Temos Archyvai: Saugumas

Bazinė Debian Linux SSH serverio apsauga

SSH autentikacija be slaptažodžio

Savo kompiuteryje sugeneruojame privatų ir viešą raktą:

ssh-keygen -t rsa -b 4096 -C "user@server"

~/.ssh kataloge bus sukurti privatus ir viešas raktai (atitinkamai id_rsa ir id_rsa.pub failai).

Sugeneruotą viešą raktą įrašome į serverio vartotojo ~/.ssh/authorized_keys failą.

Bandome jungtis prie serverio ir, jei sėkmingai prisijungiame be slaptažodžio, redaguojame /etc/ssh/sshd_config failą ir išjungiame galimybę prisijungti su slaptažodžiu:

PasswordAuthentication no

Debian, systemd ir žurnalai

Debian 12 neturi /var/log/auth.log failo, sshd logus galima skaityti systemd journalctl priemonės pagalba:

sudo journalctl -u ssh.service

Išvalome logus su šia komanda:

sudo journalctl --rotate --vacuum-time=1s

ufw ugniasienės konfigūracija

sudo apt install ufw
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw enable
sudo ufw status

fail2ban instaliacija ir konfigūracija

sudo apt install fail2ban python3-systemd #Debian 12 bugas - fail2ban automatiškai neįrašo python3-systemd paketo, kuris yra būtinas, nes Debian 12 neturi /var/log/auth.log failo, tad fail2ban neveikia kol nėra įrašomas python3-systemd, kuris leidžia fail2ban skaityti systemd žurnalus

Sukuriame /etc/fail2ban/jail.local failą su tokiu turiniu:

[DEFAULT]
backend = systemd
bantime  = 24h
findtime  = 120m
maxretry = 3
banaction = ufw
banaction_allports = ufw
port = 0:65535

[sshd]
mode = aggressive
enabled = true

Perkrauname fail2ban servisą ir patikriname ar viskas veikia:

sudo systemctl restart fail2ban
sudo systemctl status fail2ban

Jei viskas padaryta tvarkingai ir serveris yra atviras internetui, jau po poros minučių ufw status komanda pradės rodyti užblokuotus ip adresus:

Pigios kinietiškos IP kameros (ne)saugumas

Per AliExpress įsigijau pigią kinietišką IP kamerą. Daug maž tuo pat metu užsienio spaudoje plačiai nuskambėjo naujienos apie DDoS atakas rengiamas per piktadarių užvaldytas IP kameras ir kitus „įrenginių interneto” prietaisus.

Gavęs savo užsakymą nusprendžiau išbandyti kiek saugi yra ši kamera. Nmap pagalba greitai aptikau atvirus prievadus:

80 prievadas naudojamas kameros web interfeisui, 554 – RTSP protokolo vaizdo srautui perduoti, o vat atidarytas telnet prievadas yra negražu ir yra plačiai išnaudojamas blogiukų įrenginiui užvaldyti.

Taigi bandau prie kameros jungtis per telnet – pirma išbandau kameros web interfeiso prisijungimo duomenis (kuriuos, beje, iš karto pakeičiau) – netinka, tada sekė keletas spėliojimų (su vartotojo root ir paprasčiausių slaptažodžių kombinacijomis) – nepavyko. Galiausiai po trumpo googlinimo radau 2014 (!) metų įrašą, po kuriuo komentatorius pasidalino panašios kameros root slaptažodžiu, kuris yra cat1029. Išbandžiau ir sėkmingai prisijungiau:

Taigi kameros kūrėjai dėl vienokių ar kitokių priežasčių paliko backdoor’ą su paprastai internete randamu slaptažodžiu, kamerai, kuri kaipgi turėtų užtikrinti Jūsų saugumą.

Pradžioje pabandykime užtikrinti KAMEROS saugumą: prisijungę per telnet vykdom komandą passwd ir pakeičiame slaptažodį. Perkrovus kamerą ir net atstačius gamintojo nustatymus per web interfeisą, slaptažodžio pakeitimas išsilaikė. Prieš kabindamas kamerą telnet servisą išjungsiu visai.

Taigi patarimai, įsigijusiems IP kameras:

  • Jokiu būdu neleiskite joms prieigos prie interneto! Laikykite jas tik už gerai sukonfigūruotos ugniasienės.
  • Jei įmanoma išjunkite nereikalingus servisus ir pakeiskite kameros root slaptažodį.

OpenBSD ugniasienė

Šiame įraše aprašinėsiu patirtį įrengiant sistemą namų tinklui apsaugoti. Kompiuteryje veiks OpenBSD operacinė sistema ir PF ugniasienė.

2016 11 10

Aparatinė įranga

  • Asus N3050I-C motininė plokštė su integruotu Intel Celeron N3050 dviejų branduolių 1.6 GHz dažnio procesoriumi – 67,39 €
  • Adata 2 GB DDR3 1600 MHz atmintis (AD3U1600C2G11-R) – 13,39 €
  • Adata SATA3 16 GB SSD modulis (DOM – Disk On Module) – 24,89 €
  • Intel Gigabit CT Desktop tinklo plokštė (PCI-E jungtis) – 31,39 €
  • Corsair VS350 350 W maitinimo blokas – 36,99 €
  • Eurocase MC X201 MicroATX korpusas – 18,29 €

Kaina viso: 192,34 €.

Surinktas kompiuteris. Laidai nesutvarkyti.

Viską surinkęs, pradėjau nuo RAM skanavimo MemTest86 4.3.7 versija pateikiama Ultimate Boot CD V5.3.6 ir… po 7 min ties 7 testu kompiuteris pakibo. Tada išbandžiau MemTest86+ 5.01 ir ties septintu testu gavau krūvą klaidų. Biškeli pasigooglinęs, RAM’ų nurašyti dar neskubėjau. Pradėjau nuo motininės plokštės BIOS atnaujinimo nuo buvusios priešpaskutinės 0507 versijos iki paskutinės 0601. Asus savo tinklapyje ties paskutinės versijos aprašymu nedaugžodžiavo: Improve system stability.

Po šio atnaujinimo MemTest86 jau nenulūždavo, bet ties 6 testu metė klaidas. Pasiskaitęs šią temą PassMark forume, bandyti ten aprašomų veiksmų nesiėmiau, bet pabandžiau iš MemTest86 puslapio atsisiųsti naujausią programos versiją, kuri yra 7.1. Laimei, klaidų testas daugiau neberado. Nekvaršindamas daugiau sau galvos, ankstesnes klaidas nurašiau ant senos MemTest versijos ir naujos aparatinės įrangos nesuderinamumo (aišku, jei bus stabilumo problemų prie šio klausimo reikės grįžti).

Įsitikinus šiokiu tokiu surinktos sistemos stabilumu, atėjo laikas įrašyti OpenBSD 6.0 operacinę sistemą. Įrašinėsiu iš USB rakto – tam parsisiunčiu instaliacinį disko atvaizdą – (install60.fs) failą. Iš Windows operacinės sistemos šio failo duomenis surašau į USB raktą Win32 Disk Imager pagalba.

2016 12 05

Įsigijau Absolute OpenBSD knygą.

[Bus tęsiama]