Security

Взлом matrix.org – пример очень показательного взлома с точки зрения базовой безопасности. Нарушено куча важнейших принципов, описанных ниже. Сам хакер очень подробно все описал.

https://archive.md/MfrjB
в матриксе крутили на х.ю самые обычные бестпрактисы. Молодцы, че

I noticed in your blog post that you were talking about doing a postmortem and steps you need to take.


Читать дальше

Установка и использование Dante в качестве сервера Socks5 на Ubuntu 16

В свете огромной вероятности блокировки telegram в ближайшее время возник вопрос в установке и использовании Dante в качестве сервера Socks5 на Ubuntu 16.

Большая часть инфы нагло взята из офф. доки и отсюда.

Не забываем про теорию

Proxy – может использоваться по разному, например для логгирования клиентских запросов в компании, ограничения доступа (хех) или наоборот, обхода ограничения, блокировки определенного контента.

Читать дальше

Скрипт на событие логина по SSH

Пришла идея создания скрипта для логгирования события подключения по SSH в таблицу SQL и уведомления о подключении определенных пользователей определенным пользователям:
  • писать всем пользователям о подключении их самих – сами пользователи знают, когда заходят и заход тогда, когда ты это делать не мог – есть повод обеспокоиться
  • админу писать о подключении всех пользователей, имеющих права на sudo
В целом логгирование в linux встроено по умолчанию – утилита last показывает полный лог авторизаций с момента создания файла /var/log/wtmp и продолжительность pts, а в lastlog есть информация о последнем подключении.

Читать дальше

Настройка IPsec Virtual IP в Zyxel Keenetic

В связи с полным выпиливанием PPTP из свежих IOS/MACOS потребовался workaround по подключению телефона к домашнему роутеру.

Zyxel не поддерживает L2TP сервер, но с недавних пор, помимо IPsec туннелей, может создавать IPsec Virtual IP сервер. В template можно задать закрывать ли за NAT тот или иной коннект или нет.

Читать дальше

Касперский

Разное
  • На протяжении десятилетий антивирус Касперского стабильно находится в списках (1,2) лучших антивирусов в мире и это по настоящему круто
  • Антивир популярен не только в soho сегменте, но и в средних/крупных компаниях – как пример продукт “Kaspersky Endpoint Security”.


Читать дальше

Двухфакторная аутентификация в WordPress

miniOrange 2-factor

Использую сейчас этот плагин для бесплатной двухфакторной аутентификации по паролю + OTP (one-time-password) из Google Authenticator, полет нормальный. Не auth0 конечно по дизайну/функционалу, но плагин не заброшен, а это в безопасности зачастую куда важнее. Да и настройки никакой не требует, в отличии от auth0, что снижает порог входа.

Читать дальше

TR-069 реклама и дампы

Используя TR-069 и поддерживаемые роутеры по слухам есть возможность часть функционала DPI реализовать прямо на CPE:
1) Добавление рекламы в браузер клиента (может быть полезно в сетях с Free доступом)
2) Снятие pcap дампов прямо с CPE (может быть полезно для диагностики, для слежки скорее нет – юзер же может в любой момент отключить свой девайс)

Читать дальше

Работа с Google Authenticator

Использовал Google Authenticator в проекте по аутентификации на базе PHP. Работа с Google Authenticator идет через класс PHPGangsta_GoogleAuthenticator.

По умолчанию при первичной регистрации, происходит генерация QR-кода (я QR-код заменил на ссылку т.к. основные пользователи – мобильные, а не стационарные). В этом коде содержится URL с username, secret, service-name и редирект на приложение по мультифакторной аутентификации.

Читать дальше

Linux сервис на well-known порту

В Linux нельзя запустить прослушивание порта на well-known портах без прав админа. Это касается любого приложения – ruby сервера, linux утилит.
~$ nc -l 80.87.194.88 1111  - ok
~$ nc -l 80.87.194.88 90 - fail
nc: Permission denied
~$ sudo nc -l 80.87.194.88 90 - ok 


Читать дальше

iptables

Offtop

IPFW – считается очень хорошим файрволом на FreeBSD – быстрым, удобным, с большим количеством функционала. Для установки лучше пересобирать ядро, а не загружать как-то модулем или еще как (через порты?). Пример настройки тут.

Один пример (разрешаем конкретные типы ICMP):

${FwCMD} add allow icmp from any to any icmptypes 0,8,11

Еще пример с bash-логикой (режем bandiwdth по ночам чтобы не качали непонятно кто, непонятно что):

Также, необходимо заметить, что сам файл файрволла, по сути является shell-скриптом,  - со всеми вытекающими плюсами - типа регулировка траффика день/ночь, в последнем примере..


Читать дальше