Oficiálně byl vydán Android 14. Detaily na blogu a stránkách věnovaných vývojářům.
Google na akci Made by Google '23 (YouTube) představil novinky v kolekci produktů Pixel: hodinky Pixel Watch 2 a telefony Pixel 8 a Pixel 8 Pro s čipem Tensor G3, Androidem 14 a 7letou softwarovou podporu.
Byla vydána nová verze 9.5 sady aplikací pro SSH komunikaci OpenSSH. Nově ve výchozím stavu ssh-keygen generuje Ed25519 klíče. Do ssh byla přidána možnost obfuskace časováním stisknutí kláves (keystroke timing obfuscation).
Konference OpenAlt 2023 proběhne o víkendu 11. a 12. listopadu v Brně. Přihlásit přednášky lze do neděle 8. října 23:59.
V X.Org v libX11 do 1.8.7 a libXpm do 3.5.17 bylo nalezeno a v upstreamu opraveno 5 bezpečnostních chyb (CVE-2023-43785, CVE-2023-43786, CVE-2023-43787, CVE-2023-43788 a CVE-2023-43789). Dvě nejstarší jsou s námi 35 let. Obsaženy byly již v X11R2 vydaném v únoru 1988.
Byly publikovány informace o bezpečnostní chybě Looney Tunables aneb CVE-2023-4911 v glibc ld.so. Útočník ji může využít k lokální eskalaci práv. Vyzkoušeno na výchozích instalacích linuxových distribucí Fedora 37 a 38, Ubuntu 22.04 a 23.04 a Debian 12 a 13. Chyba byla do glibc zavlečena v dubnu 2021. Detaily v txt.
Na Kickstarteru byla spuštěna crowdfundingová kampaň na podporu telefonu Murena 2 s /e/OS. Telefon má 2 hardwarové přepínače. Prvním lze jednoduše vypnout kamery a mikrofony. Druhým se lze odpojit od sítí.
Společnost Qualcomm publikovala říjnový bezpečnostní bulletin. V úvodu informuje, že bezpečnostní chyby CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 a CVE-2023-33063 jsou cíleně využívány útočníky. O CVE-2022-22071 se píše už v loňském květnovém bulletinu. Detaily o zbylých chybách jsou k dispozici OEM partnerům. Veřejně budou k dispozici až s vydáním prosincového bulletinu.
Byla vydána nová verze 5.18 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 12.5.6. Tor na verzi 0.4.8.6.
Šifrovací nástroj VeraCrypt v menším vydání 1.26.7 nejen opravuje chyby a aktualizuje podporované algoritmy (podrobnosti v poznámkách vydání), ale také přestává podporovat původní svazky TrueCrypt.
Dobrý den,
co se stane v případě, že politiku mám nastavenou
INPUT DROPa vytvořím si nové dva CHAINs
-N tcp_segments
-N udp_segments
a
-A INPUT -i eth0 -p TCP -j tcp_segments
-A INPUT -i eth0 -p UDP -j udp_segments
-A tcp_segments -d "ipaddress" -p TCP -m state --state NEW,RELATED,ESTABLISHED -m TCP --dport 22 -j ACCEPT
v případě, že se přidá do INPUT CHAIN automaticky po spustění démona další rula na filtrování SSH, které je jako první a odkazuje na automaticky vygenerovaný CHAIN, nebude se již mé pravidlo na povolení SSH provádět? TZN. v případě, že najde shodu, přepošle paket a neřeší už další ruly v řetězci?
a ještě jedna otázka
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTnení toto pravidlo dírou v IPTABLES? Abych mohl updatovat systém a zároveň nepovolit inizializaci příchozího přístupu?
Děkuji za odpověď.
TZN. v případě, že najde shodu, přepošle paket a neřeší už další ruly v řetězci?
Pouze pokud to pravidlo, jehož podmínky jsou splněny, rozhodne o osudu paketu, tj. má akci ACCEPT
, DROP
nebo REJECT
.
není toto pravidlo dírou v IPTABLES?
V jakém smyslu dírou?
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-SSH tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
tcp_segments tcp -- 0.0.0.0/0 0.0.0.0/0
udp_segments udp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 127.0.0.1
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain tcp_segments (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 "IP"/24 state NEW,RELATED,ESTABLISHED tcp dpt:22
Chain fail2ban-SSH (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Tak, v současné době mi fail2band hází do CHAIN fail2ban s koncem DROP pokusy, kterých bylo více jak pět. Chci si být jistý, že v případě, když tohoto démona vypnu, zůstane mi pravidlo které odpovídá mému chainu TCP_SEGMENTS. Zároveň by mě zajímalo, jestli posledním pravidlem v INPUT uděluji přístup k serveru jen portům, které sám inicializuje server a není toto pravidlo jako díra. Děkuji R.
Proc mas chain fail2ban kdyz stejne z nej paket vratis zpet ke spracovani? Pokud tam byt nema dej mu DROP jinak ACCEPT.Do toho řetězce se následně řadí pravidla pro zakázání spojení z IP adres, ze kterých se někdo opakovaně pokoušel přihlásit chybným heslem – jestli jsem tedy správně pochopil tazatele. Smysluplnost takového řešení nechám stranou. Pokud jde o jiné spojení, než to ze seznamu zakázaných, má se zpracovat dalšími pravidly firewallu (to, že není na seznamu zakázaných, ještě automaticky neznamená, že se má povolit).
RETURN
je tedy správně.
Poslednim pravidlem rikas akceptuj jen ta spojeni, ktera jiz jsou navazana.Nikoli, říká se tím, že se mají akceptovat příchozí pakety, které jsou součástí již navázaného spojení nebo s ním souvisí.
Děkuji za výstižný komentář a to obou odpovídajícím, vždy se rád něco přiučím. Bylo pro mě důležité se ujistit o funkčnosti tohoto řešení. V případě, že byste měl návrh, jakým lepším způsobem se bránit proti útokům z internetu na služby SSH a FTP, budu velmi potěšen, samozřejmě stačí jen nasměrovat, jakým způsobem se dostanu k výsledku.
DěkujiJinak přeji hezký den a ať vám linuxy šlapou.
R.ssh
používám přihlášení klíčem a přihlášení heslem mám úplně zakázané. FTP nejlépe zabezpečíte tak, že ho vůbec nebudete používat
Tiskni
Sdílej: