Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.
Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.
Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.
Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.
Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinek a poznámkách k vydání.
Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.
Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.
Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.
Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.
/etc/init.d/ipsec start
, tak prestane fungovat vsechno ostatni. Nedostanu se na zadny server mimo VPN, ani si nepingnu. Hlasi to, ze sit neni dostupna. Asi problem v routovani?
Diky za vase napady
62.245.92.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 62.245.92.1 0.0.0.0 UG 0 0 0 eth1po ipsec:
62.245.92.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 10.0.0.0 62.245.92.1 255.255.0.0 UG 0 0 0 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 62.245.92.1 128.0.0.0 UG 0 0 0 eth1 128.0.0.0 62.245.92.1 128.0.0.0 UG 0 0 0 eth1 0.0.0.0 62.245.92.1 0.0.0.0 UG 0 0 0 eth1
man routeMel by tam (asi) byt jenom jeden radek, ktery zacina 0.0.0.0.
toto neni muj oborHolt kazdy jsme na neco jineho. Nekdo na elektroniku, nekdo na ABCLinuxu
[root@leos root]# route del -net 62.245.92.1 netmask 0.0.0.0 SIOCDELRT: Invalid argument [root@leos root]# route del -net 62.245.92.1 SIOCDELRT: Invalid argument [root@leos root]# route del -net 128.0.0.0 SIOCDELRT: Invalid argument
route del 0.0.0.0 netmask 128.0.0.0 eth1
?
route: síťová maska 7fffffff nedává smysl, když cílem je cesty počítačnepomuze
route del -net 0.0.0.0 netmask 128.0.0.0 eth1
?Destination Gateway Genmask Flags Metric Ref Use Iface 62.245.92.0 * 255.255.255.0 U 0 0 0 eth1 default 62.245.92.1 0.0.0.0 UG 0 0 0 eth1Kdyz zkusim pinknout abicko (skrze zkratku v /etc/hosts)
[literakl@leos bin]$ ping a connect: Resource temporarily unavailableProste eth1 posila data jen na VPN. Kernel je 2.6.8.1-12mdk. V logu najdu toto:
Feb 23 13:09:41 leos ipsec_setup: KLIPS ipsec0 on eth1 62.245.92.148/255.255.255.0 broadcast 62.245.92.255 Feb 23 13:09:41 leos ipsec_setup: ...Openswan IPsec started Feb 23 13:09:41 leos ipsec_setup: Starting Openswan IPsec U2.2.0/K2.6.8.1-12mdk... Feb 23 13:09:43 leos ipsec__plutorun: 104 "literakl" #1: STATE_MAIN_I1: initiate Feb 23 13:09:43 leos ipsec__plutorun: ...could not start conn "literakl"a auth.log obsahuje:
Feb 23 14:15:25 leos ipsec__plutorun: Starting Pluto subsystem... Feb 23 14:15:25 leos pluto[28356]: Starting Pluto (Openswan Version 2.2.0 X.509-1.5.4 PLUTO_USES_KEYRR) Feb 23 14:15:25 leos pluto[28356]: including NAT-Traversal patch (Version 0.6c) [disabled] Feb 23 14:15:25 leos pluto[28356]: ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0) Feb 23 14:15:25 leos pluto[28356]: Using Linux 2.6 IPsec interface code Feb 23 14:15:25 leos pluto[28356]: Changing to directory '/etc/openswan/ipsec.d/cacerts' Feb 23 14:15:25 leos pluto[28356]: loaded CA cert file 'cacert.pem' (1490 bytes) Feb 23 14:15:25 leos pluto[28356]: Could not change to directory '/etc/openswan/ipsec.d/aacerts' Feb 23 14:15:25 leos pluto[28356]: Could not change to directory '/etc/openswan/ipsec.d/ocspcerts' Feb 23 14:15:25 leos pluto[28356]: Could not change to directory '/etc/openswan/ipsec.d/crls' Feb 23 14:15:25 leos pluto[28356]: added connection description "packetdefault" Feb 23 14:15:25 leos pluto[28356]: added connection description "block" Feb 23 14:15:26 leos pluto[28356]: added connection description "clear-or-private" Feb 23 14:15:26 leos pluto[28356]: added connection description "clear" Feb 23 14:15:26 leos pluto[28356]: loaded host cert file '/etc/openswan/ipsec.d/clcert.pem' (1777 bytes) Feb 23 14:15:26 leos pluto[28356]: added connection description "literakl" Feb 23 14:15:26 leos pluto[28356]: added connection description "private-or-clear" Feb 23 14:15:26 leos pluto[28356]: added connection description "private" Feb 23 14:15:26 leos pluto[28356]: listening for IKE messages Feb 23 14:15:26 leos pluto[28356]: adding interface eth1/eth1 62.245.92.148 Feb 23 14:15:26 leos pluto[28356]: adding interface lo/lo 127.0.0.1 Feb 23 14:15:26 leos pluto[28356]: loading secrets from "/etc/openswan/ipsec.secrets" Feb 23 14:15:26 leos pluto[28356]: loaded private key file '/etc/openswan/ipsec.d/private/privatekey.pem' (1118 bytes) Feb 23 14:15:26 leos pluto[28356]: loading group "/etc/openswan/ipsec.d/policies/private" Feb 23 14:15:26 leos pluto[28356]: loading group "/etc/openswan/ipsec.d/policies/private-or-clear" Feb 23 14:15:26 leos pluto[28356]: loading group "/etc/openswan/ipsec.d/policies/clear" Feb 23 14:15:26 leos pluto[28356]: loading group "/etc/openswan/ipsec.d/policies/clear-or-private" Feb 23 14:15:26 leos pluto[28356]: loading group "/etc/openswan/ipsec.d/policies/block" Feb 23 14:15:27 leos pluto[28356]: "literakl" #1: initiating Main Mode Feb 23 14:15:27 leos pluto[28356]: "literakl" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2 Feb 23 14:15:27 leos pluto[28356]: "literakl" #1: I am sending my cert Feb 23 14:15:27 leos pluto[28356]: "literakl" #1: I am sending a certificate request Feb 23 14:15:27 leos pluto[28356]: "literakl" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3 Feb 23 14:15:27 leos pluto[28356]: "literakl" #1: Peer ID is ID_DER_ASN1_DN: 'C=US, ST=Massachusetts, L=Cambridge,OU=Networks, CN=xx.com' Feb 23 14:15:27 leos pluto[28356]: "literakl" #1: no crl from issuer "C=US, ST=Massachusetts, L=Cambridge, XX CA Root" found (strict=no) Feb 23 14:15:27 leos pluto[28356]: "literakl" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4 Feb 23 14:15:27 leos pluto[28356]: "literakl" #1: ISAKMP SA established Feb 23 14:15:27 leos pluto[28356]: "literakl" #2: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1} Feb 23 14:15:27 leos pluto[28356]: "literakl" #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2 Feb 23 14:15:27 leos pluto[28356]: "literakl" #2: sent QI2, IPsec SA established {ESP=>0x0a7821cc <0x9b26d182} Feb 23 14:15:38 leos pluto[28356]: %hold otherwise handled during DNS lookup for Opportunistic Initiation for 62.245.92.148 to 2 05.188.8.244
127.0.0.0 * 255.0.0.0 U 0 0 0 lomi tam chybi.
Směrovací tabulka v jádru pro IP Adresát Brána Maska Přízn Metrik Odkaz Užt Rozhraní 62.245.92.0 * 255.255.255.0 U 0 0 0 eth1 10.0.0.0 62.245.92.1 255.255.0.0 UG 0 0 0 eth1 default 62.245.92.1 128.0.0.0 UG 0 0 0 eth1 128.0.0.0 62.245.92.1 128.0.0.0 UG 0 0 0 eth1 default 62.245.92.1 0.0.0.0 UG 0 0 0 eth1To uz mi prijde jako pokrok
[root@leos root]# route -n Směrovací tabulka v jádru pro IP Adresát Brána Maska Přízn Metrik Odkaz Užt Rozhraní 62.245.92.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 62.245.92.1 0.0.0.0 UG 0 0 0 eth1 [root@leos root]# ping a connect: Resource temporarily unavailableUz si zacinam myslet, ze chyba v routovani nebude. Ze ten IPSec tam provadi neco divneho.
racoon
, setkey
), které lépe odpovídají implementaci IPSec v jádře. Dobrý návod je například součástí LARTC howto.
Tedy přesněji: ne dal bych, ale dávám
$ cat /etc/openswan/ipsec.conf version 2.0 # basic configuration config setup interfaces=%defaultroute klipsdebug=none plutodebug=none uniqueids=yes nat_traversal=no virtual_private=%v4:192.168.2.0/24,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:10.0.0.0/8,%v4:!10.0.0.0/24,%v4:!10.0.10.0/24,%v 4:!10.0.20.0/24,%v4:!10.0.50.0/24,%v4:!10.0.40.0/24,%v4:!192.168.33.0/24 forwardcontrol=yes conn %default authby=rsasig rightrsasigkey=%cert leftrsasigkey=%cert disablearrivalcheck=no keyingtries=2 pfs=yes conn literakl authby=rsasig leftrsasigkey=%cert rightrsasigkey=%cert keyingtries=5 disablearrivalcheck=no rightid="C=US,ST=Massachusetts,L=Cambridge,O=XXX,OU=Networks,CN=goblin.xxx.com" right=194.XXX.203.154 rightsubnet=10.0.0.0/16 rightnexthop=194.XXX.203.153 rightfirewall=yes left=%defaultroute leftfirewall=yes leftsendcert=always leftcert=/etc/openswan/ipsec.d/clcert.pem leftid="/C=US/ST=Massachusetts/L=Cambridge/O=XXX/OU=Networks/CN=Leos Literak/Email=leos.literak@XXX.com" auto=startDiky
Tiskni
Sdílej: