Posted by Nightweaver Fri, 09 May 2008 18:27:00 GMT
Današnji dan će pored dana obeležavanja pobede nad fašizmom obeležiti još jedna pobeda GNU/GPL licence na sudu. Kakva "slučajnost".
U pitanju je bio sudski spor "Welte vs. Skype Technologies SA". Kako vam ne bih prepričavao dešavanja sa suđenja predlažem da pogledate Haraldov blog na: http://laforge.gnumonks.org/weblog/2008/05/08/#20080508-olg_muenchen-skype
Zaista dobar dan za svet Slobodnog softvera.
Posted by Nightweaver Thu, 08 May 2008 11:55:00 GMT
Posle jedne od diskusija na linuxo.net forumima palo mi je na pamet da sastavim jedno malo uputstvo za povećanje bezbednosti OpenSSH servera. OpenSSH je odlična aplikacija za udaljeni pristup računarima jer omogućava kriptovanu vezu i potpuni osećaj rada u komandnoj liniji kao na lokalnoj mašini. OpenSSH je projekat, pazi ti to, OpenBSD ekipe. Dakle, postoji više načina da zaštitite svoj SSH pristup od radoznalaca i loših ljudi. Ja ću se ovde koncentrisati na jedan konkretan - sertifikati.
Upotreba sertifikata za pristup udaljenoj mašini je jedan od boljih načina da se poveća sveukupna bezbednost servera. Sertifikati se obično koriste za tzv. pristup bez šifre. Naime, da ne biste pamtili stalno svoju šifru kreiraćete sertifikat koji nema šifru i pomoću njega pristupati sistemu. Ovo je loše jer ako neko dođe u posed vašeg sertifikata onda nastaju problemi. Za ovu priliku ću ipak koristiti seritifkat sa šifrom. Dakle, pređimo na posao.
# local$ ssh-keygen -t rsa - obavezno unesite šifru u dijalogu za nju
# local$ scp ~/.ssh/id_rsa.pub udaljena_masina
# local$ ssh username@udaljena_masina
# remote$ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
# remote$ chmod 644 ~/.ssh/authorized_keys - obavezno ovo uradite jer u suprotnom sistem neće čitati sertifikat nego će tražiti šifru.
To je to. Prekinete vezu sa udaljenom mašinom i kada pokušate ponovo da se nakačite dobićete nešto ovako:
Enter passphrase for key ‘/home/nightweaver/.ssh/id_rsa’:
Unesete šifru RSA ključa i bićete na sistemu. OK, idemo korak dalje. Ukoliko neko nema sertifikat biće prebačen na obično logovanje. Mi to ne želimo. Želimo da samo ljudi sa sertifikatom mogu da pristupe sistemu. Slede momenti napredne paranoje.
Pre svega, napravimo korisnika koji ima neko neobično ime. Nešto što će biti teško povezati sa vama. Recimo, gatto. Dakle, imamo korisnika gatto. Prebacimo onaj sertifikat od malopre u home DIR korisnika gatto. Proverimo da li radi tako što ćemo uraditi:
ssh gatto@udaljena_masina
Ako se traži šifra sertifikata onda je sve OK. Idemo dalje. OpenSSH server ne mora slušati na podrazumevanom portu 22. To je port koji će razni skeneri prvo napadati. Prebacimo taj port na nešto visoko i nestandardno. Recimo: 7000. Ovo sve radim na OpenBSD mašini ali je procedura identična i za FreeBSD i GNU/Linux. Dakle:
vim /etc/ssh/sshd_config
Pri vrhu datoteke ćete videti liniju: Port 22. Izmenite to u 7000. Sačuvajte izmene i restartujte SSH server. Sada čete se na sistem kačiti na sledeći način:
ssh -p 7000 gatto@udaljena_masina
a sftp če raditi ovako:
sftp -oPort=7000 gatto@udaljena_masina
Proverite da li sve radi kako treba. Radi? Sjajno, idemo dalje.
Kao što sam već naveo, ukoliko neko nema sertifikat bićemu tražena obična šifra. Ali mi želimo da ti "brute force" pokušaji unošenja šifre budu potpuno onemogućeni. Izmenimo sshd_config podatke da izgledaju ovako:
LoginGraceTime 1m
PermitRootLogin no
StrictModes yes
MaxAuthTries 3
AllowUsers gatto
Ovako postižemo sledeće: korisnik ima 1m da unese svoju šifru, logovanje root korisnika direktno nije dozvoljeno a na raspolaganju će imati samo tri šanse da unese šifru. Poslednji red je veoma koristan. Samo korisnička imena koja se tu nalaze će uopše moći da priđu SSH serveru. Dakle, čak i da ne koristite sertifikate samo čete korisnikom gatto moći da se ulogujete. Lukavo, zar ne? Idemo dalje. Ukažimo sistemu gde mu se nalate RSA ključevi:
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
Isključimo sve ostalo:
RhostsRSAAuthentication no
HostbasedAuthentication no
IgnoreRhosts yes
Sledeći redovi su jako bitni. Stavite ovde NO samo ako ste prethodno testirali pristup RSA ključevima. Posto kada ovo prebacite u NO više neće biti moguće ući na sistem običnom šifrom.
PasswordAuthentication no
PermitEmptyPasswords no
Dakle, sada samo korisnik gatto može pokušati da se uloguje i to ako i samo ako ima RSA sertifikat. No, ovo meni nije bilo dovoljno. Želeo sam da čak i ako neko uspe da uđe na sistem ne može tek tako doći do root naloga. Zato korisnika gatto nisam stavio u grupu wheel te samim tim komanda SU nije radila za njega. No, gatto se može prebaciti na nekog drugog korisnika. Napravio sam sebi radni nalog nightweaver koji je član grupe wheel i može postati root. Da vidimo sada malo skicirano kako izgleda ulaz na sistem:
A nema sertifikat i ne zna dozvoljenog korisnika –> server - odbijen i pokušaj prilaska
A ima sertifikat ali ne zna dozvoljenog korisnika –> server - odbijen i pokušaj prilaska
A ima sertifikat, zna dozvoljenog korisnika ali ne za koji korisnik moze da radi SU –> ne može da napravi veliku štetu
Putanja do sistema bi onda izgledala ovako:
A mora imati sertifikat
A mora znati koji korisnik koristi taj sertifikat i koja je šifra sertifikata
A mora znati koji korisnik na serveru može da radi SU i koja je njegova šifra
A se mora prebaciti na korisnika koji može raditi SU pa tek onda postati root
Sve ovo može izgledati dosta komplikovano… verujte mi, nije. Probajte sami pa ćete videti. Kao neko ko se dosta dugo bavi bezbednošču računarskih mreža mogu vam reći da ni jedan sistem nikada neće biti najbezbedniji. Uz dovoljno truda i znanja svaka se zaštita može pre ili kasnije probiti. Ali zašto ne zakomplikovati put do sistema za one kojima tamo nije mesto?
Posted by Nightweaver Thu, 08 May 2008 10:06:00 GMT
Drage moje i dragi moji, raduje me što je došao još jedan četvrtak kada ću vas podsetiti da svoja dupeta prošetate do prve trafike jer vas tamo čeka nova epizoda Dilana Doga. Ja sam svoju kupio još sinoć na ulici. Izgleda da ulični prodavci novina dobijaju nove epizode malo ranije. No, ništa strašno. Dakle, pravac trafika! Ova epizoda nosi ime "Ubica veštica". Epizoda je zaista odlična. Ukoliko nemate običaj da čitate one uvodne tekstove uredništva raznih redakcija koje pripremaju stripove onda to verovatno i ovde preskačete. E pa nemojte. Ozbiljan sam. Za razliku od uobičajenih potpuno dosadnih naglabanja o novim epizodama koje će doći tekstovi uredništva Veselog ćetvrtka su zaista interesantni. Posebno mi se dopao današnji. Zašto? Pravac trafika pa vidite sami.
Posted by Nightweaver Sun, 04 May 2008 14:50:00 GMT
Ovo je moj novi blog. Promenio sam softver za blog pošto me je Mephisto malo smorio a i razvojni tim ne zna šta će sa sobom. Prešao sam na Typosphere koji je opet pisan u Ruby.
Sada predstoji igranje sa novom igračkom. U dogledno vreme ću bitne stvari sa starog bloga prebaciti ovde. Tu pre svega mislim na OOXML stvari. Ukoliko nekome zatreba nešto od tog sadržaja javite mi pa ću vam poslati.
UPDATE
Blog sređen. Trebalo bi da je sve tu. Sve što je važno. Nisam prebacio nekoliko manje bitnih tekstova ali ću i to u jednom momentu. Moram priznati da je Typosphere tj. Typo genijalan sistem za blogovanje. Topla preporuka.:D
Posted by Nightweaver Mon, 21 Apr 2008 18:33:00 GMT
Jesam li već rekao da se lakrdija nastavlja? Mislim da jesam. Ali izgleda da nisam ni sanjao koliko daleko će sve to otići. Večeras vam skrećem pažnju na dve novine.
Prva vest nam dolazi iz prohladne Norveške. Kao što vam je već poznato nešto je trulo u državi Norveškoj i strašno smrdi na Misosoft… ups, Microsoft. Elem, jedan od članova komisije za standarde u Norveškoj je odlučio da obavesti ostatak sveta kako se tamo glasalo. Kako vam ne bih prepričavao šta je gospodin Pepper napisao molim vas da svoje pretraživače uputite na tekst pod imenom The Norway Vote – What really happened Zar nije bilo divno?
Druga nam vest dolazi pravo iz ISO-a. To je ona organizacija koja se bavi opštim interesima čovečanstva zarad prosperiteta civilizacije standardizovanjem raznih tehnologija od kojih nam život znači. To je organitacija koja hrabro podnosi pritisak sa strane i koja ne dozvoljava da iko utiče na njene odluke… Dosta ironije. Elem, zamislite šta se desilo. Misosoft… ups, čini se da Microsoft Office 2007 ne valja Ili OOXML ne valja?. Naime, Alex Brown, vođa ISO grupe koja se brine o OOXML-u je došao do zaključka da, gle čuda, dokumenta koja zapisuje Misosoft… ups, Microsoft Office 2007 nisu u skladu sa poslednjim specifikacijama OOXML-a.
“Word documents generated by today’s version of Microsoft Office 2007 do not conform to ISO/IEC 29500,” reče Brown.
Ma nije nego. A kako bi bilo da se etiketa “standard” ne lepi tek tako nečemu što nije zrelo da to postane? Ja sada postavljam pitanje našoj komisiji stručnjaka – kako smo to podržali nešto što ne radi? Predsednik komisije, Dejan Cvetković direktor kompanije Misosoft… ups Microsoft u Srbiji, reče da je OOXML specifikacija dobra i da je proizvod zreo da postane standard. Pa šta je sad ovo? Uzgred, već neko vreme pristižu pitanja kako to da je direktor kompanije Misosoft… ups, Microsoft, predsedavajući komisije koja odlučuje o OOXML-u. Naša je zemlja uvek prednjačila u ovakvim ispadima, čini se.
Elem, uputite svoje pretraživače na tekst koji nosi naslov Microsoft Office 2007 Fails OOXML Conformance Tests, Alex Brown Admits, Hopes For the Best
Groklaw tekstovi postaju sve bolji iz dana u dan!
Posted by Nightweaver Thu, 17 Apr 2008 18:43:00 GMT
Iako je kompanija Misosoft… ups, Microsoft na prljav način uspela da kroz zadnja vrata progura OOXML kao standard lakrdija se nastavlja. Jedna od zamerki FSFE-a jeste i pitanje intelektualne svojine (IS) i patenata unutar OOXML-a Kompanija Misosoft… ups, Microsoft, je napravila tzv. Obećanje o otvorenoj specifikaciji – ovo “otvoreno” ću nekako i progutati. Ali “obećanje”. Dođavola. Pa zar postoji neko tako glup da poveruje u obećanje o otvorenosti Misosofta… ups, Microsofta? Setimo se samo zamki otvorenih sistema. Elem, to obećanje je prošlo kroz ruke mnogih renomiranih pravnika i konačno kulminiralo u tekstu koji je večeras okačen na Groklaw a koji je sastavljen kao odgovor na tek još jednu tvrdnju da OOXML nema nikakve probleme sa IS To mi je čak i Mark Lang rekao posle sastanka naše komisije. Štivo za pred spavanje: What is Wrong with RAND?
Uživajte.
Posted by Nightweaver Sun, 13 Apr 2008 18:56:00 GMT
Divna vest za sve poklonike Ruby on Rails-a koji koriste Apache web server. Konačno nam je stigao mod_rails. Da, dobro ste čuli. Modul se zove Passenger i izradila ga je holandska kompanija Phusion. Dakle, sve što vam je sada potrebno za pokretanje RoR aplikacija na serveru jeste nekoliko linija za virtuelni host u Apache konfiguracionim datotekama. Ja ne koristim Apache već Lighttpd gde ovako nešto postoji odavno ali je ovo ipak odlična vest jer Apache pokriva ogroman deo tržišta te će ovaj modul veoma uticati na širenje RoR-a.
Posted by Nightweaver Thu, 10 Apr 2008 19:31:00 GMT
Samo malo podsećanje svim fanovima Dilana Doga da je ovomesečna noćna mora na kioscima od jutros. Epizoda se zove Nekropolis i ne smete je propustiti ni po koju cenu. Ja samo potpuno oduševljen pričom koju je napisala Paola Barbato a koju sasvim opravdano smatraju jedinom pravom naslednicom Ticijanoa Sklavija. Epizoda je bez onih standardnih hordi demona i zombija i krvi do kolena. Zamislite je kao kombinaciju filmova Kocka, Paklena pomorandža i Eksperiment. Dakle, pravac kiosk. Nemojte ovo propustiti!;-)
Posted by Nightweaver Tue, 08 Apr 2008 19:53:00 GMT
Who calls us Thelemites will do no wrong, if he look but close into the word. For there are therein Three Grades, the Hermit, and the Lover, and the man of Earth. Do what thou wilt shall be the whole of the Law.
Na današnji dan pre tačno 104 godine Alister Krouli (Edvard Aleksandar Krouli 1875-1947) je zapisao Knjigu Zakona (Liber AL vel Legis). 08.04.1904. je napisano prvo poglavlje – Nuit, 09.04.1904. drugo – Hadit i 10.04.1904. treće – Ra Hoor Khuit. Više detalja o istoriji ovog jako važnog dela zapadne ezoterije možete naći na: The Book of the Law
Iako sebe ne smatram Telemitom veliki sam poštovalac rada i dela A.Kroulija te ovom prilikom čestitam praznik svim Telemitima.:-)
93
Agape
Posted by Nightweaver Sat, 05 Apr 2008 19:55:00 GMT
Evo malo zabave za tmurno subotnje popodne. Pošto nam se grad napunio raznim bežičnim mrežama i na sve strane nas zrače (hehe) hajde da malo “zloupotrebimo” neke od tih bežičnih mreža te da se nakačimo na koju dok sedimo u parku ili kafeu koji nije tzv. HotSpot.
Tema ovog teksta jeste skoro pa nelegalno kačenje na tuđi AP. Nešto što bi se moglo nazvati dokaz koncepta i služi isključivo u rekreativne i edukativne svrhe. A i za ubijanje dosade dok sedite i čekate devojku koja kasni a imate laptop pri ruci. Dakle, ovo nije lepo raditi i tako to. Neću vam ja biti kriv ako vas neko nalupa što mu se kačite na AP.
Elem, posle ove moralne poruke da se vratimo temi ovog popodnevnog teksta. Šta nam je sve potrebno da bismo izveli ono što želimo?
Šta je kog vraga WEP? WEP predstavlja stari i jako loš sistem kriptovanja bežičnih mreža. 3-bitni vektor pod nazivom Inicijalizacioni Vektor (IV) se dodaje paketima na osnovu predefinisanog ključa koji svi klijenti znaju. E, ukoliko neko koristi WEP kriptivanje skoro svaki paket koji generiše klijent ili AP će nam biti od koristi da napadnemo mrežu i dobijemo ključ… ako nakupimo dovoljno paketa… par stotina hiljada paketa.
AirCrack-NG je jedan fin švajcarski nož koji donosi nekoliko jako bitnih alatki za rad. One koje ćemo mi upotrebiti su:
Prvo moramo naći mežu u koju ćemo upasti. Postoji više načina da to uradimo. Najjednostavniji je da na BSD-u uradite ovo:
ifconfig NIC up scanNaravno, umesto NIC stavite svoju mrežnu kartu. Ovo će izlistati sve mreže koje hvatate. Ono što nas zanima:
Ok, pošto znamo koga napadamo vreme ja da hvatamo malo pakete.
./airodump NIC output prefix channel IV flagMoja kartica je ath0 tako da bi kod mene ovo izgledalo ovako:
./airodump ath0 dump 3 1Hajde da se sad pravimo da smo nakupili dovoljnu količinu IV-a da bismo započeli napad. Otvorite novi terminal dok još uvek radi airodump u prvom i pokrenite:
./aircrack [options] input fileŠta može ići pod options?
Tako da bi naša komanda izgledala ovako nekako:
./aircrack -a 1 -b 00:23:1F:55:XX:XX -n 128 dump.ivsAnd zer she blows. Sada vam ostaje da malo sačekate dok aircrack sastavlja sliku za vas.
Velika je šansa da ćete naići na neki problem. Ako ništa drugo imaćete dosta posla da podesite sve alatke da rade kako treba. To ovde nisam objašnjavao jer to nije tema ove priče.
I to je to. Neko će možda reći da je WEP zastareo metod zaštite i da ga niko ne koristi. Jel da? Prošetajte malo Beogradom pa mi onda recite da niko ne koristi WEP.
