Безопасность

Противодействие хакерским угрозам

Модераторы: Olej, adminn, vikos

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность

Непрочитанное сообщение Olej » 24 янв 2017, 14:01

Olej писал(а):Огромная группа вопросов безопасности - это защита от возможности доступа придурков ("хакеров" ;-) ) из внешней сети.
Вообще то, что интересно, что вопросы под общим заголовком "Безопасность" распадаются на 2 разных, и даже противоположных группы:

- безопасность ДЛЯ - безопасность личности, пользователя, его персональной информации от контроля и слежки со стороны IT корпораций, гос. органов, рекламных компаний и т.д. В такую информацию (конфиденциальную, которой я не хочу делиться) оддержипопадают: IP, физ. адрес, круг интересов - IP целей, посещаемых ресурсов, персональные mail-адреса, содержимое пересылаемой почты и мн. др.

- безопасность ОТ - безопасность личного рабочего места, локальной сети или (администрируемой в силу проф. обязательств) корпоративной сети. Это включает средства и методы защиты от вторжения: хакеров, спамеров, рекламных агентов ... и прочих уродов.
Сюда же попадают вопросы тех. защиты от вирусов, руткитов, бэкдоров и др. дряни, используемой этими уродами в своих целях.

1-я группа - это PGP/GPG техника шифрования, SSL-авторизация, проект TOR и TOR-браузер, публичные прокси ... и автономно размещаемые SOCKS-прокси..., использование анонимизированных mail-сервисов для регистраций по Интернет...

2-я группа - это файерволы, защита портов, опять же SSL-авторизация и мн. др., но здесь же и не технические приёмы: выявление координат придурков, требования к провайдерам о прекращении обслуживания придурков, обращения в Роскомнадзор о пресечении деятельности их сайтов...

И о 1-й и о 2-й группе я планирую писать ... много ;-) и разбираться в деталях с использованием...

Но что ещё интересно, на что очень даже стоит обратить внимание:
- те, кто мешают нам жить, субъекты от которых нам нужно обеспечивать безопасность по обеим группам угроз...
- сами сознательно замыливают разницу и даже противоположность целей 2-х групп вопросов безопасности
- это в их интересах, дискредитируя своими сказками одну сторону из, автоматически распространять свои сказки и на другую
- и всё это с целями обмана вас в представлениях.
Будьте бдительны! ... вас дурят в очередной раз :lol:

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность

Непрочитанное сообщение Olej » 28 янв 2017, 14:37

Olej писал(а): Генерация паролей:
Возникло такое ... смешное соображение: в качестве пароля использовать его набранным на русской раскладке, в кодировке UTF-8, которая принята сейчас повсеместно в Linux:

Код: Выделить всё

[olej@dell ~]$ sudo passwd stupid
[sudo] пароль для olej: 
Изменяется пароль пользователя stupid.
Новый пароль : 
Повторите ввод нового пароля : 
passwd: все данные аутентификации успешно обновлены.
[olej@dell ~]$ su - stupid
Пароль: 
[stupid@dell ~]$ whoami
stupid
(я даже в качестве пароля здесь установил тоже "stupid", но набранное на русской раскладке клавиатуры - я даже не знаю что там я набирал)

Это будет большим сюрпризом для того, кто попытался бы подобрать такой пароль. :lol:
То, что кирилическая 'К' (болшая) будет 2 байта D0 9A - для малолетних сопливых "хакеров" может быть большим откровением ... тем более, что они дальше Windows ничего не слышали, а про UTF-8 не догадываются.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность

Непрочитанное сообщение Olej » 28 янв 2017, 16:06

Olej писал(а): в качестве пароля использовать его набранным на русской раскладке, в кодировке UTF-8, которая принята сейчас повсеместно в Linux:
И попутно вот такой вопрос...
При удалённом SSH-доступе:

Код: Выделить всё

[olej@dell ~]$ ssh stupid@192.168.1.103
stupid@192.168.1.103's password: 
Permission denied, please try again.
stupid@192.168.1.103's password: 
Permission denied, please try again.
stupid@192.168.1.103's password: 
Permission denied, please try again.
stupid@192.168.1.103's password: 
Permission denied, please try again.
stupid@192.168.1.103's password: 
Permission denied, please try again.
stupid@192.168.1.103's password: 
Received disconnect from 192.168.1.103 port 22:2: Too many authentication failures
Connection to 192.168.1.103 closed by remote host.
Connection to 192.168.1.103 closed.
Что мешает SSH-клиенту или SSH-серверу воспринимать такой пароль?
И кому из них?
И как отучить?

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность

Непрочитанное сообщение Olej » 28 янв 2017, 16:08

Olej писал(а):в качестве пароля использовать его набранным на русской раскладке, в кодировке UTF-8, которая принята сейчас повсеместно в Linux:
Сложность пароля
Сложность пароля в компьютерной индустрии обычно оценивают в терминах информационной энтропии (понятие из теории информации), измеряемой в битах. Вместо количества попыток, которые необходимо предпринять для угадывания пароля, вычисляется логарифм по основанию 2 от этого числа, и полученное число называется количеством «битов энтропии» в пароле. Пароль со, скажем, 42-битной сложностью, посчитанной таким способом, будет соответствовать случайно сгенерированному паролю длиной в 42 бита. Другими словами, чтобы методом полного перебора найти пароль с 42-битной сложностью, необходимо создать 2^42 паролей и попытаться использовать их; один из 2^42 паролей окажется правильным. Согласно формуле при увеличении длины пароля на один бит количество возможных паролей удвоится, что сделает задачу атакующего в два раза сложнее. В среднем атакующий должен будет проверить половину из всех возможных паролей до того, как найдет правильный.
Если в качестве алфавита для генерации пароля используются все печатные символы ASCII (арабские цифры, строчные и заглавные буквы латинского алфавита: a-z, A-Z, 0-9, спецсимволы и знаки препинания) то число таких символов (алфавит) 95, а энтропия на 1 символ оценивается как 6,5699 бит. Тогда для 6-символьного пароля энтропия ~39 бит, а 8-символьного — 53 бит, а числа полного перебора составят, соответственно, 239 = 550×10⁹ и 253 = 9×10¹⁵. Рост сложности пароля от длины будет, как понятно, экспоненциальный.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность

Непрочитанное сообщение Olej » 28 янв 2017, 16:56

Olej писал(а): Что мешает SSH-клиенту или SSH-серверу воспринимать такой пароль?
И кому из них?
И как отучить?
Здесь моя ошибка! (где-то я запутался в IP хостов) :

Код: Выделить всё

[olej@dell .ssh]$ ssh stupid@192.168.1.101
The authenticity of host '192.168.1.101 (192.168.1.101)' can't be established.
ECDSA key fingerprint is SHA256:Jhd8ErBQXvPxi5ZJFOtPLcQQLmKANznLpQG5IHRxR7c.
ECDSA key fingerprint is MD5:72:a8:4f:33:85:c4:0e:a1:01:7c:b0:be:c3:09:b5:b1.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.101' (ECDSA) to the list of known hosts.
stupid@192.168.1.101's password: 
Last login: Sat Jan 28 13:25:48 2017
[stupid@dell ~]$ whoami
stupid
...
А вот как логи на хосте SSH-сервере зафиксировали это подключение:

Код: Выделить всё

[olej@dell etc]$ journalctl --since="2017-01-28 15:00" -u sshd
-- Logs begin at Пт 2016-04-22 12:18:30 EEST, end at Сб 2017-01-28 15:49:05 EET. --
янв 28 15:49:04 dell.localdomain sshd[18606]: Accepted password for stupid from 192.168.1.101 port 41812 ssh2

Код: Выделить всё

[root@dell audit]# cat audit.log | grep sshd | grep USER_LOGIN | tail -n2
type=USER_LOGIN msg=audit(1485611288.073:1254): pid=18538 uid=0 auid=4294967295 ses=4294967295 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=192.168.1.101 terminal=ssh res=failed'
type=USER_LOGIN msg=audit(1485611345.051:1274): pid=18606 uid=0 auid=1001 ses=7 msg='op=login id=1001 exe="/usr/sbin/sshd" hostname=192.168.1.101 addr=192.168.1.101 terminal=/dev/pts/21 res=success'

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Безопасность

Непрочитанное сообщение Olej » 29 янв 2017, 14:14

Но можно генерировать и смешанные (по словарям символов) пароли. Подсказали:
ormorph писал(а):Пока приходит на ум такое для генерации паролей.
Проверяем:

Код: Выделить всё

[olej@dell home]$ tr -cs [:graph:] < /dev/urandom | head -c25|iconv -f KOI8-R -t UTF-8|tr '[:cntrl:]' ' '|tr "\n" " "|sed 's/ //g'
©┌jЛ/5O┌ш/≈▌▒═Ё1╧∙д[olej@dell home]$

Код: Выделить всё

[olej@dell home]$ sudo adduser vasja
[sudo] пароль для olej:
Создание почтового ящика: Файл существует
[olej@dell home]$ sudo passwd vasja
Изменяется пароль пользователя vasja.
Новый пароль :
Повторите ввод нового пароля :
passwd: все данные аутентификации успешно обновлены.
[olej@dell home]$ su - vasja
Пароль:
[vasja@dell ~]$ whoami
vasja
[vasja@dell ~]$ exit
logout
[olej@dell home]$ sudo userdel vasja
Вася получил такой замысловатый пароль, и потом с ним входит...
И в команде passwd (установка пароля) и при его использовании (su) я использовал скопированный (Ctrl+Insert) пароль его вставкой (Shift+Insert). Естественно, что такое ввести с клавиатуры невозможно, но копи-пастом всё замечательно решается.

P.S. Приглашаются квалифицированные брутфорсеры для подбора пароля Васи! :lol:

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность

Непрочитанное сообщение Olej » 29 янв 2017, 15:42

Olej писал(а):Вася получил такой замысловатый пароль, и потом с ним входит...
И в команде passwd (установка пароля) и при его использовании (su) я использовал скопированный (Ctrl+Insert) пароль его вставкой (Shift+Insert). Естественно, что такое ввести с клавиатуры невозможно, но копи-пастом всё замечательно решается.
И вот тут само время использовать хранилище паролей, вот тот KeePassX:
Вложения
kx1.png
kx2.png
kx3.png
kx4.png

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность

Непрочитанное сообщение Olej » 01 фев 2017, 20:13

Olej писал(а):
Где хранить пароли? ...
Отцы-основатели рекомендуют использовать для этого KeePassX.
Теперь Mint 18.1 (перестраховка ;-) ):

Код: Выделить всё

olej@nvidia ~ $ apt search KeePassX
p   keepassx                        - кроссплатформенный менеджер паролей       
p   keepassx:i386                   - кроссплатформенный менеджер паролей       

Код: Выделить всё

olej@nvidia ~ $ apt install keepassx
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
НОВЫЕ пакеты, которые будут установлены:
  keepassx
обновлено 0, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 0 пакетов не обновлено.
Необходимо скачать 476 kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 1 882 kB.
Пол:1 http://archive.ubuntu.com/ubuntu xenial/universe amd64 keepassx amd64 2.0.2-1 [476 kB]
Получено 476 kБ за 0с (629 kБ/c)  
Выбор ранее не выбранного пакета keepassx.
(Чтение базы данных … на данный момент установлено 234880 файлов и каталогов.)
Подготовка к распаковке …/keepassx_2.0.2-1_amd64.deb …
Распаковывается keepassx (2.0.2-1) …
Обрабатываются триггеры для gnome-menus (3.13.3-6ubuntu3.1) …
Обрабатываются триггеры для desktop-file-utils (0.22-1ubuntu5) …
Обрабатываются триггеры для mime-support (3.59ubuntu1) …
Обрабатываются триггеры для shared-mime-info (1.5-2ubuntu0.1) …
Unknown media type in type 'all/all'
Unknown media type in type 'all/allfiles'
Обрабатываются триггеры для hicolor-icon-theme (0.15-0ubuntu1) …
Обрабатываются триггеры для man-db (2.7.5-1) …
Настраивается пакет keepassx (2.0.2-1) …

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность

Непрочитанное сообщение Olej » 01 фев 2017, 20:33

Olej писал(а): Теперь Mint 18.1 (перестраховка ;-) ):
И Fedora 24:

Код: Выделить всё

[olej@xeon ~]$ sudo dnf list KeePassX*
[sudo] пароль для olej: 
Waiting for process with pid 1946 to finish.
Последняя проверка окончания срока действия метаданных: 0:00:14 назад, Wed Feb  1 19:19:05 2017.
Доступные пакеты
keepassx.x86_64                                           1:2.0.3-1.fc24                                           updates
keepassx0.x86_64                                          0.4.4-5.fc24                                             updates

Код: Выделить всё

[olej@xeon ~]$ sudo dnf install keepassx
Последняя проверка окончания срока действия метаданных: 0:01:11 назад, Wed Feb  1 19:19:05 2017.
Зависимости разрешены.
==========================================================================================================================
 Package                         Архитектура             Версия                            Репозиторий              Размер
==========================================================================================================================
Установка:
 clucene09-core                  x86_64                  0.9.21b-16.fc24                   fedora                   299 k
 keepassx                        x86_64                  1:2.0.3-1.fc24                    updates                  606 k
 libmng                          x86_64                  2.0.3-3.fc24                      fedora                   172 k
 qt                              x86_64                  1:4.8.7-18.fc24                   updates                  4.8 M
 qt-common                       noarch                  1:4.8.7-18.fc24                   updates                  8.6 k
 qt-x11                          x86_64                  1:4.8.7-18.fc24                   updates                   12 M

Результат операции
==========================================================================================================================
Установка  6 Пакетов

Объем загрузки: 18 M
Объем изменений: 55 M
Продолжить? [д/Н]: y
Загрузка пакетов:
(1/6): qt-common-4.8.7-18.fc24.noarch.rpm                                                  48 kB/s | 8.6 kB     00:00    
(2/6): keepassx-2.0.3-1.fc24.x86_64.rpm                                                   260 kB/s | 606 kB     00:02    
(3/6): clucene09-core-0.9.21b-16.fc24.x86_64.rpm                                          244 kB/s | 299 kB     00:01    
(4/6): libmng-2.0.3-3.fc24.x86_64.rpm                                                     264 kB/s | 172 kB     00:00    
(5/6): qt-4.8.7-18.fc24.x86_64.rpm                                                        595 kB/s | 4.8 MB     00:08    
(6/6): qt-x11-4.8.7-18.fc24.x86_64.rpm                                                    756 kB/s |  12 MB     00:16    
--------------------------------------------------------------------------------------------------------------------------
Общий размер                                                                              942 kB/s |  18 MB     00:19     
Проверка транзакции
Проверка транзакции успешно завершена.
Идет проверка транзакции
Тест транзакции проведен успешно
Выполнение транзакции
  Установка    : qt-common-1:4.8.7-18.fc24.noarch                                                                     1/6 
  Установка    : qt-1:4.8.7-18.fc24.x86_64                                                                            2/6 
  Установка    : libmng-2.0.3-3.fc24.x86_64                                                                           3/6 
  Установка    : clucene09-core-0.9.21b-16.fc24.x86_64                                                                4/6 
  Установка    : qt-x11-1:4.8.7-18.fc24.x86_64                                                                        5/6 
  Установка    : keepassx-1:2.0.3-1.fc24.x86_64                                                                       6/6 
  Проверка     : keepassx-1:2.0.3-1.fc24.x86_64                                                                       1/6 
  Проверка     : qt-1:4.8.7-18.fc24.x86_64                                                                            2/6 
  Проверка     : qt-common-1:4.8.7-18.fc24.noarch                                                                     3/6 
  Проверка     : qt-x11-1:4.8.7-18.fc24.x86_64                                                                        4/6 
  Проверка     : clucene09-core-0.9.21b-16.fc24.x86_64                                                                5/6 
  Проверка     : libmng-2.0.3-3.fc24.x86_64                                                                           6/6 

Установлено:
  clucene09-core.x86_64 0.9.21b-16.fc24       keepassx.x86_64 1:2.0.3-1.fc24         libmng.x86_64 2.0.3-3.fc24         
  qt.x86_64 1:4.8.7-18.fc24                   qt-common.noarch 1:4.8.7-18.fc24       qt-x11.x86_64 1:4.8.7-18.fc24      

Выполнено!

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Безопасность

Непрочитанное сообщение Olej » 01 фев 2017, 20:55

Olej писал(а): Теперь Mint 18.1 (перестраховка ;-) ):
1. Теперь я по SSH подключаюсь к хосту, где ранее тем же средством формировался шифрованный файл хранилища паролей KeePassX (*.kdbx) ...
2. Копирую (тем же SSH) файл паролей *.kdbx ...
3. Открываю его в свеже установленном KeePassX ("Открыть хранилище")

Код: Выделить всё

[olej@dell .ssh]$ ssh bastard@192.168.1.101
bastard@192.168.1.101's password: 
Last failed login: Wed Feb  1 17:46:58 EET 2017 from 127.0.0.1 on ssh:notty
There were 4 failed login attempts since the last successful login.
Last login: Wed Feb  1 16:36:04 2017
[bastard@dell ~]$ whoami
bastard
И имя пользователя и его пароль были скопированы из KeePassX - его кнопки на панели.
Это простейший и очень эффективный путь тиражировать большое количество паролей внутри LAN!
Вложения
kp1.png

Ответить

Вернуться в «Безопасность»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 5 гостей