abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Xfce bude mít vlastní kompozitor pro Wayland s názvem xfwl4
    dnes 20:11 | Zajímavý software

    Desktopové prostředí Xfce bude mít vlastní kompozitor pro Wayland s názvem xfwl4. V programovacím jazyce Rust s využitím stavebních bloků z projektu Smithay jej napíše Brian Tarricone. Úprava stávajícího xfwm4 tak, aby paralelně podporoval X11 i Wayland, se ukázala jako špatná cesta.

    Ladislav Hagara | Komentářů: 0
    SonicDE (Sonic Desktop Environment)
    dnes 19:11 | Komunita

    Desktopové prostředí KDE Plasma 6.8 poběží už pouze nad Waylandem. Vývojáři, kteří s rozhodnutím nesouhlasí, vytvořili fork KDE Plasma s názvem SonicDE (Sonic Desktop Environment) s cílem zachovat a vylepšovat podporu X11.

    Ladislav Hagara | Komentářů: 2
    Vivaldi 7.8
    dnes 12:22 | Nová verze

    Byla vydána nová stabilní verze 7.8 dnes již jedenáctiletého webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 144. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 3
    GNU gettext 1.0
    dnes 10:33 | Nová verze

    GNU gettext (Wikipedie), tj. sada nástrojů pro psaní vícejazyčných programů, dospěl do verze 1.0. Po více než 30 letech vývoje. Přehled novinek v souboru NEWS.

    Ladislav Hagara | Komentářů: 1
    Amutable má přinést determinismus a ověřitelnou integritu do linuxových systémů
    dnes 05:11 | IT novinky

    Chris Kühl (CEO), Christian Brauner (CTO) a Lennart Poettering (Chief Engineer) představili svou společnost Amutable. Má přinést determinismus a ověřitelnou integritu do linuxových systémů.

    Ladislav Hagara | Komentářů: 12
    OPNsense 26.1 Witty Woodpecker
    včera 20:11 | Nová verze

    Byla vydána (𝕏) nová verze 26.1 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.1 je Witty Woodpecker. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 2
    Portál ToHledej.CZ
    včera 15:11 | Zajímavý projekt

    Deník TO spustil vlastní zpravodajský webový portál ToHledej.CZ s internetovým vyhledávačem a bezplatnou e-mailovou schránkou. Dle svého tvrzení nabízí 'Zprávy, komentáře, analýzy bez cenzury' a 'Mail bez šmírování a Velkého bratra'. Rozložením a vizuálním stylem se stránky nápadně podobají portálu Seznam.cz a nejspíše je cílem být jeho alternativou. Z podmínek platformy vyplývá, že portál využívá nespecifikovaný internetový vyhledávač třetí strany.

    NUKE GAZA! 🎆 | Komentářů: 27
    Sbírky kalifornského Muzea historie počítačů jsou nyní dostupné online
    včera 14:11 | Zajímavý projekt

    Computer History Museum (Muzeum historie počítačů) zpřístupnilo své sbírky veřejnosti formou online katalogu. Virtuálně si tak můžeme prohlédnout 'rozsáhlou sbírku archivních materiálů, předmětů a historek a seznámit se s vizionáři, inovacemi a neznámými příběhy, které revolučním způsobem změnily náš digitální svět'.

    NUKE GAZA! 🎆 | Komentářů: 12
    Rus si vyrobil vlastní 32GB DDR5 RAM modul
    včera 14:00 | Zajímavý projekt

    Ruský hacker VIK-on si sestavil vlastní 32GB DDR5 RAM modul z čipů získaných z notebookových 16GB SO-DIMM RAM pamětí. Modul běží na 6400 MT/s a celkové náklady byly přibližně 218 dolarů, což je zhruba třetina současné tržní ceny modulů srovnatelných parametrů.

    NUKE GAZA! 🎆 | Komentářů: 15
    Národní identitní autorita (NIA) je částečně nedostupná
    včera 11:00 | Upozornění

    Národní identitní autorita (NIA), která ovlivňuje přihlašování prostřednictvím NIA ID, MEP, eOP a externích identit (např. BankID), je částečně nedostupná.

    Ladislav Hagara | Komentářů: 9
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (17%)
     (6%)
     (0%)
     (10%)
     (24%)
     (3%)
     (5%)
     (2%)
     (12%)
     (33%)
    Celkem 667 hlasů
     Komentářů: 21, poslední dnes 20:43
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / vsftpd + TLS v pasivním režimu
    Štítky: bezpečnost, firewally, FTP, Internet, iptables, NAT, sítě, šifrování, TLS, vsftpd

    Dotaz: vsftpd + TLS v pasivním režimu

    24.7.2006 19:37 Phil | skóre: 4
    vsftpd + TLS v pasivním režimu
    Přečteno: 218×
    Dobrý den,

    jakým způsobem provozujete VSFTPD + TLS v pasivním režimu (Fedora Core 4)? Prosté otevření portů v iptables mi nepřipadá bezpečné, máte pro to nějaké speciální pravidlo? Velice děkuji za všechny vaše rady a názory.

    S přáním pěkného dne,

    Filip Novák.
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    25.7.2006 09:34 petr_p
    Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu
    Neprovozuji, ale z principu to asi nelze, kdyz pasv prikaz je sifrovany.

    Budto si vynute sifrovani a i na datovem spojeni (force_*_data_ssl) nebo vypnete pasv_promiscuous a otevrte 20, nebo proste tu 20 otevrte a doufejte, ze vsichni budou hodni.
    25.7.2006 09:36 petr_p
    Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu
    V tom prvnim pripade take musite otevrit 20, ale bezpecnost trpet nebude.
    25.7.2006 18:28 Phil | skóre: 4
    Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu
    Zapomněl jsem napsat, že aktivní mód na statických IP u klienta funguje bez problémů. Nevím, zda jsem to dobře pochopil, ale zdá se mi, že toto neřeší připojení klientů za NATem. K tomu potřebuji ten pasivní mód (podařilo se mi jej rozchodit pouze otevřením portů na FW, nastavených ve vsftpd.conf - pas_min_port a pas_max_port). Pokud se mýlím, prosím o vysvětlení. Díky.
    26.7.2006 08:57 petr_p
    Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu
    Ja myslel, ze resite bezpecnost. U pasivniho rezimu je problem v tom, ze klient A da prikaz PASV a pak treba RETR. Pak prijde zaskodnik B, ktery se pripoji na datovy port na serveru a vysosne data urcena klientovi A bez jakekoliv autentizace.

    Tomuto utoku muzete predejit zpusoby, jak jsem popsal vyse. Nebo, jak jste psal vy, nadefinujete rozsah pro datove porty dost velky na to, aby utocnik nevedel, kam se pripojit.

    Mate-li otevreny jen jeden datovy port, pak je take problem, pristupuje-li na FTP server vice klientu se stejnou zdrojovou IP (napr. za NATem). Pak si nevedomky kradou datova spojeni a efektivne jim ten server "nefunguje". (To jsem si puvodne neuvedomil a je to problem.)

    A k vasi otazce: Ano, je-li kontrolni spojeni sifrovane, nat_ftp helper v jadre neni schopen precist datovy port a automaticky jej otevrit pro daneho klienta, tudiz je nutne ty porty otevrit rucne na trvalo.

    Ja jsem jako zabezpeceni uvedl sifrovani i datovych spojeni. Diky tomu nebude mozne precist cizi data. Pak se ovsem nemusite bat pootvirat datove porty (v zajmu funkcnosti pres NAT jich otevrte vic).
    26.7.2006 09:31 Phil | skóre: 4
    Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu
    Děkuji za Vaši odpověď. Tou bezpečností jsem měl na mysli zejména bezpečnost serveru po otevření rozsahu portů pro pasivní režim. V pravidlu iptables bohužel nemohu uvést (neznám) rozsah zdrojových IP pro otevřené porty. Zajímá mě tedy do jaké míry je toto řešení nebezpečné pro server.
    26.7.2006 13:34 petr_p
    Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu
    Muzete vysvestlit, co si predstavujete pod pojmem "bezpecny pro server"? Obecne za bezpecne se povazeje to, co ma riziko prolomeni ochrany nizsi nez je stanoveny limit.

    Pokud chcete slyset seznam vsech utoku, ktere lze vezt na FTP server, tak si ho radeji nekde najdete nebo si nastudujte FTP prokol a zamyslete se. Ja jsem uvedl jeden typicky utok a take zpusob, jak jej resit.

    S prominutim, vase otacka je asi na takove urovni, jako jaky vliv na bezpecnost meho domu bude mit otevrene okno, protoze se chci z nej vybavovat s kolemjdoucimi. Ukazte mi konkretni problem, s kterym si nevite rady a ja nebo nekdo jiny vam treba odpovi.
    26.7.2006 14:59 Phil | skóre: 4
    Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu
    Omlouvám se za takto formulovanou otázku, zkusím to lépe. Na FW jsem tímto pravidlem otevřel porty pro pasivní režim:

    iptables -A INPUT -p TCP --dport 11000:11100 -j ACCEPT

    toto je nast. vsftpd.conf pro TLS a pasivní režim:

    force_local_data_ssl=YES
    force_local_logins_ssl=YES
    ssl_tlsv1=YES
    pasv_min_port=11000
    pasv_max_port=11100

    Tato varianta je funkční. Lze to z hlediska bezpečnosti udělat lépe?
    26.7.2006 18:00 petr_p
    Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu
    Takto je tam uz jediny problem: na takto vysoke porty se muze nabindovat jakykoliv proces. Takze pokud mate na serveru zleho uzivatele, tak si na nektery z techto portu muze povesit svoji vlastni sluzbu, a protoze jej mate otevreny na firewallu, tak se tam muze kdokoliv pripojit.

    Takze bud tam nemate zadne dalsi uzivatele, nebo ten rozsah portu presunete nekam na privilegovany rozsah (standardne to je pod 1024), nebo presvedcite vsftpd, aby se na ty porty nabindoval ihned po spusteni (coz podle manualu asi neumi)).

    Pokud vas to zajima vic, precte si draft-fordh-ftp-ssl-firewall-07.txt. Je tam zminovane nejake reseni midcom, ktere to resi tim, ze FTP server rekne firewallu, ktere porty se maji otevrit. Jinak mne uz nic jineho nenapada. Vzasade kdyz odhledneme od DOS a zombie-scan utoku, ktere se ovsem tykaji jakehokoliv otevreneho TCP portu, tak ve vasem reseni nevidim nic spatneho.
    27.7.2006 08:23 Phil | skóre: 4
    Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu
    Moc děkuji za Vaše rady a názory.
    Hezký den.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.