UNIXS - školení Gopas

AbcLinuxu:/ Blogy / musil / Linux / UNIXS - školení Gopas

Štítky: AMD, databáze, e-mail, firewally, GNU, hardware, Intel, Internet, IPsec, iptables, komunikace, OpenVPN, patch, programování, Shorewall, sítě, SSH, SSL, TLS, virtualizace, Xen

UNIXS - školení Gopas

19.11.2007 22:05 | Přečteno: 1167× | Linux

UNIXS - školení Gopas

12.9.2007

root // ******

NETFILTER

iptables -t filter -A FORWARD -j ACCEPT

-p !tcp  (vykřičník = negace)
označení tcp bere z /etc/protocols

-s  (source adress)
--sport
--tcp-flags SYN,ACK

--vše zakázat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

--vyprázdnění chainů
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

--povolení SSH 
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

--povolí odchozí provoz
iptables -A OUTPUT -o eth0 -s 1.2.3.4 -j ACCEPT

--povolení směrem ven toho co jen prochází (když stroj dělá router/bránu)
ip tables -A FORWARD -i eth1 -o eth0 -p tcp -s 4.3.0.0/16 --dport 80 -j ACCEPT

--povolí příchozí provoz do vnitřní sítě všechen provoz
iptables -A FORWARD -i eth0 -o eth1 -p tcp -d 4.3.0.0/16 -j ACCEPT


--ping povolení
iptables -A INPUT -i eth0 -p icmp --icmp-type 3 -j ACCEPT


match state (je potřeba mít nahraný modul, který rozšíří parametry o "-m state"
iptables -A FORWARD -i eth1 -o eth0 -s 4.3.0.0/16 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


eth+  znak "+" je zástupný znak = cokoliv


SHOREWALL

FW-BUILDER


13.9.2007

TRIPWIRE
--------

soubor s nastavením
/etc/tripware/tw.pol

kontrola:
tripwire --check
tripwire --check -r report_soubor.twr

vytvoření databáze  *.twd
tripwire --init

čtení reportu:
twprint -m r -r report_soubor.twr

Update databáze integrity (odsouhlasení změn):
tripwire --update -r report_soubor.twr

soubor s reportem:
/var/lib/tripwire/report/*.twr



AIDE
----

- obdoba TRIPWIRE


KRYPTOGRAFIE
------------

ISO 7498-2 (základní kryptografické pojmy)


Ai=2,3,5 (prvočísla)

n/pí?? * Ai = 2 * 3 * 5 = 30
i=1

zpět rozložit 30 na součinitele je VELMI časově náhodné

jak zjistit u čísla zda je prvočíslo? = rozkladem


kvantový generátor náhodných čísel (strašná rychlost generování)

                               _== čidlo=0

fotonové dělo ==] *********    /    [== čidlo=1
                fotony-^       ^- polo propustné zrcadlo


Kvantová kryptografie

bit	báze	polarizace
0	+	-
0	x	/
1	+	|
1	x	\

BB84 - kvantový protokol výměny klíče
jednovidový vlákno max 40km (k vůli útlumu) ?


/dev/random- podle provozu na disku, sítě, myši atd.. (pokud se nic neděje tak negeneruje čísla !!)

/dev/urandom - generuje náhodná čísla i když /dev/random nestíhá nebo nemá čísla (má v rezervě a když dojdou tak generuje nová)


GNU PGP
-------

vygenerování PGP klíčů
gpg --gen-key

- DSA and ElGamal
- 1024bit
- does not expire

Asymetrické klíče mají asi 10x větší klíč oproti symetrickým klíčům se stejným zabezpčením.

export veřejného klíče uživatele UID
gpg --export [UID]
 --armor (alternativní výstup čitelný) překodovano BASE64   z 7bit do 8bit 


GPA - aplikace pod X-ka



SSL
---

TLS 1.0 = kompatibilní =  OpenSSL 3
TLS = nástupce SSL

vrstvy pro SSL

APLIKAČNÍ
!SECURE SOCKET LAYER - SSL!
TRANSPORTNÍ - UDP,TCP
SÍŤOVÁ - IP
FYZICKÁ


SELF-Signed certikát
openssl req -new -key klic.key -x509 -out klic.crt


www.thawte.com - personal e-mail certifikát

SSL tunneling
-------------
stunnel -d 1000 -p /root/cert.pem -r localhost:23



/dev/TUN* - práce jen s IP
/dev/TAP* - práce s rámci i IP


OpenVPN - jednoduché na nastavení oproti IpSec


Šifrovaný disk
--------------
device mapper -  dm-crypt+luks

cryptsetup - balíček pro práci s šifr. diskem




14.9.2007

virtualizace:
-------------

standardní model bez XEN:

ring 0
jádro-kernel 

ring 1
FREE

ring 2
FREE

ring 3
USER_SPACE





standardní model s XEN:

ring 0
hypervizor

ring 1
dom0 (základní systém), domU (virtuální systém), domU (virt.sys2)...
jen systém, který může být modifikován patchem XEN
dom0 i domU musí být aplikován XEN patch !!

ring 2
FREE

ring 3
USER_SPACE





model s podporou HW (cpu - virtualizace)

ring -1
jádro-kernel 

ring 0
virtuální stroje (nemusí být modifikována XEN patchem) 
dom0, domU, domU

ring 1

ring 2

ring 3
USER_SPACE



GRSecurity - použití PaX
----------

+ randomizace adresního prostoru



segmentování 
+ nízký dopad na výkon
- snížení velikosti virtuální paměti aplikace na polovinu (cca 1,5GB) 

stránkování
+ velikost virtuální paměti nezměněna
- větší dopad na výkon
- spolehlivě funguje na Intel Pentium, AMD Athlon/Duron


nekompatibilitta s aplikacemi (wine, OpenOffice, ..)  je možné pro určité programy tyto ochrany vypnout



MEDUSA DS9 (vývojáři mají málo času to vyvíjet)

Hodnocení: 40 %

špatné • dobré

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (0) ? , Tisk

Vložit další komentář

19.11.2007 22:09 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: UNIXS - školení Gopas

Odpovědět | Sbalit | Link | Blokovat | Admin

Nedávno jsem byl na jedný prezentačce a svých 10min tam měla i společnost GOPAS a jako, ten typos, to byl nějaký sfetlý nebo schlastaný, nudný a únavný člověk. Takže od té doby mám zafixováno, že GOPAS ee :). Jinak mám také ceník všeho, co nabízí a jaksi, mno, pěkný ceny, pěkný :-/.
Kolik stála tato konrétní? 3kkč? 6kkč?
Zdar Max

Měl jsem sen ... :(

19.11.2007 22:11 Stan. | skóre: 25 | blog: musil
Rozbalit Rozbalit vše Re: UNIXS - školení Gopas

tuším že to bylo tohle

19.11.2007 23:12 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: UNIXS - školení Gopas

Jj, přehlédl jsem, že to byla třídenní akce, jinak bych netipoval tak málo :).
Zdar Max

Měl jsem sen ... :(

20.11.2007 14:07 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: UNIXS - školení Gopas

Já byl v Gopasu na školení Postfixu, vedl to nějaký p. Vrbata, a musím říct, že lepší školení jsem opravdu nezažil. Asi to bude "kus" od "kusu" :-)

20.11.2007 14:22 Stan. | skóre: 25 | blog: musil
Rozbalit Rozbalit vše Re: UNIXS - školení Gopas

jo Vrbata je dobrej. dobre jsme si tam pokecali :)

Založit nové vlákno • Nahoru