пятница, 08 декабря 2017
20:52

Запись за 08.12.2017 19:52:56 +0200

И это всё МОЁ
Мусульманские хакеры пригрозили миру масштабной кибератакой 8 декабря.

Группировка Electronic Ghosts намерена «развязать масштабную кибервойну против врагов Халифата».

Связанная с ДАИШ (запрещенная в РФ террористическая организация) хакерская группировка Electronic Ghosts пригрозила масштабной кибератакой на правительства и военные ведомства по всему миру 8 декабря 2017 года.

По данным аналитиков JihadoScope хакеры опубликовали видео, в котором заявили о намерении «развязать масштабную кибервойну против врагов Халифата». Участники группировки также добавили, что первой их целью станет США.

По словам экспертов, нельзя точно сказать, насколько реальна данная угроза, однако можно с уверенностью заявить о низком профессионализме связанных с ДАИШ хакеров.

Хакерская группировка Electronic Ghosts - одна из четырех связанных с ДАИШ группировок, объединившихся в 2016 году для создания так называемого Объединенного Киберхалифата. До 24 ноября текущего года данное хакерское объединение бездействовало.

Как заявили ранее представители властей США, после потери физических территорий террористы будут все больше полагаться на виртуальные связи. «Можно говорить о появлении нового халифата, на этот раз в киберпространстве», - отметил представитель комитета по национальной безопасности и государственным вопросам Рон Джонсон.
Мусульманские хакеры пригрозили миру масштабной кибератакой 8 декабря



URL
20:52

Запись за 08.12.2017 19:52:20 +0200

И это всё МОЁ
Тысячи британских компаний заплатили выкуп «русским хакерам».

Количество атак на британский бизнес с использованием вымогательского ПО возросло на 289% по сравнению с 2016 годом.

Тысячи британских компаний заплатили выкуп за восстановление своих файлов, зашифрованных вымогательским ПО, и повинен в этом никто иной, как «русские хакеры». Об этом в четверг, 7 декабря, сообщило издание Times со ссылкой на специалистов компании Malwarebytes.

Как сообщает Times, ежедневно «русские хакеры» осуществляют сотни кибератак с использованием программ-вымогателей, требуя от жертв выкуп в размере до



URL
20:51

Запись за 08.12.2017 19:51:09 +0200

И это всё МОЁ
Россия не будет следовать примеру Китая в вопросах цензуры интернета.

Подходы двух стран в вопросе цензуры принципиально отличаются.

Россия не будет следовать примеру Китая в отношении вопросов, связанных с цензурой контента в интернете, заявил глава Роскомнадзора Александр Жаров в ходе Всемирной конференции по интернету. Об этом сообщает издание "РИА Новости".

По словам главы ведомства, подходы двух стран в вопросе цензуры принципиально отличаются. В России, в отличии от Китая, действует принцип постмодерации, то есть сначала должен быть зафиксирован факт распространения запрещенной информации и только потом осуществляется ее удаление, либо блокировка ресурса, ее распространяющего. В то же время в Китае контент блокируется по принципу премодерации - на точках обмена трафика на входе в страну, пояснил Жаров.

"Нужно изучать опыт друг друга, именно технологический, и находить оптимальные решения, которые бы были наименее травматичны для операторов связи, наименее травматичны для добропорядочных интернет-ресурсов, которые, например, находятся на тех же IP–адресах, что и нарушители", - добавил глава Роскомнадзора.

Ранее Жаров допустил возможность блокировки браузера Tor на территории РФ в случае, если соответствующее решение будет принято правительством.
Россия не будет следовать примеру Китая в вопросах цензуры интернета



URL
20:50

Запись за 08.12.2017 19:50:21 +0200

И это всё МОЁ
Хакеры похитили данные 1,6 млн клиентов дочерней компании PayPal.

Неизвестные проникли в сеть TIO Networks и получили доступ к серверам с данными клиентов компании.

Персональные данные 1,6 млн клиентов дочерней компании PayPal оказались в руках у хакеров. В пятницу, 1 декабря, платежный сервис предупредил своих клиентов о взломе TIO Networks – дочерней компании PayPal, обслуживающей ряд крупнейших операторов телекоммуникационных и коммунальных сетей в Северной Америке (более 10 тыс. плательщиков и свыше 16 млн платежных счетов).

Какая информация была похищена, не уточняется. Тем не менее, как сообщает PayPal, в руках у злоумышленников могли оказаться данные банковских карт, а в некоторых случаях и номера социального страхования. Как пояснили в компании, поскольку системы TIO не интегрированы с платформой PayPal, инцидент ее не затронул, и данные пользователей PayPal находятся в безопасности. TIO Networks свяжется со всеми пострадавшими клиентами по электронной и обычной почте и предложит бесплатно воспользоваться сервисом кредитного мониторинга Experian.

В настоящее время PayPal совместно с ИБ-экспертами и Управлением финансовых сервисов Нью-Йорка (Department of Financial Services) занимается расследованием инцидента и устранением вызвавших его проблем с безопасностью. По словам ИБ-экспертов, неизвестные проникли в сеть TIO и получили доступ к серверам с данными клиентов компании. Работа сервисов TIO не будет полностью восстановлена до тех пор, пока все системы и сеть не будут в безопасности.
Хакеры похитили данные 1,6 млн клиентов дочерней компании PayPal



URL
20:49

Запись за 08.12.2017 19:49:27 +0200

И это всё МОЁ
Экс-сотрудник АНБ США признался в хранении данных на домашнем компьютере.

Нгя Хоанге Фо копировал секретные документы АНБ и переносил их на домашний компьютер.

Бывший сотрудник Агентства национальной безопасности (АНБ) США Нгя Хоанге Фо признался в незаконном хранении данных спецслужбы на своем домашнем компьютере, сообщается в пресс-релизе на сайте Министерства юстиции США.

67-летний Фо с 2010-го по 2015-й годы работал над «специализированными проектами», в том числе по вопросам национальной обороны, и имел доступ к правительственной информации под грифами «совершенно секретно» и «секретная информация с особым режимом хранения». Значительное количество таких документов как в печатном, так и в цифровом виде Фо копировал и переносил на свой домашний компьютер в Мэриленде, с которого они впоследствии были украдены.

Вынесение приговора по делу Фо назначено на 6 апреля 2018 года. Ему грозит тюремное заключение сроком до 10 лет.

Согласно информации издания The New York Times, с 2006-го по 2016-й годы Фо работал разработчиком в спецподразделении АНБ TAO (Tailored Access Operations, сейчас оно переименовано в Computer Network Operations), специализирующемся на взломе иностранных компьютерных сетей с целью сбора разведданных. Нередко специалисты подразделения внедряют в сети импланты, которые в течение нескольких месяцев или лет собирают документы и иные данные и оправляют их агентству.

Утечка данных была обнаружена в ходе расследования, инициированного в связи с публикацией хакерских инструментов АНБ группировкой The Shadow Brokers.

Напомним, ранее «Лаборатория Касперского» опубликовала результаты внутреннего расследования, проведенного в связи с публикацией в СМИ предположений о том, что программное обеспечение компании якобы использовалось для поиска и загрузки засекреченных данных с домашнего компьютера сотрудника АНБ. Согласно отчету компании, доступ к устройству могло иметь неограниченное число сторонних лиц. В частности, эксперты выявили на компьютере 121 образец вредоносного ПО, не относящегося к группировке Equation Group (предположительно связана с АНБ), в том числе бэкдоры, трояны, эксплойты и рекламное ПО.
Экс-сотрудник АНБ США признался в хранении данных на домашнем компьютере



URL
20:48

Запись за 08.12.2017 19:48:42 +0200

И это всё МОЁ
Фишеры атакуют пользователей PayPal.

Мошенники обманом заставляют пользователя ввести конфиденциальные данные якобы для подтверждения транзакции.

Исследователи безопасности из компании Malwarebytes сообщили о новой фишинговой кампании, в ходе которой мошенники обманом заставляют пользователя ввести конфиденциальные данные своей учетной записи PayPal якобы для подтверждения транзакции.

Сначала жертве на почту приходит поддельное электронное письмо якобы от PayPal, в котором сообщается, что транзакция пользователя не может быть подтверждена и процесс оплаты не будет завершен. В письме также содержится предупреждение о подозрительной активности учетной записи и необходимости подтверждения смены пароля.

Затем пользователю предлагается перейти по ссылке my accounts-webapps-verify-updated informations.epauypal.com/myaccount/e6abe, ведущей на поддельный Центр разрешения проблемных ситуаций (Resolution Center) и указать персональные данные учетной записи, включающие имя, адрес, город, почтовый индекс, страну, номер телефона, девичью фамилию матери и дату рождения.

После заполнения всех полей пользователя перенаправят на еще одну страницу, предлагающую ввести информацию о кредитной карте, в том числе имя, номер, дату истечения ее срока действия и код безопасности.

По словам исследователей, этих данных достаточно, чтобы взломать учетную запись пользователя и похитить деньги с его счета в PayPal.
Фишеры атакуют пользователей PayPal



URL
20:05

Запись за 08.12.2017 19:05:18 +0200

И это всё МОЁ
Приходите через час на пятничный стрим, ничего серьёзного, только общение под компиляцию Gentoo youtu.be/Cdxye_hNykY




URL
18:47

Запись за 08.12.2017 17:47:32 +0200

И это всё МОЁ
Когда неопытный линуксоид пытается развести холивар




URL
16:47

Icons - Tesla Audio

И это всё МОЁ


Platform: Windows
Version: AIMP v4.10 or newer


Sizes: 16x16, 32x32, 48х48, 256х256



URL
16:37

AIMP for Android v2.70

И это всё МОЁ
v2.70 — третье минорное обновление для мобильной версии плеера в этом году. Что оно нам принесет? Android Auto В новой версии мы реализовали интерфейс для управления плеером с помощью Android Auto: Звуковой движок Нормализация громкости звука Нормализация громкости звука представлена технологией Replay Gain: Плавный переход между треками Улучшенный эквалайзер В 2.60 был обновлен эквалайзер — […]



@темы: AIMP, android, Mobile, Анонсы

URL
15:38

Релиз Mesa 17.3.0

И это всё МОЁ
Состоялся релиз свободной реализации OpenGL API - Mesa 17.3. По сравнению с прошлым выпуском внесено около 2700 изменений от примерно 120 разработчиков. Первый выпуск ветки Mesa 17.2.0 имеет экспериментальный статус - после проведения окончательной стабилизации кода будет выпущена стабильная версия 17.3.1. В Mesa 17.3 предоставляется полная поддержка OpenGL 4.5 для драйверов i965, radeonsi и nvc0, а также частичная поддержка недавно вышедшего стандарта OpenGL 4.6.



URL
14:35

Нидерландское правительство открыло код информационной системы регистрации жителей

И это всё МОЁ
Министерство внутренних дел и по делам королевства Нидерландов перевело в разряд свободного ПО программное обеспечение BRP (Basisregistratie Personen), применяемое для ведения базы регистрации жителей страны. Код и сопутствующая документация опубликованы на GitHub под лицензией AGPLv3.



URL
14:09

В OpenBSD обеспечена официальная поддержка платформы ARM64

И это всё МОЁ
Разработчики OpenBSD перевели порт для архитектуры ARM64 (AArch64) в число официально поддерживаемых платформ, число которых достигло 13. Из протестированных ARM64-чипов отмечены Rockchip RK3399, Allwinner A64/H5, Broadcom BCM2837 (Raspberry Pi 3) и Opteron A1100. Для ARM64 также началось формирование бинарных обновлений для компонентов базовой системы, устанавливаемых при помощи утилиты syspatch (ранее подобные обновления поставлялись только для amd64 и i386).



URL
12:50

Запись за 08.12.2017 11:50:06 +0200

И это всё МОЁ
Разработчик виртуальной клавиатуры "ai.Type" для Android выложил в открытый доступ подробные личные данные на 31 миллион клиентских аккаунтов.

Вы всё ещё любите "васянские" сборочки, "васянский" софт, не читаете лицензионные условия и вам нечего скрывать?
Все, буквально все данные, собранные компанией-разработчиком (а это примерно 450 GB), включая статистику нажатий на клавиши и данные 31 миллионов пользователей, были просто сложены в MongoDB (это хорошо), который просто был в открытом доступе в Internet, даже без пароля (это плохо).
Чтобы вы понимали масштаб трагедии, про каждого пользователя собиралось: номер телефона, полное имя, название устройства, сотовый оператор, размер экрана, язык системы, версия Android, IMSI и IMEI, e-mail, страна проживания, ссылки на соц.профили, фото из профиля, IP и геопозиция. И на сладкое - полная база вашей адресной книги.
www.linux.org.ru/forum/talks/13874458
Подробности по ссылке:
Virtual Keyboard Developer Leaked 31 Million of Client Records



URL
11:11

Запись за 08.12.2017 10:11:57 +0200

И это всё МОЁ
Релиз документо-ориентированной СУБД MongoDB 3.6.

Доступен стабильный выпуск документо-ориентированной СУБД MongoDB 3.6, которая занимает нишу между быстрыми и масштабируемыми системами, оперирующими данными в формате ключ/значение, и реляционными СУБД, функциональными и удобными в формировании запросов. Код MongoDB написан на языке C++ и распространяется в рамках лицензии AGPLv3. Сборки MongoDB 3.6 сформированы для GNU/Linux, Windows и macOS.

MongoDB поддерживает хранение документов в JSON-подобном формате, имеет достаточно гибкий язык для формирования запросов, может создавать индексы для различных хранимых атрибутов, эффективно обеспечивает хранение больших бинарных объектов, поддерживает журналирование операций по изменению и добавлению данных в БД, может работать в соответствии с парадигмой Map/Reduce, поддерживает репликацию и построение отказоустойчивых конфигураций.

В MongoDB имеются встроенные средства по обеспечению шардинга (распределение набора данных по серверам на основе определенного ключа), комбинируя который репликацией данных можно построить горизонтально масштабируемый кластер хранения, в котором отсутствует единая точка отказа (сбой любого узла не сказывается на работе БД), поддерживается автоматическое восстановление после сбоя и перенос нагрузки с вышедшего из строя узла. Расширение кластера или преобразование одного сервера в кластер производится без остановки работы БД простым добавлением новых машин.

Особенности нового выпуска:

С целью повышения безопасности управляющий процесс MongoDB теперь привязывается к сетевому адресу localhost и принимает только локальные соединение. Без данной привязки администраторы часто по недосмотру открывали доступ к БД для внешних сетей без применения аутентификации, что приводило к массовым утечкам данных и атакам вредоносных шифровальщиков. Для дополнительной защиты конфигураций, которым необходим приём соединений из внешних сетей, предоставлена возможность определения белых списков адресов с которых разрешено подключение к БД;
Добавлены "потоки изменений" (оператор $changeStream и метод watch), при помощи которых можно организовать отправку приложениям уведомлений об изменении данных в БД. Сведения об изменениях поступают в режиме реального времени и позволяют создавать приложения с использованием методов реактивного и событийно-ориентированного программирования. Необходимые события можно отсеивать и агрегировать при помощи операторов $match, $project и $redact;
Возможность автоматического осуществления повторных попыток выполнения операций записи, завершившихся сбоем, без необходимости реализации логики обработки сбоев на стороне приложения. Например, в случае проблем с сетью будут осуществляться попытки повторного выполнения операции записи до тех пор пока она не увенчается успехом;
Реализация средств для проверки корректности структуры документов (Schema validation), используя синтаксис, определённый в стандарте IETF JSON Schema. Разработчики теперь могут явно описать структуру документа для каждой коллекции, определив правила вплоть до отдельных столбцов во вложенных массивах. В зависимости от стадий выполнения или приложений можно активировать жесткую проверку соответствия заданным правилам, выключать её или применять только к отдельным наборам полей;
Предоставлена порция новых возможностей для решения задач аналитики. Реализованы новые операции агрегирования данных ($arrayToObject, $objectToArray, $mergeObjects, $dateFromString, $dateFromParts, $dateToParts). Добавлен оператор $lookup, позволяющий формировать выборки, похожие на подзапросы и JOIN-слияния в SQL. Подготовлен модуль для интеграции с системами бизнес-анализа (Tableau, Qlik, SAP Business Objects), позволяющий использовать данные MongoDB в системах аналитики и визуализации, рассчитанных на использование SQL. Подготовлен новый драйвер для языка R, поддерживающий тип BSON;
Поддержка причинной консистентности (causal consistency), гарантирующей, что каждая операция чтения в рамках клиентского сеанса всегда учитывает результат предыдущей операции записи, независимо от того какая реплика использовалась для выполнения запроса. Иными словами обеспечивается логическая целостность порядка операций чтения и записи, независимо от того к какому узлу кластера MongoDB обратился клиент;
Возможность обновления группы элементом в массиве. Оператор $[] позволяет разом обновить значение всех элеменов, а оператор $[{identifier}] часть элементов массива, которые удовлетворяют заданному фильтру (задаётся через опцию arrayFilters);
Добавлена поддержка сжатия трафика между клиентом и сервером;
Прекращена поддержка платформы Solaris. Подробнее об этом:
www.opennet.ru/opennews/art.shtml?num=47093
Релиз документо-ориентированной СУБД MongoDB 3.6



URL
09:13

Запуск ЛИНТЕР x64

И это всё МОЁ


Запуск ЛИНТЕР x64










Прочитал, что на ReactOS успешно протестирована работа СУБД LINTER (ИСП РАН),
https://linter.ru/

Я решил ... а чем мы, линуксоиды, хуже? К тому же, есть версия для Linux x64.

Скачал архив, распаковалось под обычным пользователем при запуске sh-установщика,
указал каталог установки. Пару раз установщик спросил права root,
для копирования файлов в /usr/bin и /etc/init.d

$ ls -1 /usr/bin/*linter*
/usr/bin/chklinter
/usr/bin/linter
/usr/bin/start_linter.sh
/usr/bin/stop_linter.sh

$ ls -1 /etc/init.d/*linter*
/etc/init.d/linter.sh

В целом, установка выполняется гладко. Единственное, утомляет интерактивность,
надо много раз отвечать на вопросы. Но это дисциплинирует.
На этапе установки init-скриптов вывалилась бага:

... Повторить ввод пароля снова?(Y/N) [N]: Y
Пароль: 
./tmp18286.sh: 171: [: -eq: unexpected operator
./tmp18286.sh: 171: [: -eq: unexpected operator
./tmp18286.sh: 171: [: -eq: unexpected operator
./tmp18286.sh: 171: [: -eq: unexpected operator
./tmp18286.sh: 171: [: -eq: unexpected operator
./tmp18286.sh: 171: [: -eq: unexpected operator
./tmp18286.sh: 171: [: -eq: unexpected operator
Системный стартовый скрипт успешно установлен. 
Для старта/остановки ЛИНТЕР используйте команду 
/etc/init.d/linter.sh start(stop).

В каждом каталоге установленной СУБД (у меня бинарники запускаются из /t/Linter/linter/)
есть readme, с пояснением о назначении практически каждого файла.

К сожалению, версия БАСТИОН - по запросу, поэтому тестирую Стандарт.

В файле linter/bin/readme написано, что интерактивный доступ к СУБД - через утилиту inl.

Выхлоп установщика с логином-паролем я конечно не прочитал,
и тупо ломлюсь в демонстрационную базу:

$ inl
Интерактивный SQL в.6.0 для СУБД Линтер в.6.0
Copyright (C) 1990-2017 Relex, Inc. All rights reserved.

 Имя пользователя   : test
 Пароль пользователя: 
 INL : неверное имя пользователя.

Ага. Надо искать пароль к демо-базе. Он есть в корневом readme,
база demo, пользователь SYSTEM, пароль MANAGER.

Для получения подсказки надо запускать inl -h, так как ключик --help утилита не понимает.
Запускаем inl:

$ inl
Интерактивный SQL в.6.0 для СУБД Линтер в.6.0
Copyright (C) 1990-2017 Relex, Inc. All rights reserved.

 Имя пользователя   : SYSTEM
 Пароль пользователя: 
SQL> h
 INL : неверная команда
SQL> ?
 INL : неверная команда
SQL> help
 Alter    - изменить описание таблицы
 Alter proc <filename> - изменение процедуры (текст берётся из файла)
 Backup   - архивация базы данных
 Blob     - операции с блобом, формат команды:
   blob {insert|clear|append|get}
    {rowid=<row_id> <user_name>.<table_name>.<column_name>|column=<col_num>}
    [type=<blob_type>] {file=<file_name>|<text_blob_body>};
 Browse   - включить/выключить выдачу  результата запроса в табличном режиме
 Codepage - установить кодовою таблицу (866, 1251, koi8)
 Commit   - завершить текущую транзакцию
 Correct - исправление индекса для указанной записи
 Count    - выводить/не выводить кол-во кортежей
 Create   - создание таблицы, индекса или другого объекта БД 
 Create proc <filename> - создание процедуры (текст берётся из файла)
 Create trig <filename> - создание триггера (текст берётся из файла)
 Dbinfo   - получить информацию о базе
 Delete   - удаление строк из таблицы
 Disfill  - разрешить/запретить дополнение VAR типов до максимальной ширины
 Dishead  - разрешить/запретить вывод заголовка ответа 
 Display  - показать информацию об объекте БД, формат команды:
   display {variable|event} <object_name>

 INL : нажмите любую клавишу (q для выхода) : 


 Optimistic  - установить режим обработки транзакций optimistic
 Outfil[e]:  - определение файла вывода ответа
 Page     - включить/выключить выдачу ответа по страницам
 Pessimistic - установить режим обработки транзакций pessimistic
 Precount - разрешить/ запретить вавод количества строк ответа перед выводом результата 
 Press    - перестроить все индексы и сжать номера записей
 Priority:- установить приоритет запроса
 Rebuild  - восстановить таблицу
 Result:  - определение файла вывода ответа на следующий запрос 
 Revoke   - отменить привилегии пользователя
 Rollback - откатить текущую транзакцию
 Select   - выбор строк из таблицы
 Sh       - выполнить команду ОС
 Show     - показать описание таблицы
 Sleep    - приостановить выполнение
 Time {format}    - включить/выключить выдачу времени
 Truncate - очистка таблицы и усечение файлов
 Username - подключиться с другим именем пользователя
 Unload:  - определение разделителя
 Update   - замена строк

SQL> Dbinfo
 Информация о базе данных 'DEMO Database'
   СУБД Линтер версия                   : 6.0.17
   Размер памяти ядра                   : 5000
   Размер очереди каналов               : 100
   Размер очереди таблиц                : 178
   Размер очереди колонок               : 1073
   Размер очереди файлов                : 366
   Размер очереди пользователей         : 100
   Размер памяти сортировки             : 500
   Размеры кэшей транслятора SQL (0 - по умолчанию)
   польз/таблицы/столбцы/проц/кодировки : 0/0/0/0/0
   Количество процессов сортировки      : 1
   Предельная длина записи в таблице БД : 4096
   Интервал сброса изменений            : 0
   Интервал проверки соединения         : 30
   Журнал транзакций                    : включен
   Протокол обращений (LINTER.LOG)      : выключен
   Синхронный вывод                     : выключен
   Разный порядок байт клиента и сервера: нет
   Режим совместимости по стандартом SQL: нет
   Обязательные префиксы для геоданных  : нет
   Режим 'только чтение'                : нет
   Квантование по времени               : нет
   Увеличенный буфер обмена             : да
   Кодировка базы данных                : CP1251
   Операционная система                 : Linux

Из замеченных деталей: нет кодировки базы UTF-8. Видимо, решили ускорить алгоритмы поиска.

В каталоге samples нет примера для использования python-биндинга,
но есть примеры для Tcl, PHP, C, Java, Perl.

Насчёт занимаемой памяти могу померять только так:

$ ps aux | awk 'BEGIN{RSS=0}/linter/{RSS=RSS+$6}END{print RSS}'
20872 Кбайт

linter$ du -sh 
168M	.

Debian 8 x64, i3wm


















>>> Просмотр
(1366x768,
68 Kb)










 ,








URL
09:12

Запись за 08.12.2017 08:12:00 +0200

И это всё МОЁ
Двенадцать советов по повышению безопасности Linux

Мы живём в опасное время: едва ли не каждый день обнаруживаются новые уязвимости, на их основе создают эксплойты, под ударом может оказаться и обычный домашний компьютер на Linux, и сервер, от которого зависит огромная организация.

Возможно, вы уделяете внимание безопасности и периодически обновляете систему, но обычно этого недостаточно. Поэтому сегодня мы поделимся двенадцатью советами по повышению безопасности Linux-систем на примере CentOS 7.

Защита терминала

Для того, чтобы повысить безопасность системы, можно защитить консольный доступ к ней, ограничив root-пользователя в использовании определённых терминалов. Сделать это можно, задав терминалы, которые может использовать суперпользователь, в файле /etc/securetty.

Рекомендуется, хотя это и не обязательно, позволить суперпользователю входить в систему только из одного терминала, оставив остальные для других пользователей.

Напоминания о смене пароля

В наши дни сложный пароль — вещь совершенно необходимая. Однако, ещё лучше, когда пароли регулярно меняют. Об этом легко забыть, поэтому хорошо бы задействовать какой-нибудь системный механизм напоминаний о возрасте пароля, и о том, когда его надо поменять.

Мы предлагаем вам два способа организации подобных напоминаний. Первый заключается в использовании команды chage, второй — в установке необходимых значений по умолчанию в /etc/login.defs.

Вызов команды chage выглядит так:

$ chage -M 20 likegeeks

Тут мы используем ключ -M для того, чтобы установить срок истечения актуальности пароля в днях.

Использовать эту команду можно и без ключей, тогда она сама предложит ввести необходимое значение:

$ chage likegeeks

Второй способ заключается в модификации файла /etc/login.defs. Вот пример того, как могут выглядеть интересующие нас значения. Вы можете изменить их на те, которые нужны вам:

PASS_MAX_DAYS 10
PASS_MIN_DAYS 0
PASS_WARN_AGE 3

Помните о том, что вам, если вы играете роль администратора, следует способствовать тому, чтобы пользователи применяли сложные пароли. Сделать это можно с помощью pam_cracklib.

После установки этой программы, вы можете перейти в /etc/pam.d/system-auth и ввести примерно следующее:

password required pam_cracklib.so minlen=12 lcredit=-1 ucredit=-1 dcredit=-2 ocredit=-1

Уведомления sudo

Команда sudo, с одной стороны, упрощает жизнь, а с другой, может стать причиной проблем с безопасностью Linux, которые могут привести к непоправимым последствиям. Настройки sudo хранятся в файле /etc/sudoers. С помощью этого файла можно запретить обычным пользователям выполнять некоторые команды от имени суперпользователя. Кроме того, можно сделать так, чтобы команда sudo отправляла электронное письмо при её использовании, добавив в вышеупомянутый файл следующее:

mailto [email protected]

Также надо установить свойство mail_always в значение on:

mail_always on

Защита SSH

Если мы говорим о безопасности Linux, то нам стоит вспомнить и о службе SSH. SSH — это важная системная служба, она позволяет удалённо подключаться к системе, и иногда это — единственный способ спасти ситуацию, когда что-то идёт не так, поэтому об отключении SSH мы тут не говорим.

Тут мы используем CentOS 7, поэтому конфигурационный файл SSH можно найти по адресу etc/ssh/sshd_config. Сканеры или боты, которых используют атакующие, пытаются подключиться к SSH по используемому по умолчанию порту 22.

Распространена практика изменения стандартного порта SSH на другой, неиспользуемый порт, например, на 5555. Порт SSH можно изменить, задав нужный номер порта в конфигурационном файле. Например, так:

Port 5555

Кроме того, можно ограничить вход по SSH для root-пользователя, изменив значение параметра PermitRootLogin на no:

PermitRootLogin no

И, конечно, стоит отключить аутентификацию с применением пароля и использовать вместо этого публичные и приватные ключи:

PasswordAuthentication no
PermitEmptyPasswords no

Теперь поговорим о тайм-аутах SSH. Проблему тайм-аутов можно решить, настроив некоторые параметры. Например, следующие установки подразумевают, что пакеты, поддерживающие соединение, будут автоматически отправляться через заданное число секунд:

ServerAliveInterval 15
ServerAliveCountMax 3
TCPKeepAlive yes

Настроив эти параметры, вы можете увеличить время соединения:

ClientAliveInterval 30
ClientAliveCountMax 5

Можно указать то, каким пользователям разрешено использовать SSH:

AllowUsers user1 user2

Разрешения можно назначать и на уровне групп:

AllowGroup group1 group2

Защита SSH с использованием Google Authenticator

Для ещё более надёжной защиты SSH можно использовать двухфакторную аутентификацию, например, задействовав Google Authenticator. Для этого сначала надо установить соответствующую программу:

$ yum install google-authenticator

Затем запустить её для проверки установки:

$ google-authenticator

Так же нужно, чтобы приложение Google Authenticator было установлено на вашем телефоне.

Отредактируйте файл /etc/pam.d/sshd, добавив в него следующее:

auth required pam_google_authenticator.so

Теперь осталось лишь сообщить обо всём этом SSH, добавив следующую строку в файл /etc/ssh/sshd_config:

ChallengeResponseAuthentication yes

Теперь перезапустите SSH:

$ systemctl restart sshd

Когда вы попытаетесь войти в систему с использованием SSH, вам предложат ввести код верификации. Как результат, теперь SSH-доступ к вашей системе защищён гораздо лучше, чем прежде.

Мониторинг файловой системы с помощью Tripwire

Tripwire — это замечательный инструмент для повышения безопасности Linux. Это — система обнаружения вторжений (HIDS).

Задача Tripwire заключается в том, чтобы отслеживать действия с файловой системой, следить за тем, кто меняет файлы, и когда происходят эти изменения.

Для того, чтобы установить Tripwire, нужен доступ к репозиторию EPEL. Это задача несложная, решить её можно следующими командами:

wget dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-r...
$ rpm -ivh epel-release-7-9.noarch.rpm

После установки репозитория EPEL, вы сможете установить и Tripwire:

$ sudo yum install tripwire

Теперь создайте файл ключей:

$ tripwire-setup-keyfiles

Вам предложат ввести сложный пароль для файла ключей. После этого можно настроить Tripwire, внеся изменения в файл /etc/tripwire/twpol.txt. Работать с этим файлом несложно, так как каждая строка оснащена содержательным комментарием.

Когда настройка программы завершена, следует её инициализировать:

$ tripwire —init

Инициализация, в ходе которой выполняется сканирование системы, займёт некоторое время, зависящее от размеров ваших файлов.

Любые модификации защищённых файлов расцениваются как вторжение, администратор будет об этом оповещён и ему нужно будет восстановить систему, пользуясь файлами, в происхождении которых он не сомневается.

По этой причине необходимые изменения системы должны быть подтверждены с помощью Tripwire. Для того, чтобы это сделать, используйте следующую команду:

$ tripwire —check

И вот ещё одна рекомендация, касающаяся Tripwire. Защитите файлы twpol.txt и twcfg.txt. Это повысит безопасность системы.

У Tripwire есть множество параметров и установок. Посмотреть справку по ней можно так:

man tripwire

Использование Firewalld

Firewalld — это замена для iptables, данная программа улучшает сетевую безопасность Linux. Firewalld позволяет вносить изменения в настройки, не останавливая текущие соединения. Файрвол работает как сервис, который позволяет добавлять и менять правила без перезапуска и использует сетевые зоны.

Для того, чтобы выяснить, работает ли в настоящий момент firewalld, введите следующую команду:

$ firewall-cmd —state

Просмотреть предопределённые сетевые зоны можно так:

$ firewall-cmd —get-zones

Каждая из этих зон имеет определённый уровень доверия.

Это значение можно обновить следующим образом:

$ firewall-cmd —set-default-zone=<new-name>

Получить подробные сведения о конкретной зоне можно так:

$ firewall-cmd —zone=<zone-name> —list-all

Просмотреть список всех поддерживаемых служб можно следующей командой:

$ firewall-cmd —get-services

Затем можно добавлять в зону новые службы или убирать существующие:

$ firewall-cmd —zone=<zone-name> —add-service=<service-name>
$ firewall-cmd —zone=<zone-name> —remove-service=<service-name>

Можно вывести сведения обо всех открытых портах в любой зоне:

$ firewall-cmd —zone=<zone-name> —list-ports

Добавлять порты в зону и удалять их из неё можно так:

$ firewall-cmd —zone=<zone-name> —add-port=<port-number/protocol>
$ firewall-cmd —zone=<zone-name> —remove-port=<port-number/protocol>

Можно настраивать и перенаправление портов:

$ firewall-cmd —zone=<zone-name> —add-forward-port=<port-number>
$ firewall-cmd —zone=<zone-name> —remove-forward-port=<port-number>

Firewalld — это весьма продвинутый инструмент. Самое примечательное в нём то, что он может нормально работать, например, при внесении изменений в настройки, без перезапусков или остановок службы. Это отличает его от средства iptables, при работе с которым службу в похожих ситуациях нужно перезапускать.

Переход с firewalld на iptables

Некоторые предпочитают файрвол iptables файрволу firewalld. Если вы пользуетесь firewalld, но хотите вернуться к iptables, сделать это довольно просто.

Сначала отключите firewalld:

$ systemctl disable firewalld
$ systemctl stop firewalld

Затем установите iptables:

$ yum install iptables-services
$ touch /etc/sysconfig/iptables
$ touch /etc/sysconfig/ip6tables

Теперь можно запустить службу iptables:

$ systemctl start iptables
$ systemctl start ip6tables
$ systemctl enable iptables
$ systemctl enable ip6tables

После всего этого перезагрузите компьютер.

Ограничение компиляторов

Атакующий может скомпилировать эксплойт на своём компьютере и выгрузить его на интересующий его сервер. Естественно, при таком подходе наличие компиляторов на сервере роли не играет. Однако, лучше ограничить компиляторы, если вы не используете их для работы, как происходит в большинстве современных систем управления серверами.

Для начала выведите список всех бинарных файлов компиляторов из пакетов, а затем установите для них разрешения:

$ rpm -q —filesbypkg gcc | grep 'bin'

Создайте новую группу:

$ groupadd compilerGroup

Затем измените группу бинарных файлов компилятора:

$ chown root:compilerGroup /usr/bin/gcc

И ещё одна важная вещь. Нужно изменить разрешения этих бинарных файлов:

$ chmod 0750 /usr/bin/gcc

Теперь любой пользователь, который попытается использовать gcc, получит сообщение об ошибке.

Предотвращение модификации файлов

Иммутабельные файлы не может перезаписать ни один пользователь, даже обладающий root-правами. Пользователь не может модифицировать или удалить такой файл до тех пор, пока установлен флаг иммутабельности, снять который может лишь root-пользователь.

Несложно заметить, что эта возможность защищает вас, как суперпользователя, от ошибок, которые могут нарушить работу системы. Используя данный подход, можно защитить конфигурационные файлы или любые другие файлы по вашему желанию.

Для того, чтобы сделать любой файл иммутабельным, воспользуйтесь командой chattr:

$ chattr +i /myscript

Атрибут иммутабельности можно удалить такой командой:

$ chattr -i /myscript

Так можно защищать любые файлы, но помните о том, что если вы обработали таким образом бинарные системные файлы, вы не сможете их обновить до тех пор, пока не снимите флаг иммутабельности.

Управление SELinux с помощью aureport

Нередко система принудительного контроля доступа SELinux оказывается, по умолчанию, отключённой. Это не влияет на работоспособность системы, да и работать с SELinux довольно сложно. Однако, ради повышения безопасности, SELinux можно включить, а упростить управление этим механизмом можно, используя aureport.

Утилита aureport позволяет создавать отчёты на основе лог-файлов аудита.

$ aureport —avc

Список исполняемых файлов можно вывести следующей командой:

$ aureport -x

Можно использовать aureport для создания полного отчёта об аутентификации:

$ aureport -au -i

Также можно вывести сведения о неудачных попытках аутентификации:

$ aureport -au —summary -i —failed

Или, возможно, сводку по удачным попыткам аутентификации:

$ aureport -au —summary -i —success

Утилита aureport значительно упрощает работу с SELinux.

Использование sealert

В дополнение к aureport вы можете использовать хороший инструмент безопасности Linux, который называется sealert. Установить его можно так:

$ yum install setools

Теперь у нас есть средство, которое будет выдавать оповещения из файла /var/log/audit/audit.log и даст нам дополнительные сведения о проблемах, выявленных SELinux.

Использовать его можно так:

$ sealert -a /var/log/audit/audit.log

Самое интересное тут то, что в оповещениях можно найти советы о том, как решать соответствующие проблемы.

Итоги

Надеемся, приведённые здесь советы помогут вам сделать вашу установку Linux безопаснее. Однако, если речь идёт о защите информации, нельзя, применив те или иные меры, считать, что теперь вам ничто не угрожает. К любым программным средствам защиты всегда стоит добавлять бдительность и осторожность.
Двенадцать советов по повышению безопасности Linux



URL
07:19

Релиз документо-ориентированной СУБД MongoDB 3.6

И это всё МОЁ
Доступен стабильный выпуск документо-ориентированной СУБД MongoDB 3.6, которая занимает нишу между быстрыми и масштабируемыми системами, оперирующими данными в формате ключ/значение, и реляционными СУБД, функциональными и удобными в формировании запросов. Код MongoDB написан на языке C++ и распространяется в рамках лицензии AGPLv3. Сборки MongoDB 3.6 сформированы для Linux, Windows и macOS.



URL
00:37

Запись за 07.12.2017 23:37:32 +0200

И это всё МОЁ
IP-адреса сайта проекта MATE попали в реестр запрещённых в РФ ресурсов.
blocklist.rkn.gov.ru/
Сайт рабочего стола MATE (mate-desktop.org) оказался недоступен для пользователей из Российской Федерации, так как IP-адреса системы доставки контента Cloudflare (104.28.17.61, 104.28.16.61), через которые был организован доступ к ресурсу, попали в реестр запрещённых сайтов. Запись была добавлена в соответствии с решением ФНС по блокировке online-казино. Так как запрещённый сайт был доступен по HTTPS, то при отсутствии у провайдера DPI-системы с поддержкой SNI, блокировка действует и на легитимные сайты, доступ к которым осуществляется через те же IP. Не исключено, что кроме mate-desktop.org под блокировку попали и другие ресурсы, пользующиеся сервисом Cloudflare.

$ host mate-desktop.org
mate-desktop.org has address 104.28.17.61
mate-desktop.org has address 104.28.16.61

Сайт рабочего стола MATE попал в реестр запрещённных в РФ ресурсов



URL
00:36

Запись за 07.12.2017 23:36:12 +0200

И это всё МОЁ
Доступен пакетный менеджер GNU Guix 0.14 и дистрибутив GuixSD на его основе.

Проект GNU опубликовал пакетный менеджер GNU Guix 0.14 и построенного на его основе дистрибутива GNU/Linux - GuixSD (Guix System Distribution). Допускается установка как в качестве обособленной ОС в системах виртуализации и на обычном оборудовании, так и запуск в уже установленных типовых окружениях GNU/Linux. Для загрузки сформированы образы для установки на USB Flash и использования в QEMU (190 Мб). Поддерживается работа на архитектурах i686, x86_64, armv7, aarch64 и mips64el.

Пакетный менеджер GNU Guix основан на наработках проекта Nix и кроме типичных функций управления пакетами поддерживает такие возможности, как выполнение транзакционных обновлений, возможность отката обновлений, работа без получения привилегий суперпользователя, поддержка привязанных к отдельным пользователям профилей, возможность одновременной установки нескольких версий одной программы, средства уборки мусора (выявление и удаление неиспользуемых версий пакетов). Для определения сценариев сборки приложений и правил формирования пакетов предлагается использовать специализированный высокоуровневый предметно-ориентированный язык и компоненты Guile Scheme API, позволяющие выполнять все операции по управлению пакетами на функциональном языке программирования Scheme.

Поддерживается возможность использования пакетов, подготовленных для пакетного менеджера Nix и размещённых в репозитории Nixpkgs. Кроме операций с пакетами возможно создание сценариев для управления конфигурацией приложений. При сборке пакета автоматически загружаются и собираются все связанные с ним зависимости. Возможна как загрузка готовых бинарных пакетов из репозитория, так и сборка из исходных текстов со всеми зависимостями. Реализованы средства для поддержания версий установленных программ в актуальном состоянии через организацию установки обновлений из внешнего репозитория.

Сборочное окружение для пакетов формируется в виде контейнера, содержащего все необходимые для работы приложений компоненты, что позволяет сформировать набор пакетов, способный работать без оглядки на состав базового системного окружения дистрибутива, в котором Guix используется в качестве надстройки. Между пакетами Guix возможно определение зависимостей, при этом для поиска наличия уже установленных зависимостей используется сканирование хэшей-идентификаторов в директории установленных пакетов. Пакеты устанавливаются в отдельное дерево директорий или поддиректорию в каталоге пользователя, что позволяет обеспечить его параллельное сосуществование с другими пакетными менеджерами и обеспечить поддержку широкого спектра существующих дистрибутивов. Например, пакет устанавливается как /nix/store/f42d68df5d8a0b526064a6a54a7c6f02-firefox-57.0.0/, где "f42d68..." является уникальным идентификатором пакета, используемым для контроля зависимостей.

Дистрибутив включает только свободные компоненты и поставляется с ядром GNU Linux-Libre, очищенным от несвободных элементов бинарных прошивок. Для сборки применяется GCC 7. В качестве системы инициализации используется сервисный менеджер GNU Shepherd (бывший dmd), развиваемый как альтернатива SysV-init с поддержкой зависимостей. Управляющий демон и утилиты Shepherd написаны на языке Guile (одна из реализаций языка Scheme), который также используется и для определения параметров запуска сервисов. Базовые образ поддерживает работу в консольном режиме, но для установки подготовлено более 6600 готовых пакетов, среди которых и компоненты графического стека на базе X.Org, оконные менеджеры dwm и ratpoison, а также ряд программ на базе библиотеки GTK+.

Основные новшества:

Установочный образ GuixSD теперь доступен в формате ISO-9660 и может быть использован как на DVD, так и на USB Flash (ранее поставлялся только образ для Flash). В состав установочного образа добавлен сервис sshd;
В наборе ‘%desktop-services’ конфигуратор Wicd заменён на NetworkManager;
В команду "guix system disk-image" добавлена поддержка создания образов в формате ISO-9660;
В GuixSD представлен новый Bootloader API, обеспечивающий поддержку GRUB (UEFI, BIOS), U-Boot и Extlinux;
В "guix system vm" вместо unionfs теперь используется overlayfs;
TeX Live разделён на порцию мелких пакетов (texlive-*);
Добавлена команда "guix system search" для поиска сервисов;
Добавлены новые системы сборки "font", "meson", "minify", "scons" и "texlive". В cmake-build-system добавлена поддержка кросс-компиляции. Улучшена работа asdf-build-system, emacs-build-system, ant-build-system и go-build-system;
Команда "guix package" расширена показом сведений о числе загруженных данных, возможностью выявления на раннем этапе коллизий в пакетах, сортировкой пакетов по релевантности при поиске и предупреждением в случае недостаточного дискового пространства;
В "guix pull" обеспечено извлечение кода напрямую из Git, используя Guile-Git;
В guix-daemon добавлены новые опции "--listen", "--timeout", "--max-silent-time";
Добавлена новая команда "guix weather";
В "guix refresh" прекращено использование FTP для пакетов GNU и GNOME;
Добавлена компанда "guix import json" для загрузки метаданных пакета в формате JSON;
В guix-daemon добавлена опция "--listen", полезная при установке Guix в кластере;
Обновлены версии программ в 1403 пакетах, добавлено 1211 новых пакетов;
Добавлены новые системные сервисы для certbot, fcgiwrap, gdm, git-http, knot, libvirt, memcached, mongodb, mpd, murmur, rsync, tailon и sysctl.
Доступен пакетный менеджер GNU Guix 0.14 и дистрибутив GuixSD на его основе



URL