Архив за етитет: security

Електронни услуги на НОИ не поддържат TLS 1.2

Електронните услуги, които предоставя НОИ работя НЕ работят по TLS 1.2.  Ако искате да използвате услугите им с Firefox трябва да включите поддръжката на SSLv3 (Не  е препоръчително да го правите). За повече информация POODLE.

 

CentOS 5.2 и SELinux

Тези дни реших да си поиграя със сигурноста на един линукс и реших да включа SELinux-a :)

Аз реших да го пусна в strict mode :)  И за да тръгне всичко без да имаме кърнел паници трябва да направим следните стъпки.

  1. Редактираме  /etc/selinux/config и променяме от SELINUX=disabled на SELINUX=permissive след това проверяваме дали  SELINUXTYPE е =targeted 
  2. Записваме промените във файла и правим  touch /.autorelabel и рестартираме машината. Може да и отнеме известно време в зависимост от това, колко е пълен диска ( Защото прави relabeling на файловете).
  3. След като вече е приключилоо и системата е UP може да се логнете и да минете от permissive mode към enforcing.
  4. Хубаво да проверите дали сте инсталирали selinux-policy-strict и selinux-policy-targeted (това се инсталира по подразбиране с още при инсталиране на OS.
  5. Следващата стъпка е да сменим policy от SELINUXTYPE=targeted на SELINUXTYPE=strict и отново правим touch /.autorelabel и рестартираме ( хубаво е да разкоментираме едно редче в /etc/selinux/strict/contexts/users/root и по точно това system_r:sshd_t:s0 sysadm_r:sysadm_t:s0 staff_r:staff_t:s0 user_r:user_t:s0 защото в противен случай ЕДИНСТВЕНО И САМО локално на машината ще можем да бъдем ИСТИНСКИ ROOT.
  6. Рестартираме отново за да може да мине relabeling отново и вече е време да направим enforcing на policy-тата за да станат активни :) Съответно променяме SELINUX=permissive на SELINUX=enforcing във файла /etc/selinux/config и отново рестарт.
  7.  И това е то :) SELinux-a е активен вече, но от тук насетне ще трябва да се правят 345234523452345 операции за да може всичко да работи както трябва :) 

Ами това е за сега ще пиша повече като имам напредък :)

 

    WPA wi-fi вече разбит.

    Вчера се появи в SANS , че вече са разбили този тип (WPA) криптировка за Wi-fi и за по-малко от 15 минути могат да ви кракнат . Което означава, че ако имате някъде пуснат този тип криптировка е хубаво да преминете на WPA2, която за момента не е разбита още.