии]
|
| Майкл Олтфилт (Michael Altfield) [[https://tech.michaelaltfield.net/2020/01/02/buskill-laptop-kill-cord-dead-man-switch/ предложил]] простое и эффективное устройство для блокирования доступа к конфиденциальным данным в случае кражи ноутбука с активным пользовательским сеансом. Суть метода в контроле за подключением к ноутбуку определённого USB-устройства, прикреплённого к владельцу (аналогично в качестве признака можно использовать достижимость Bluetooth смартфона владельца или метку RFID).
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Блокировка рекламы и вредоносных сайтов через /etc/hosts |
[комментарии]
|
| Проект [[https://github.com/StevenBlack/hosts github.com/StevenBlack/hosts]] предлагает простой подход для блокировки рекламы и вредоносных сайтов, не требующий установки дополнений и работающий в любых операционных системах и браузерах. Суть метода в размещении черного списка с доменами рекламных сетей в файле /etc/hosts. При попытке загрузки рекламного блока имя связанного с ним домена резолвится в несуществующий адрес 0.0.0.0 и реклама не отображается из-за недоступности сервера.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Перенаправление на HTTPS при помощи HSTS в Apache, NGINX и Lighttpd (доп. ссылка 1) |
[комментарии]
|
| Протокол HSTS (HTTP Strict Transport Security) позволяет администратору сайта указать на необходимость обращения только по HTTPS и автоматизировать проброс на HTTPS при изначальном обращении по ссылке на HTTP. Управление производится при помощи HTTP-заголовка Strict-Transport-Security, который выдаётся при обращении по HTTPS (при выдаче по HTTP заголовок игнорируется) и указывает браузеру на необходимость оставаться в зоне HTTPS даже при переходе по ссылкам "http://". Замена http:// на https:// будет автоматически выполняться при обращении к защищаемому ресурсу с внешних сайтов, а не только для внутренних ссылок.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Пример поиска подозрительных php-файлов, содержащих очень длинные строки |
Автор: 100RAGE1
[комментарии]
|
| Некоторые вирусные php-файлы содержат очень длинные строки в коде. Такие файлы
можно поискать однострочником:
find ./ -name "*.php" -print0 | wc -L --files0-from=- | sort -V | grep -E "^[0-9]{5,}+ \\./"
найденные файлы можно просмотреть визуально или проверить чем-то еще.
|
|
|
|
|
Использование systemtap для устранения уязвимости в реализации /proc/pid/mem (доп. ссылка 1) |
[комментарии]
|
| Для устранения [[http://www.opennet.dev/opennews/art.shtml?num=32872 уязвимости]] CVE-2012-0056 в /proc/pid/mem без обновления ядра Linux можно использовать systemtap для ограничения системного вызова. Systemtap из коробки доступен в RHEL/CentOS и может быть установлен из репозитория в Debian/Ubuntu. Без systemtap обходным путем решения проблемы является блокирования доступа пользователя на запуск setuid-программ.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Проверка Linux-системы на наличие следов взлома (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| В процессе разбора истории со взломом kernel.org было выявлено, что атаковавшим удалось установить вредоносное ПО на Linux-машины некоторых разработчиков, используя которое были перехвачены ключи доступа. В списке рассылки разработчиков ядра Linux [[https://lkml.org/lkml/2011/9/30/425 опубликована]] краткая инструкция по проверке целостности системы и выявлению следов активности злоумышленников. Суть опубликованных рекомендаций изложена ниже.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Совместное использование SELinux и iptables (доп. ссылка 1) |
[комментарии]
|
| Используя утилиту [[http://james-morris.livejournal.com/11010.html Secmark]] можно организовать назначение в правилах iptables SELinux-меток для сетевых пакетов, примерно также как осуществляется назначение меток для локальных системных ресурсов. Подобное может использоваться для предотвращения доступа сторонних процессов, не находящихся под контролем SELinux, к определенному классу пакетов. Например, можно указать что запросы на 80 порт (метка http_packet_t) может отправлять только определенный web-браузер (или процесс, имеющий SELinux-метку http_t) и никто иной.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Замена setuid-бита на capabilities для системных программ в Linux (доп. ссылка 1) |
[комментарии]
|
| С целью избавления системы от программ с suid-битом, можно использовать следующую инструкцию.
Для привязки capabilities к исполняемому файлу используется утилита setcap из пакета libcap2-bin:
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Проблемы с Evince при использовании нестандартного пути к домашней директории в Ubuntu |
[комментарии]
|
| После обновления Ubuntu перестал запускаться просмотрщик PDF-файлов Evince, выдавая ошибку:
(evince:5592): EggSMClient-WARNING **: Failed to connect to the session manager:
None of the authentication protocols specified are supported
Причина оказалась в использовании нестандартного пути к домашней директории,
указанной через символическую ссылку /home -> /home2. Как оказалось такая
манипуляция требует изменения настроек AppArrmor, который по умолчанию
активирован в последних релизах Ubuntu.
Чтобы Evince заработал с нестандартным /home2 необходимо указать данную
директорию в файле /etc/apparmor.d/tunables/home и перезапустить apparrmor:
sudo /etc/init.d/apparmor reload
Похожие проблемы наблюдаются с переносом директории /usr/share и установкой
firefox в сборке Mozilla. В случае Firefox исправления нужно внести в файл
/etc/apparmor.d/usr.bin.firefox, а при переносе /usr/share потребуется поменять
с десяток разных файлов, определив в них упоминание /usr/share через поиск.
|
|
|
|
|
Настройка установки обновлений с исправлением проблем безопасности в RHEL/CentOS (доп. ссылка 1) |
[комментарии]
|
| Плагин yum-security позволяет использовать в yum команды list-security и info-security, а также опции
"--security", "--cve", "--bz" и "--advisory" для фильтрации исправлений проблем безопасности из общего массива обновлений.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Работа с web-клиентом альфабанка (ibank) в Linux (доп. ссылка 1) |
Автор: Vitaly
[комментарии]
|
| Краткое руководство для тех, кому в банке упорно твердят "наша система работает только под windows".
На примере альфабанка для юридических лиц (с etoken) и Ubuntu 8.04.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Обнаружение червя Conficker через пассивный анализ трафика (доп. ссылка 1) |
[комментарии]
|
| С конца 2008 года червь Conficker, поражающий Windows-клиентов, заразил несколько миллионов машин в сети,
занимая первые позиции в рейтингах антивирусных компаний.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Аутентификация при помощи Bluetooth телефона или USB Flash в Debian/Ubuntu Linux (доп. ссылка 1) (доп. ссылка 2) (доп. ссылка 3) (доп. ссылка 4) |
[комментарии]
|
| В качестве ключа для авторизации можно использовать MAC адрес телефона с Bluetooth интерфейсом.
Для избежания перехвата MAC-адреса, Bluetooth адаптер телефона должен работать только в пассивном режиме.
Тем не менее метод можно использовать только в ситуациях не предъявляющих серьезных требований к безопасности
(например, для входа на гостевую машину или только для выполнения sudo).
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Как выделить файлы из перехваченной tcpdump-ом сессии |
[комментарии]
|
| Утилита chaosreader (http://chaosreader.sourceforge.net) позволяет выделить пользовательские данные из лога tcpdump.
Например, можно сохранить переданные по FTP файлы, картинки запрошенные по HTTP, сообщения электронной почты переданные по SMTP,
ключи переданные в SSH сессии.
Дополнительно поддерживается выделение данные из дампа трафика различных туннелей, 802.11b и PPPoE.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Как разрешить доступ к точке монтирования для приложения контролируемого SELinux (доп. ссылка 1) |
[обсудить]
|
| Имеется CentOS с активным SELinux.
Требуется обеспечить возможность доступа Apache к примонтированному локально iso-образу, USB Flash
или диску, содержащему файловую систему без поддержки SELinux.
Решение: при монтировании необходимо явно определить политику доступа через опцию "context=".
По умолчанию используется "context=system_u:object_r:removable_t".
Для apache нужно монтировать так:
mount -o loop,context=system_u:object_r:httpd_sys_content_t /path/to/image.iso /var/www/html
|
|
|
|
|
Изменение метода хэширования паролей в Red Hat подобных дистрибутивах (доп. ссылка 1) |
[комментарии]
|
| В будущих версиях RHEL и Fedora Linux появится возможность
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Настройка аутентификации по отпечаткам пальцев в Ubuntu Linux |
[комментарии]
|
| Устанавливаем пакеты необходимые для сборки системы fprint:
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Использование login.access в FreeBSD 5.x и 6.x |
Автор: 135all
[обсудить]
|
| В FreBSD есть прекрасная возможность разрешать логинится конкретным пользователям
только с определённых терминалов или адресов. Делается это посредством модуля pam_acct_mgmt.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Как найти все SUID программы на машине |
[обсудить]
|
| Все SUID и SGID программы:
find / \( -perm -04000 -o -perm -02000 \) -exec ls -ald {} \;
Только SUID ROOT:
find /sbin \( -perm -04000 -a -user 0 \) -exec ls -ald {} \;
|
|
|
|
|
Борьба с троллингом на opennet.ru при помощи uBlock Origin |
Автор: уля
[комментарии]
|
| В последнее время на портале opennet.ru участились случаи троллинга и провокационных постов в новостях. Читатели, не желающие видеть комментарии и/или новости от какого-либо конкретного пользователя могут скрыть их при помощи пользовательских фильтров uBlock Origin. Это позволит сэкономить время и нервы при посещении ресурса.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Возможные проблемы с настройками пакета tor в Debian по умолчанию (доп. ссылка 1) |
Автор: Аноним
[комментарии]
|
| Пользователям пакетов, зависимых от пакета tor в Debian, следует проявить
осторожность. Файл конфигурации, идущий с пакетом tor, закомментирован почти
полностью, включая места, запрещающие узлу работать в режиме выходного узла
Tor. Настройки по умолчанию ( ExitRelay = "auto") подразумевают работу как
выходного узла при определённых условиях (если активна одна из опций -
ExitPolicy, ReducedExitPolicy или IPv6Exit).
Проблему усугубляет то, что от пакета tor зависит apt-transport-tor, что может
привести к ситуации, когда пользователь не разбираясь установил пакет для
большей безопасности, а получил доступ всех подряд в свою внутреннюю сеть и
перспективу претензий со стороны правоохранительных органов, как в деле
Дмитрия Богатова.
Дополнение: По умолчанию активация tor не подтверждена, по крайней мере в
Debian Stable, если действия пользователя не привели к изменению настроек
ExitPolicy, ReducedExitPolicy и IPv6Exit.
|
|
|
|