Nowe posty

Pokaż wiadomości

Ta sekcja pozwala Ci zobaczyć wszystkie wiadomości wysłane przez tego użytkownika. Zwróć uwagę, że możesz widzieć tylko wiadomości wysłane w działach do których masz aktualnie dostęp.


Pokaż wątki - 1709

Strony: [1] 2 3 ... 5
1
Bash, skrypty powłoki / Ulepszanie skryptu.
« dnia: 2018-11-18, 14:00:42 »
Zrobilem sobie taki skrypt side (Simple Intrusion Detection Environment)
( na własne potrzeby )

#!/bin/bash
# Licence: GPLv3

error1(){
echo "$@" ; exit 1
}

# Check if sha256sum is installed
[ "$(sha256sum --version)" ] || error1 "--> You need install sha256sum"

#========================={
side_verify() {
echo "--> Verify base with local hash"
sha256sum -c dat/hash.base.org.sum || error1 "--> Error: Verify hash.base.org FAILED"
sha256sum -c dat/perm.base.org.sum || error1 "--> Error: Verify perm.base.org FAILED"

echo "--> Verify base with on-line hash"
# tr -d '\r' will remove "CRLF line terminators"
curl -v --silent https://pastebin.com/i6kzUJtp --stderr - | grep " dat/hash.base.org" | sed -e 's/<[^>]*.//g' | tr -d '\r' \
| sha256sum --check || error1 "--> Error: Verify hash.base.org FAILED"
curl -v --silent https://pastebin.com/i6kzUJtp --stderr - | grep " dat/perm.base.org" | sed -e 's/<[^>]*.//g' | tr -d '\r' \
| sha256sum --check || error1 "--> Error: Verify perm.base.org FAILED"
}


#========================={
side_create() {
mkdir -p ./dat
[ -e dat/hash.base ] && rm dat/hash.base
[ -e dat/perm.base ] && rm dat/perm.base

#VAR5="/path/"
#VAR="-not -path \"${VAR5}\""
#echo $VAR

#NOT_FIND_IN="-not -path "/proc/*" -not -path "/home/*" -not -path "/var/*" \
#-not -path "/run/*" -not -path "/media/*" -not -path "/mnt/*" "
FIND_IN="/"

# You need check paths and adapt to your own needs
#echo "find "$FIND_IN" -type f -ls ${NOT_FIND_IN}"
find "$FIND_IN" -type f -not -path "/proc/*" -not -path "/home/*" -not -path "/var/*" \
-not -path "/run/*" -not -path "/media/*" -not -path "/mnt/*"  -not -path "/sys/*" \
-not -path "/tmp/*" -not -path "/dev/*" -exec sha256sum {} \; | tee -a dat/hash.base  | \
awk '{ print $2 }' | xargs ls -l | tee -a dat/perm.base
}
#=========================}

#========================={
side_move() {
mv dat/hash.base dat/hash.base.org
mv dat/perm.base dat/perm.base.org


echo "--> PLEASE sent hash files to inaccessible place, for example on paste.bin manualy"
echo "and save links to verify your database."
sha256sum dat/hash.base.org > dat/hash.base.org.sum
sha256sum dat/perm.base.org > dat/perm.base.org.sum
cat dat/hash.base.org.sum
cat dat/perm.base.org.sum
}
#=========================}

#========================================================================================={
case $1 in
"--firstinit"|"-f")
side_create
side_move
;;
"--check"|"-c")
side_verify
side_create
echo "######################################################"
echo "    "
echo "--> Changes in files:"
echo "    "
diff dat/hash.base dat/hash.base.org
diff dat/perm.base dat/perm.base.org
;;
"--help"|"-h")
echo "--firstinit"
echo "--check"
;;
*)
echo " Error: unknown option"
echo " Try use: $0 --help"
exit
;;
esac
#=========================================================================================}

Czy mozna jeszcze jakos go ulepszyc ?

1. Skrypt bedzie uruchamiany jako root,
wiec nie jestem pewien czy zmienna np.  FIND_IN moze byc tak zapisana.
2. Chcialem zeby skrypt byl bardziej przejrzysty,
 np. zapisanie sciezek (  "/proc/*"  "/home/*" ) do pliku konfiguracyjnego ale komenda find obraza sie na moje zmienne
i tablica nie chce nic zapisac w sobie w petli while.
3. Skrypt narazie nie potrafi wyslac hash przez curl, trzeba wkleic recznie,  a fpaste czy czegos podobnego nie mam i narazie nie bede kompilował.


Edytowane
Przydalaby sie aplikacja na telefon do skanowania i weryfikowania hashy na telefonie :D
Dzieki temu nie musialbym zapisywac hashy w sieci.


Edytowane
- A moze by fragment z linkami zmienic w ten sposob ?
 su -c "id; curl -v --silent https://pastebin.com/i6kzzJtz --stderr - | grep ' dat/perm.base.org' | sed -e 's/<[^>]*.//g' | tr -d '\r' | sha256sum --check" nobody || echo "Error jakis"
uid=65534(nobody) gid=65534(nogroup) groups=65534(nogroup)
dat/perm.base.org: OK
- Linki nie sa dlugie, moglbym robic sobie ich zdjecia w celu weryfikacji, czy ktos ich nie podmienil,
No chyba ze ktos popsuje tak system, ze tylko z ISO / live-USB poprawna weryfikacja bedzie mozliwa ...

2
Administracja / Uprawnienia
« dnia: 2018-11-14, 15:56:54 »
Jedna  z rzeczy ktora nalezy wykonywac w celu wykrywania podatnosci w systemie jest sprawdzanie uprawnien plikow
zwlaszcza tych podatnych na nadpisanie i z uprawnieniami root.
i szukalem do tego odpowiednich komend.

Znalazlem np. cos takiego https://www.suse.com/documentation/sles11/book_hardening/data/sec_sec_prot_general_filepermissions.html
Ale chyba cos z ta komenda jest nie tak ?

# find / -path /proc -prune -o -perm -2 ! -type l -ls
  5898545      0 crw-rw-rw-   1  root     root       1,   3 May 23  2011 /lib/udev/devices/null
  5898529      0 crw-rw-rw-   1  root     root      10, 229 May 23  2011 /lib/udev/devices/fuse
  5898544      0 crw-rw-rw-   1  root     root      10, 200 May 23  2011 /lib/udev/devices/net/tun
find: ‘/home/x/.gvfs’: Permission denied
   299060      4 drwxrwxrwt   2  root     root         4096 Nov 14 06:55 /var/lib/xkb
  1184213      4 drwxrwxrwt   2  root     root         4096 Feb 22  2010 /var/lib/lib/xkb
  1310761      0 srwxrwxrwx   3  root     root            0 Nov 14 06:40 /var/lib/sasl2/mux
  1316552      0 srw-rw-rw-   1  postfix  postfix         0 Apr 12  2018 /var/spool/postfix/private/proxywrite
  1316568      0 srw-rw-rw-   1  postfix  postfix         0 Apr 12  2018 /var/spool/postfix/private/lmtp-filter
  1316566      0 srw-rw-rw-   1  postfix  postfix         0 Apr 12  2018 /var/spool/postfix/private/cyrus-chroot
  1316563      0 srw-rw-rw-   1  postfix  postfix         0 Apr 12  2018 /var/spool/postfix/private/scache
  1316560      0 srw-rw-rw-   1  postfix  postfix         0 Apr 12  2018 /var/spool/postfix/private/virtual
  1316561      0 srw-rw-rw-   1  postfix  postfix         0 Apr 12  2018 /var/spool/postfix/private/lmtp
  1316557      0 srw-rw-rw-   1  postfix  postfix         0 Apr 12  2018 /var/spool/postfix/private/retry
...
bo wiekszosc z nich, to chyba socket-y ?
# ls -l /var/spool/postfix/private/error
srw-rw-rw- 1 postfix postfix 0 Apr 12  2018 /var/spool/postfix/private/error=


A jesli uzyje np. takiej komendy
# find / -perm -o+w -type f 
/proc/1/task/1/attr/current
/proc/1/task/1/attr/exec
/proc/1/task/1/attr/fscreate
/proc/1/task/1/attr/keycreate
/proc/1/task/1/attr/sockcreate
/proc/1/attr/current
/proc/1/attr/exec
/proc/1/attr/fscreate
/proc/1/attr/keycreate
To mi pokazuje procesy.

Czyli szukalbym bardziej w ten sposob
#  find / -perm -o+w -type f  -not -path "/proc/*" | grep root

 (No chyba ze ktos liczy na mniejsza eskalacje uprawnienien, to pominalbym "| grep root". Ale mniejsza oto )

Czyli z uprawnieniami do "nadpisania" znajduje glownie: procesy, socket-y i ewentualnie linki.
Linki, bynajmniej te z wlascicielem root i grupa root, sie nie da nadpisac - próbowałem, czyli jest OK
Ale nie moge znalesc zbyt wiele o procesach i socket-ach.  Jak sprawdzic czy sa bezpieczne ?


Edytowane
Znalazlem cos takiego o socket-ach  https://stackoverflow.com/questions/5977556/how-can-i-change-the-permissions-of-a-linux-socket-file
Cytuj
Utworzenie nowego gniazda zakończy się niepowodzeniem, jeśli proces nie ma uprawnień do zapisu i wyszukiwania (wykonywania) w katalogu, w którym jest tworzone gniazdo. Łączenie się z obiektem gniazda wymaga uprawnień do odczytu / zapisu. To zachowanie różni się od wielu systemów pochodnych opartych na BSD, które ignorują uprawnienia dla gniazd domeny UNIX. Przenośne programy nie powinny polegać na tej funkcji dla bezpieczeństwa.

A jak jest z "proc"-esami ?
Czy jest cos istotnego na co nalezy zwracac uwage ?

3
Administracja / Program do znajdywania podatnosci.
« dnia: 2018-10-26, 14:54:05 »
Ostatnio ktos znalazl buga w xorg https://lists.x.org/archives/xorg-announce/2018-October/002927.html
...
Nie jestem programista, ale ten blad wydaje mi sie trywialny...
Czyli najpierw wyszukujemy pliki z setuid np.
find / -user root -perm -4000 -exec ls -ldb {} \;
A potem z tych plikow odcedzamy pliki ktore "my" mozemy uruchomic i ich zmienne.
I jesli jakas zmienna to np. plik ktory mozemy nadpisac , to z prawami root mozemy wykonac dowolny skrypt.

Czy jest jakis program do sprawdzania takich podatnosci ?


Edytowane
Podobny problem moze wystapic jesli sie okaze ze aplikacja z uprawnieniami root,
wczytuje komendy z pliku ktory mozemy nadpisac. Wiec juz nawet nie chodzi tylko o pliki z suid.

4
- Gra do zdobycia za darmo tylko przez określony czas, około 24h  od publikacji tego postu

OSTRZEZENIE :
Gra moze byc nie odpowiednia dla małych dzieci.

https://www.humblebundle.com/store/warhammer-40000-space-marine


Dla małych dzieci lepsze byłoby Coloring Pixels
https://store.steampowered.com/app/897330/Coloring_Pixels/
Ale dostepne narazie tylko w Steam Beta Update ze Sterownikiem np. Nvidia 396.54 i Proton 3.7-5 ( wersje Protona mozna zaznaczyc w Steam-ie )


Data publikacji
31.08.2018r.

5
Cytuj
Orwell odbywa się w kraju zwanym Narodem, kierowanym przez współczesny rząd autorytarny znany jako Partia w stolicy Bonton. W 2012 roku partia przyjęła ustawę bezpieczeństwa, ustawę rozszerzającą zdolność rządu do szpiegowania swoich obywateli w imię bezpieczeństwa narodowego. W ramach ustawy Ministerstwo Bezpieczeństwa, pod przewodnictwem Sekretarza Bezpieczeństwa Catherine Delacroix, zleciło stworzenie tajnego systemu nadzoru o nazwie Demiurga (później przemianowanego na Orwell).

Orwell umożliwia prowadzenie dochodzenia w prywatnej komunikacji interesujących osób, ale nie zezwala na dostęp jednej osobie. Zamiast tego operacja Orwella jest prowadzona przez dwie grupy; Śledczy, osoby spoza Narodu pracujące dla rządu, które przeszukują komunikację osób docelowych i przesyłają interesujące przedmioty (reprezentowane jako "datasunks"), a także Doradcy, osoby z Narodu, które korzystają z otrzymanych datasunków w celu ustalenia przebiegu działania i zalecanie działań władzom.

Gracz wciela się w postać badacza Orwella, który właśnie został wybrany do korzystania z systemu

OSTRZEZENIE :
Gra może budzić kontrowersje moralne związane z inwigilacja.
Ponieważ to co jest w grze, nie musi być dobre w życiu i tu zawsze grę i świat realny trzeba odróżnić i zawsze jakieś granice moralne znać.
Jeżeli ktoś ma jakieś obawy lub slaby umysł, zawsze może zrezygnować z gry.

https://www.humblebundle.com/store/orwell?hmb_source=humble_home&hmb_medium=product_tile&hmb_campaign=mosaic_section_1_layout_index_1_layout_type_twos_tile_index_2

- Gra do zdobycia za darmo tylko przez określony czas, 1 dzień.

Opublikowano: 16.08.2018

6


Gra  Insurgency  dostepna za darmo tylko  do 15 sierpnia na platformie Steam.
https://store.steampowered.com/app/222880/Insurgency/

7

Kolega mi spomnial o DXVK
Cytuj
"Dodatek" do Wine, który daje Ci kompatybilność z DirectX 11
przerabia z DX11 na Vulkan w czasie rzeczywistym
wiec mozesz grać nawet w Wiedźmina 3 na Linuxie
ale nie jest zalecany do używania w grach przez neta
bo mogą cię zbanować gdyż to ingeruje w pliki gry czy coś.

Jeżeli grasz używając Wine i nie boisz się popsuć systemu,
to możesz przetestować.
Ja osobiście nie testowałem, bo nie mam czasu nawet grac.
Dlatego daj znać jeśli przetestujesz, czy działa i jak działa.

Projekt:
https://github.com/doitsujin/dxvk

Wiki ( po prawej masz menu wiki )
https://github.com/doitsujin/dxvk/wiki/Common-issues

Jak tego uzyc:  (poradnik z internetu)
https://linuxconfig.org/improve-your-wine-gaming-on-linux-with-dxvk

9
Konfiguracja / konfiguracja vsftpd
« dnia: 2018-07-09, 14:24:12 »
Probuje uruchomic vsftpd-3.0.3

zgodnie z (konfiguracja doslownie jak tam)
https://raycodingdotnet.wordpress.com/2013/01/03/setting-up-ftp-server-on-ubuntu-localhost-with-vsftpd/

$ ftp localhost
Connected to localhost.localdomain.
421 Service not available, remote server has closed connection
ftp> ls
Not connected.
ftp> bye
$ sftp localhost
ssh: connect to host localhost port 22: Connection refused
Couldn't read packet: Connection reset by peer

Z ta roznica ze uzywam xinetd i jest uruchomione.

# chkconfig --list
...
xinetd based services:
rsync:          off
sshd-xinetd:    off
vsftpd-xinetd: on

Czy do dzialania vsftpd musi byc jeszcze uruchomione ssh ?

Firewall raczej nie gra roli, bo testuje z localhost i
- jest --> iptables -A OUTPUT -o lo -j ACCEPT
- jest --> iptables -A INPUT -i lo -j ACCEPT

Konfig posiada opcje
local_enable=YES
wiec nie wiem czego sie przyczepic.

Jesli nikt nie bedzie wiedzial co jeszcze moge zrobic,
 to skompiluje vsftp recznie lub sprobuje stworzyc sftp metoda ssh.


Edytowane.
Logu nie posiadam (lub nie potrafie znalesc, log xinetd bez bledow)

$ sftp -vvvv localhost
OpenSSH_7.2p2, OpenSSL 1.0.2h  3 May 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug2: resolving "localhost" port 22
debug2: ssh_connect_direct: needpriv 0
debug1: Connecting to localhost [127.0.0.1] port 22.
debug1: connect to address 127.0.0.1 port 22: Connection refused
ssh: connect to host localhost port 22: Connection refused
Couldn't read packet: Connection reset by peer
Sprobuje ssh pierw skonfigurowac.
Vsftpd to chyba jest tylko nakladka na ssh.  :/

10
Humor, ciekawostki etc. / GUID
« dnia: 2018-06-26, 18:23:12 »
Czytajac np.
http://www.szkolenia-linux.pl/doku.php?id=materialy:podstawy-administracji:uprawnienia#suid_guid

Jest dla mnie denerwujące mieszanie pojęć SUID i GUID
nie pisząc skąd te nazwy się wzięły i co to jest GUID,
albo nie zauważyłem.
I nie jest to odosobniony poradnik


Podzielilem to sobie tak:
Cytuj
ATRYBUTY:
SUID - Set user ID lub Saved User ID
==========
SGID - Set group ID
==========
Sticky bit-
prevent ordinary users from deleting or moving other users' files.
==========

ID można podzielić na:
==========
GUID - ... User ID 
RUID - Real User ID
EUID - Effective User ID
==========

Dokładniejszy Poradnik, gdyby ktoś tez kiedyś szukał.
https://www.cyberciti.biz/tips/linux-more-on-user-id-password-and-group-management.html

Przykładowy Kalkulator uprawnień
http://permissions-calculator.org/

Edytowane.
Nie moge znalesc znaczenia GUID
Groups Users ID ?
Global Unique Identifier ?
https://stackoverflow.com/questions/16372433/linux-command-to-generate-new-guid

11
Shadowrun Returns Deluxe
- taktyczna, turowa, RPG, 2D gra
- gra do zdobycia za darmo tylko przez określony
czas od 21.06.2018 do 23.06.2018
https://www.humblebundle.com/store/shadowrun-returns-deluxe?hmb_source=humble_home&hmb_medium=product_tile&hmb_campaign=mosaic_section_1_layout_index_1_layout_type_twos_tile_index_1

Data publikacji
22.06.2018r.


12
Ziggurat
https://www.gog.com/game/ziggurat

Data publikacji
12.06.2018r.

13
Uwagi i propozycje / PORADNIK ! [Linux srodowiska graficzne]
« dnia: 2018-04-11, 12:41:41 »
Proponuję do niektórych działów dodać przyklejony poradnik  z tytułem
" PRZECZYTAJ TO !  "
lub
" PORADNIK ! "
Tematy mają być otwarte, aby każdy mógł zgłosić uwagi, poprawki, aktualizacje,  i inne zastrzeżenia.



1. Lista srodowisk graficznych dostepna na Linuxa

Uwaga: Kazda dystrybucja posiada wlasna liczbe srodowisk.

- Nazwa
Strona internetowa:


2. Debugowanie


Bledy sa zapisywane do ~/.xsession-errors
Mozna sobie je wyswietlic pomijajac inne informacje,
wyswietlajac tylko linie ze znanymi slowami kluczowymi sugerujacymi bledy np.
grep 'fail\|error\|could not' ~/.xsession-errors


3. Rozwiazywanie problemow.


- Jednym z najczestszym bledow srodowika sa blede pliki konfiguracyjne.
Mozna je wygenerowac na nowo tworzac nowego uzytkownika i logujac sie na niego lub usuwajac stare pliki konfiguracyjne.
Przyklad dla srodowiska KDE
https://forum.kde.org/viewtopic.php?f=14&t=38828

14
Administracja / iptables
« dnia: 2018-04-09, 23:06:31 »
W jaki sposób mozna logować które aplikacje łaczą się z internetem ?


https://superuser.com/questions/34782/with-linux-iptables-is-it-possible-to-log-the-process-command-name-that-initiat
Od budowania własnej aplikacji lub uzycia netstat jestem daleki,
poniewaz albo by skrypt za bardzo obciążył system albo nie bylbym pewien czy wyłapie nawet wyslany pojedynczy pakiet,
a opcji " --cmd-owner" nie ma w nowej wersji iptables

# iptables -m owner --help

owner match options:
[!] --uid-owner userid[-userid]      Match local UID
[!] --gid-owner groupid[-groupid]    Match local GID
[!] --socket-exists                  Match if socket exists


Mogę stworzyc uzytkownika do kazdej aplikacji
i dodać regułkę logującą dla kazdego użytkownika.
( Myslalem nad stworzeniem grupy, ale nie widzę możliwości dodawania aplikacji do grup. )

Natomiast aplikacje bym uruchamial
su uzytkownik -c 'komenda'
To troche komplikuje, bo bym do kazdej komendy musial podawac haslo.
Nie ma prostszej metody ?

15
Humor, ciekawostki etc. / [ Gra Za Darmo ] Spec Ops: The Line
« dnia: 2018-03-29, 23:42:26 »
Gra " Spec Ops: The Line " za darmo tylko przez paręnaście godzin.

Przybliżona instrukcja pobrania.
- Wybierasz grę w humblebundle ( trzeba być zalogowanym )
- Wchodzisz w koszyk i akceptujesz zakup za darmo
- Dostajesz email z linkiem, otwierasz nowy link
( kopiuj i wklej do przegladarki zeby sprawdzic czy to nie jakis obcy i falszywy adres )
- W nowym linku wybierasz klienta Steam, wyświetli się klucz
- Kod aktywujesz w Steam, w zakladce
Gry --> Aktywuj produkt na Steam ...
- Po poprawnej weryfikacji klucza, gra powinna być w bibliotece Steam i mozna ją zainstalować.

Gra dla osób powyżej 17 lat.
https://www.humblebundle.com/store/spec-ops-the-line?partner=cultofmush


Data publikacji
29.03.2018

Strony: [1] 2 3 ... 5