Posts for: #Security

Переход на новые репозитории и ключи для Fedora 8 и Fedora 9

После инциндента с компроментацией инфраструктурных серверов Fedora, были заменены ключи, используемые для подписи пакетов, и изменено месторасположение репозиториев с обновлениями. Процедура перехода на новые репозитории максимально упрощена.

Сегодня для систем, работающих со старыми репозиториями, стали доступны обновления:

[root@f9-server ~]# yum check-update
Loaded plugins: presto, refresh-packagekit
PackageKit.i386

0.2.5-1.fc9 updates
PackageKit-libs.i386 0.2.5-1.fc9 updates
fedora-release.noarch 9-5.transition updates
gnome-packagekit.i386 0.2.5-2.fc9 updates
yum-packagekit.i386 0.2.5-1.fc9 updates

После установки пакетов утилиты yum, PackageKit и pirut будут видеть новые репозитории и достаточно большое число обновленных пакетов:

Статья “Настройка TLS/SASL-шифрования и аутентификации в MTA Sendmail”

В августовском номере журнала «Системный администратор» опубликована моя статья “Настройка TLS/SASL-шифрования и аутентификации в MTA Sendmail”.

“При помощи механизма STARTTLS и сертификатов мы попробуем настроить взаимную аутентификацию и шифрование пересылаемой почты между двумя почтовыми серверами с MTA Sendmail. Также при помощи TLS защитим отправляемую клиентами на сервер почту и настроим почтовый релей для пересылки корреспонденции только тех пользователей, которые предъявят сертификат, выданный нашим центром сертификации (CA).

STARTTLS (RFC 2487) является расширением протокола SMTP. И в первую очередь предназначен для поддержки TLS-шифрования и аутентификации между двумя почтовыми серверами. Но как мы увидим далее он с успехом может применяться и почтовыми клиентами.”

Sectool — утилита аудита безопасности систем основанных на Fedora/RHEL

sectool — активно развивающийся инструмент аудита настроек безопасности и локальная IDS для дистрибутивов, основанных на Fedora. Включает в себя ряд тестов для различных аспектов настройки системы, служб и т.д. В настоящий момент их около тридцати. Тесты независимы от языка программирования (Perl, Python, Bash, …) и их можно писать самостоятельно (на сайте проекта доступна документация).

Имеется как графический, так и интерфейс командной строки. В графике проверка сводится к выбору настраиваемого класса тестов (Базовый, Рабочая станция, Сеть, Сервер, «Параноик») и нажатию кнопки запуска анализа системы. Естественно имеется гибкая система настроек, сравнение результатов проверок, отправка отчетов по электронной почте и т.д.

Kerberized NFSv4 issue in RHEL 5.1

При настройке NFSv4 в связке с Kerberos на сервере с Red Hat Enterprise Linux 5.1 столкнулся с тем, что в Kerberos был изменен алгоритм по умолчанию с des-cbc-crc на 3des-cbc-hmac. Это конечно здорово, но вот NFSv4 работает только с алгоритмом шифрования des-cbc-crc.
Соответственно, когда добавляем созданного принципала nfs/stationX.example.com в /etc/krb5.keytab нужно в ktadd указать алгоритм:

kadmin: ktadd -e des-cbc-crc:normal -k /etc/krb5.keytab \
nfs/stationX.example.com

В противном случае получаем в /var/log/messages ошибку:

Новая статья в Red Hat Magazine посвященная SELinux

В Red Hat Magazine вышла новая статья “Writing policy for confined SELinuxusers “, написанная Dan Walsh. В ней Dan на примере двух простых задач описывает как при помощи мастера создания модулей политики
в утилите system-config-selinux можно модифицировать существующий тип пользователя и как добавить новый.

В первом примере модифицируется политика для xguest, позволяя этому пользователю не только запускать браузер, но и работать с IM по протоколу
AIM/AOL. Во втором примере создается новый тип пользователя, которому разрешено пользоваться терминалом, отправлять почту и читать/писать
в /maildir.