Reflection



SSHjail for OpenSSH
Fri Nov 18 17:53 2005



SSHjail for OpenBSDUma das falhas de segurança mais comuns quando se tem utilizadores locais numa máquina é o acesso destes a partes do sistema que lhes permitem possuír mais informação do que deveriam.
Com o intuito de circunscrever este problema tem-se usado nos mais diferentes daemons em unix a chroot() system call. Curiosamente um dos daemons mais usados, o OpenSSH, não possuí esta opcção de modo a fazer chroot aos utilizadores que se logam, terão de perguntar ao Theo de Raadt o porquê de tal facto, já que a sua implemetação é bastante rápida e fácil.
Foi com o intuito de possuir um daemon de ssh que me permitisse ter os utilizadores numa jail, sem ter de mudar ficheiros do sistema que eventualmente podessem vir a quebrar as configurações de outros daemons, que lancei o SSHjail for OpenSSH.
Apesar de ser possível sair do ambiente chroot, a sua exploração sempre é mais uma camada de segurança.


Hobby Paradigma
Sun Oct 30 16:08 2005



[root@neon gngs]# tail -n 50 ~/ChangeLog

=======================================
28 de Outubro de 2005 @ 18:02 // gngs
=======================================


o Aumentado o device da /tmp para 486 Megas porque não se conseguia compilar o MySQL via rpm build já que o SPEC usa
a /tmp para alguns automatismos.
o Upgrade á BD para Mysql-4.0.26
o Alterado o Vhost paradigma.pt de modo a criar um ambiente chroot. Para isto tive de alterar o comportamento do safe
_mode On para que deixasse executar os scripts, quer com o UID do user quer como www (apache user)
Encontrei um patch para o PHP que fazia isto aqui : http://www.titov.net/safemodepatch/. Já estive a ver e é trivial
portar o patch para php5 quando assim for necessario. Ou seja, agora antes de se compilar o apache tem de -se aplicar este patch ao php
TODO, ver o código do asterisco que usa "system()" de modo a que se possa também pôr estas flags restritivas do php no seu vhost.

=======================================
Outubro de 2005 @ 18:20 // gngs
=======================================

o Colocado no vhost asterisco as limitacoes do php
o disable no php.ini as funcoes system e exec


=======================================
28 de Outubro de 2005 @ 19:00 // system
=======================================

o Actualizadas definicoes do anti-virus: dat-4614 -> dat-4615


=======================================
28 de Outubro de 2005 @ 22:00 // gngs
=======================================

o Instalado o fail2ban-0.4.1 de modo a proteger brute force attacks ao sshd que se vêm sucedendo á demasiado tempo.
È um install provisório porque nao gosto do programa, acho que consome muita memoria(ok nem tanto). A Máquina devia levar outro stick de 512M na minha opinião. A CPU tem chegado para os gastos.

TODO, no próximo kernel instalar o module "recent" do netfilter de modo a se retirar o fail2ban e se fazer isto via iptables.

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent
--update --seconds 15 --hitcount 4 -j DROP


=======================================
29 de Outubro de 2005 @ 21:00 // gngs
=======================================


o Instalado o eAccelerator-0.9.3 de modo a acelerar a disponabilização de paginas em php. Nota-se uma significativa melhora na velocidade, principalmente no webmail que é a aplicação mais pesada.


Last Days Review
Thu Oct 27 23:56 2005



Last DaysJá em Maio passado tinha referido o lançamento do filme "Last Days" no festival de Cannes.
Só à senvivelmente 15 dias o filme chegou ás salas portuguesas e somente ontem fui assistir à película, poderia tê-lo feito anteriormente pois já haviam versões piratas a circular pelas redes peer-to-peer mas cedo decidi que queria vê-lo no cinema.
Durante este tempo fiz um esforço para não ler as críticas sobre o filme, não queria ser influenciado pelas massas de modo a ter uma opinião baseada na tábua rasa.

E a minha opinião é que o Gus Van realizou um filme vazio apesar da sua visão sobre os últimos dias de Kurt Cobain ser válida tendo em conta os relatos conhecidos. O problema é a sua visão limita-se a relatar os actos de um maluquinho separado da realidade mundana. Ora, o que me parece é que se os últimos dias de Kurt Cobain foram assim, então não existe conteúdo para se fazer um filme, talvez a realização de um filme sobre toda a sua vida tivesse muito mais razão de ser.

Depois, durante todo o filme fiquei intrigado com as pessoas que estava a viver na casa de Seattle do Kurt, ou a memória está-me a falhar redondamente, ou nunca li que a casa tivesse habitada por amigos aquando da sua morte, o que me fez pensar que Gus para que o filme não fosse um vazio total decidiu colocar estas personagens na história e ao mesmo tempo transmitir a ideia de que no fundo Kurt estava rodeado por pessoas que na realidade apenas se queriam aproveitar dele.

O actor, Michael Pitt foi muito bem caracterizado e em alguns momentos parecia mesmo o Kurt Cobain, os pormenores iam desde da roupa ao cabelo, mas também passavam pelo o modo de fumar até ao aspecto magricela. Com toda esta clonagem houve um pormenor que reparei que provavelmente aos olhos de muitos passará despercebido, mas o actor apesar de escrever com a mão esquerda depois a tocar guitarra fazia como destro, e o Kurt tocada como canhoto.

ps: Eramos sete pessoas a ver a última sessão do filme nas salas do saldanha, duas sairam a meio provavelmente porque estavam á espera de uma realização á HollyWood já que é normalmente o que a LusoMundo distribui, outras duas passaram o tempo a escrever SMS no telemovel e a tirarem fotografias uma á outra. E assim vai a educação portuguesa...


(Des)informação
Fri Oct 21 18:46 2005



Quando se assiste a uma sessão parlamentar constacta-se de imediato que alguém está a dizer inverdades (na política não se diz mentiras) pois a disparidade entre os factos apresentados são de tal forma distantes que é impossível ambas as bancadas estarem a dizer a verdade, o problema é que o cidadão comum raramente sabe de que lado está a razão. Mas na sessão de 18 de Outubro o tema parlamentar foi sobre as dificuldades técnicas verificadas nas Autárquicas, assunto sobre o qual estou pessoalmente minimamente bem informado para identificar o mentiroso.(Como se chama a um indivíduo que diz inverdades?)

O Deputado do PSD, Montalvão Machado, insinuou através de uma pergunta retórica que a culpa de tais deficiências técnicas se devia á utilização de Software Livre, no caso CaixaMágica, na implementação da infraestrutura, apresentando como argumento um contrato entre o Ministério da Justiça e a ADETTI.
Peço desculpas, mas não acredito que este deputado não soubesse que tal afirmação é um disparate, mas mesmo assim preferiu avançar com esta desinformação, a razão para tal facto pode estar relacionada com a sua proximidade ao lobby Microsoft que pretende assim desacreditar o Software Livre e continuar com a sua posição dominante no sector. O facto é que a CaixaMágica nada teve haver com o projecto das eleições, o seu contracto apenas prevê a migração de algumas Workstations.

Depois existem umas afirmações que só vão ao encontro das suspeitas da sua motição.

"De acordo com Montalvão Machado, o sistema utilizado no apuramento dos resultados eleitorais desde 2001 (baseado no sistema operativo Windows 2000, da Microsoft) foi alterado pelo Governo socialista, passando a ser a IBM a empresa responsável por este processo, gerido pelo Instituto das Tecnologias da Informação da Justiça (ITIJ)."

Dizer que a infraestrutura era baseada no windows 2000, quando este apenas era um dos frontends de httpd é no minimo ridículo. Os frontends agora usados baseados em SuSe não tiveram problemas, foi o backend com o mainframe que nao aguentou a carga (ele até aguentou, teve foi de se rever a configuração dos seus recursos segundo o responsável), e ao contrário do que o deputado afirma, em 2001 a empresa IBM já estava envolvida no projecto e era um mainframe o responsável pela recolha dos dados. A maior diferença da infraestrutura está no acesso á informação, quando dantes não existiam querys a BD's mas sim geração de ficheiros que posteriormente eram acedidos via ftp para futuro parse pelos frontends agora todo o processo é feito pelas transacções ao IMS, o que dá a flexibilidade de se aceder apenas á informação que se pretende sendo esta mais "actual", do outro lado da moeda está que o backend é mais sobrecarregado.