Zabezpieczenie trybu single user hasłem

Startując system w trybie Single user (boot -s), mamy pełny dostęp do systemu bez podawania hasła użytkownika root. Możemy się przed tym zabezpieczyć poprzez edycję pliku /etc/ttys. W linii zaczynającej od console usuwamy słowo secure.

console „/usr/libexec/getty std.9600″ vt220 off secure Linki man boot man ttys [...]

Nakładanie łatek bezpieczeństwa w OpenBSD

Łatka (patch) to zazwyczaj małe coś, co poprawia działanie naszego systemu, nakłada się ją na kod źródłowy, a następnie kompiluje się tą część systemu, za którą ona odpowiada. Łatka to plik zawierający różnice pomiędzy starą wersją a nową wersją plików. Może ona usuwać lub dodawać kod.

Pobranie źródeł systemu

Standardowa instalacja OpenBSD nie zawiera źródeł [...]

Instalacja sshguard

Program sshguard służy do obrony przed atakami na serwer SSH, w tym celu należy go zintegrować z filtrem pakietów (PF).

Instalacja pakietu sshguard

Używając polecenia pkg_add instalujemy pakiet sshguard.

# pkg_add sshguard sshguard-1.5rc4p0: ok — +sshguard-1.5rc4p0 ——————- To use sshguard you must add the following to /etc/pf.conf: table <sshguard> persist block in quick on [...]

Autoryzacja za pomocą haseł jednorazowych S/Key

System haseł jednorazowych (OTP – one time password) to dobry sposób autoryzacji do serwerów, które nie posiadają szyfrowanej transmisji danych. Takich jak telnet czy ftp. Można również używać haseł jednorazowych do połączenia z serwerem SSH.

Włączenie obsługi haseł jednorazowych

System haseł jednorazowych jest standardowo wyłączony, trzeba go samodzielnie uruchomić.

# skeyinit -E Wyłączenie obsługi haseł [...]

Wymuszenie zmiany hasła użytkownika

Chcąc wymusić zmianę hasła użytkownika, trzeba określić okres ważności hasła oraz w ciągu ilu dni od wygaśnięcia hasła, użytkownik może je zmienić. W pliku /etc/login.conf w odpowiedniej klasie np. default należy dodać następujące linie:

:password-dead=3d:\ # użytkownik ma 3 dni do zmiany hasła po jego wygaśnięciu :passwordtime=29d:\ # hasło zostanie przedłużone na kolejne 29 dni [...]

Skrypt sprawdzający nowe poprawki dla OpenBSD

Od jakiegoś czasu na stronie OpenBSD Journal, nie jest aktualizowany kanał RSS, dotyczący poprawek dla OpenBSD pojawiających się na stronie www.OpenBSD.org/errata.html. Poniższy skrypt zastąpił u mnie tą lukę. Skrypt najlepiej uruchamiać codziennie jako zadanie cron. Do poprawnego działania skryptu należy skonfigurować dwie zmienne katalog oraz email. Za każdym razem gdy pojawia się nowa poprawka, zostaje [...]

Podpis i weryfikacja archiwów gzip za pomocą klucza RSA

Do podpisu archiwum gz służy narzędzie gzsig umożliwiające podpis jak i weryfikacje pliku. Podpis jest składany, przy użyciu klucza RSA, DSA lub certyfikatu X509.

Przygotowanie pary kluczy (RSA)

Klucze generujemy za pomocą ssh-keygen, po wykonaniu poniższego polecenia otrzymamy parę kluczy RSA-GZSig.pub oraz RSA-GZSig – klucz publiczny oraz klucz prywatny.

Klucz publiczny służy do weryfikacji podpisu [...]