abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 13:37 | Bezpečnostní upozornění

Společnost Cloudflare (Wikipedie) na svém blogu potvrdila bezpečnostní problém s její službou. V požadovaných odpovědích od reverzní proxy byla odesílána také data z neinicializované paměti. Útočník tak mohl získat cookies, autentizační tokeny, data posílaná přes HTTP POST a další citlivé informace. Jednalo se o chybu v parsování HTML. Zneužitelná byla od 22. září 2016 do 18. února 2017. Seznam webů, kterých se bezpečnostní problém potenciálně týká na GitHubu.

Ladislav Hagara | Komentářů: 1
včera 08:22 | Nová verze

Byla vydána první beta verze Ubuntu 17.04 s kódovým názvem Zesty Zapus. Ke stažení jsou obrazy Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu GNOME, Ubuntu Kylin, Ubuntu Studio a Xubuntu. Dle plánu by Ubuntu 17.04 mělo vyjít 13. dubna 2017.

Ladislav Hagara | Komentářů: 8
23.2. 17:53 | Bezpečnostní upozornění

Google na svém blogu věnovaném počítačové bezpečnost informuje o nalezení "reálného" způsobu generování kolizí hašovací funkce SHA-1. Podrobnosti a zdrojové kódy budou zveřejněny do 90 dnů. Již dnes lze ale na stránce SHAttered nalézt 2 pdf soubory, jejichž obsah se liší a SHA-1 otisk je stejný (infografika).

Ladislav Hagara | Komentářů: 25
23.2. 17:51 | Nová verze

Vyšla nová verzia open source software na správu a automatizáciu cloudových datacentier Danube Cloud 2.4. Danube Cloud je riešenie postavené na SmartOS, ZFS, KVM a zónach. Obsahuje vlastnosti ako integrovaný monitoring, DNS manažment, zálohy, a samozrejme rozsiahlu dokumentáciu.

dano | Komentářů: 6
23.2. 17:46 | Pozvánky

V Plzni se 3. až 5. března 2017 uskuteční AIMTEChackathon. Je to akce pro vývojáře, grafiky, webdesignéry i veřejnost. Akci provází zajímavé přednášky IT odborníků. Více o programu a možnosti přihlášení na stránkách akce.

cuba | Komentářů: 0
23.2. 01:00 | Nová verze

Známý šifrovaný komunikátor Signal od verze 3.30.0 již nevyžaduje Google Play Services. Autoři tak po letech vyslyšeli volání komunity, která dala vzniknout Google-free forku LibreSignal (dnes již neudržovaný). Oficiální binárky jsou stále distribuované pouze přes Google Play, ale lze použít neoficiální F-Droid repozitář fdroid.eutopia.cz s nezávislými buildy Signalu nebo oficiální binárku stáhnout z Google Play i bez Google účtu

… více »
xm | Komentářů: 7
22.2. 23:14 | Nová verze

Po třech týdnech od vydání první RC verze byla vydána první stabilní verze 17.01.0 linuxové distribuce pro routery a vestavěné systémy LEDE (Linux Embedded Development Environment), forku linuxové distribuce OpenWrt. Přehled novinek v poznámkách k vydání. Dotazy v diskusním fóru.

Ladislav Hagara | Komentářů: 7
22.2. 17:28 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2017-6074 v Linuxu zneužitelné k lokální eskalaci práv. Jde o chybu v podpoře DCCP (Datagram Congestion Control Protocol). Do linuxového jádra se dostala v říjnu 2005. V upstreamu byla opravena 17. února (commit). Bezpečnostní chyba byla nalezena pomocí nástroje syzkaller [Hacker News].

Ladislav Hagara | Komentářů: 16
22.2. 15:00 | Zajímavý software

Společnost Valve vydala novou beta verzi SteamVR. Z novinek lze zdůraznit oficiální podporu Linuxu. Další informace o podpoře této platformy pro vývoj virtuální reality v Linuxu v diskusním fóru. Hlášení chyb na GitHubu.

Ladislav Hagara | Komentářů: 0
22.2. 06:00 | Nová verze

Po necelém roce od vydání verze 0.67 byla vydána verze 0.68 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 704 hlasů
 Komentářů: 66, poslední 22.2. 18:57
    Rozcestník

    Dotaz: PPP přes EAP-TLS

    25.8.2011 16:18 archen | skóre: 2
    PPP přes EAP-TLS
    Přečteno: 537×
    Situace: VPN server běžící na Microsoft Windows 2003, provozující PPTP VPN zabezpečenou klientskými certifikáty. Certifikát je neexportovatelný, pomocí JailBreak jsem ho vyexportoval a dostal do linuxu. ppp-2.4.5 jsem patchnul tak, aby obsahoval podporu EAP-TLS. Nyní jsem v situaci, kdy musím korektně nastavit PPP aby se nakonektilo na VPN server pomocí certifikátu za využití mechanismu EAP-TLS.

    Rozchodil jste toto někdy někdo, nebo můžete dát nějaký hint? Bohužel se mi to dle dokumentace v README nedaří a tutorial jsem také žádný nenašel.

    Díky za jakékoli podněty.

    arch
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce

    Řešení dotazu:


    Odpovědi

    25.8.2011 18:38 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    Tohle mi napsal tvůrce patche: This is what I use to connect to a PPTP EAP-TLS server on my linux client: ------------------------------------------------------------------------------------------

    ./pppd noauth nobsdcomp nodeflate require-mppe-128 \ name "CN-name-from-client-cert" \ remotename "CN-name-from-server-cert" \ cert ..../cert.pem \ key ..../key.pem \ ca ..../ca.pem \ password password \ logfile /tmp/pppd.log \ pty "pptp 192.168.200.65 --nolaunchpppd"

    where the password is only required if your private key requires one. You can then view the /tmp/pppd.log file for a detailed log. does that help? cheers, JJK PS yes I'm aware that the old italian tutorial is gone and that I need to write a tutorial of my own, it's just that I do not use this very often ;)

    ------------------------------------------------------------------------------------------

    Bohužel mě to s touto konfigurací nechodí, takže si s ním ještě dopisuji a uvidím, co z toho vyleze...

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    25.8.2011 19:03 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    chodi a funguje to (patch od rovnakeho autora). moja cast konfiguracie:
    require-eap
    ca /etc/pki/tls/certs/ca-ss-users.crt
    cert /etc/pki/tls/certs/ppp-server.crt
    key /etc/pki/tls/private/ppp-server.key
    password XXX
    26.8.2011 09:56 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Hm, tak nevim, co mám špatně, tady je můj složený příkaz:

    /usr/local/sbin/pppd \
    noauth nobsdcomp nodeflate require-eap \
    name "$FQDN_HOSTNAME" remotename "$CN_Z_CA_CERTIFIKATU" \
    cert $PRIVATNI_CERTIFIKAT \
    key $VEREJNY_KLIC 
    ca $CA_CERTIFIKAT 
    password $HESLO \
    logfile /tmp/pppd.log pty \
    "pptp $VPN_SERVER  --nolaunchpppd"
    

    Výstupem je:

    /usr/local/sbin/pppd: The remote system (CERT-CA-LESYCR) is required to authenticate itself
    /usr/local/sbin/pppd: but I couldn't find any suitable secret (password) for it to use to do so.
    

    Nějak si s tím nevím rady, našel jsem tuhle diagnostiku, ale moc mi to nepomohlo.

    Mohl bys mi poslat celou svoji konfiguraci, zkusil bych z toho dedukovat, kde dělám chybu. Děkuji za pomoc.

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    26.8.2011 12:52 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    a sice moment... az tohto vypisu vlastne asi tusim o co sa pokusate... ja som vam dal funkcnu cast konfiguracie na strane VPN servera...a vy riesite podla vsetkeho VPN klienta (pptp+pppd on eap-tls). v tom pripade direktivu "require-eap" asi vyhodte... lebo tym vlastne nutite overit opacnu stranu spojenia co asi nieje ziaduce.

    z readme: If you're setting up a client, edit the configuration file and then run pppd with 'remotename' option to specify the server name. Add the 'need-peer-eap' option if you want to be sure the peer ask you to authenticate (and to use eap) and to disconnect if it doesn't.

    26.8.2011 14:26 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Ano máte pravdu, pokouším se připojit z linuxového klienta na Microsoft VPN PPTP server.

    require-eap jsem vyhodil, do remotename, kde jsem používal CN z certifikátu, jsem podstrčil přímo hostname FQDN serveru VPN. ale stále to na mě plive:

    Connect: ppp0 <--> /dev/pts/8 EAP: peer reports authentication failure Connection terminated.

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    26.8.2011 21:24 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    to uz je lepsie... naozaj opacna strana pouziva EAP-TLS? nieje to nejake EAP-PEAP alebo EAP-TTLS? dajte si debugovat pppd.
    31.8.2011 17:29 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Ok, díky. Zkusím. Jinak se jedná o klasický Windows Server 2003, kde je nahozená PPTP VPN, která používá klientské certifikáty. Jedná se o následující konfiguraci, kterou se mi podařilo vyčíst po připojení na Windows mašině.

    On the connection configuration card:
    On security folder there is selected "Precise configuration", then click on the Setting
    Cryptography of data: Require (disconnect if cryptography cannot be used)
    Use of protocol EAP: Smart Card or another certificate
    There is a button for "Properties" where is>
    - Use certificate in this computer
    - Verify server certificate
    - and in the root certificates list I selected the CA root certificate
    
    Windows client VPN attributes after connection made:
    Type of device: vpn
    Type of server: PPP
    Transports: TCP/IP
    Authentication: EAP
    Cypher: MPPE 128
    Compression: MPPC
    Multilink patterns of PPP: disabled
    

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    5.9.2011 15:30 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    Dobrý den,

    druhá strana je určitě EAP - Smart card, resp. to jsem vyčetl z konfigurace Windows klienta, který je funkční.

    V debug logu vidím pouze zhruba následující:
    
    Sep  5 14:28:29 helios pppd[6611]: using channel 10
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfReq id=0x1 < asyncmap 0x0> < magic 0xbe27e267> < pcomp> < accomp>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfReq id=0x0 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < callback CBCP> < mrru 1614> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]> < 17 04 00 53>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfRej id=0x0 < callback CBCP> < mrru 1614> < 17 04 00 53>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfAck id=0x1 < asyncmap 0x0> < magic 0xbe27e267> < pcomp> < accomp>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfReq id=0x1 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfAck id=0x1 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP EchoReq id=0x0 magic=0xbe27e267]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [EAP Request id=0x54 Identity < No message>]
    Sep  5 14:28:30 helios pppd[6611]: sent [EAP Response id=0x54 Identity < Name "helios">]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP EchoRep id=0x0 magic=0x8c817fa]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [EAP Failure id=0x54]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP TermReq id=0x3 08 c8 17 fa 00 3c cd 74 00 00 02 b3]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP TermAck id=0x3]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP TermAck id=0x2 "Failed to authenticate ourselves to peer"]
    Sep  5 14:28:30 helios pppd[6611]: Waiting for 1 child processes...
    Sep  5 14:28:30 helios pppd[6611]:   script pptp 80.188.1.3  --nolaunchpppd, pid 6612
    Sep  5 14:28:30 helios pppd[6611]: Script pptp 80.188.1.3  --nolaunchpppd finished (pid 6612), status = 0x0
    
    Takže jsem se zatím moc nehnul no. Jan Keijser, tvůrce patche, který do ppp zavádí podporu EAP-TLS i pro Smardcard mi napsal, že zkusí svořit nějaký návod, sám jsem si hrál s konfigurací, ale bez úspěchu...zatím :-)

    Díky za feedback všem.

    Ladislav Jech
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    Řešení 1× (archen (tazatel))
    7.9.2011 09:35 archen | skóre: 2
    Rozbalit Rozbalit vše PPP přes EAP-TLS funkční připojení
    Takže konečně se tunel vytvořil a to pomocí následujícího příkazu:
    
    root@helios:~# /usr/local/sbin/pppd debug noauth nobsdcomp nopcomp noaccomp nodeflate require-mppe-128 name "Subjekt z klient certifikátu" remotename "CN z certifikátu serveru" cert /root/cert/PRIV_CERT.pem key /root/cert/PRIV_KEY_ONLY_WITHOUT_PASSPHRASE.pem ca /root/cert/CACERT.pem logfile /tmp/pppd.log pty "pptp X.X.X.X  --nolaunchpppd"
    
    Vůbec zásadní bylo odstranit 'require-eap', jelikož to forcne pppd to server módu!

    Subjekt z klientského certifikátu vydoloval pomocí:

    openssl x509 -noout -in PRIV_CERT.pem -subject

    V případě remotename parametru, tak když tohle nesedí, tak debug vyhodí hlášku, že zadané peername nesedí s CN, které je vyčteno z certifikátu na serveru, takže se to odladí velmi jednoduše.

    Po těchto změnách se připojení zdařilo, nicméně se nelze dostat do na žádný server, pouze na bránu VPN a to pouze port 443, hláška v logu ukazuje

    Cannot determine ethernet address for proxy ARP
    local  IP address 192.168.101.25
    remote IP address 192.168.101.1
    Script /etc/ppp/ip-up started (pid 10603)
    Script /etc/ppp/ip-up finished (pid 10603), status = 0x0
    

    Takže v tuto chvíli je připojení aktivní, ale síť nekomunikuje. V dokumentaci pppd jsem nalezl nějaké návody, jak toto upravit pomocí proxyarp, ale řešení sestává v úpravě na straně serveru. To v mém případě nehrozí, jelikož se nejedná o linuxový, ale windows server, a také na něj nemám přístup, takže si pohraju ještě s tímhle.
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    Řešení 1× (archen (tazatel))
    7.9.2011 13:57 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS funkční připojení
    OK, takže problém s hláškou v pppd logu:

    Cannot determine ethernet address for proxy ARP

    řeší ruční správné nastavení routovací tabulky. V mém případě zřejmě jediné řešení, jelikož nemám přístup ke konfiguraci serveru, aby se dalo nastavit z jeho strany. Zkusím ještě prozkoumat, zda to lze automatizovat nějak jinak, než pomocí ručně psaného skriptu. Ale nevím teď. Každopádně ručně jsem to rozchodil. Děkuji za pomoc timeos a tvůrci patche EAP-TLS Jan Just Keijserovi.

    Ladislav

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.