發表文章

目前顯示的是有「Security | 資訊安全」標籤的文章

firewalld - CentOS 7 的動態防火牆

如同先前在 [完全用 GNU/Linux 工作] 07. 簡易的防火牆 一文提到,Ubuntu 從 8.04 LTS 開始多了 ufw 這個簡單的防火牆,CentOS 也在 7.0 導入可以動態管理防火牆的 firewalld 。Weithenn 前輩的 CentOS 7.3 基礎設定 (10) - 調整 Firewalld 防火牆規則 一文很好的解說了 firewalld 與 iptables 的差異,想深入了解的伙伴不妨參考一下。 firewalld 還有個跟 Windows 7 類似的 網路共用設定 機制,在官方文件中是使用 界域 1 (zone) 來敘述這項依據不同環境所設計的網路區域功能。我們可以藉由在各種不同的 zone 進行設置,來達到公開網域 (public network zone) 不開 ssh 埠口,而內部網域 (internal network zone) 則允許等較複雜的信任等級配置。這部份凍仁還未深入研究,在此就不多加說明。

如何匯入 SSL 憑證到 AWS Certificate Manager

圖片
AWS Certificate Manager (ACM) 是 AWS 推出用來管理、部署 SSL 憑證的免費 SaaS 服務 (前提是得搭配 Elastic Load Balancing (ELB) 或 CloudFront 一起使用)。近日凍仁接獲幫公司更新 SSL 憑證的任務便把玩了一下,第一次接觸總有些膽顫心驚,相信這份筆記可以讓多年後的凍仁就不用再緊張一次了。 ▲ AWS 官方的 ACM 介紹。

移除 MIUI 8 的預設瀏覽器

圖片
近來凍仁遇到了一個挺令人頭痛的問題,那就是上個月不小心把小米手機 (MI2) 升上 MIUI 8。切換 預設瀏覽器 的功能癈了,不管設定怎麼改,只要點到開新分頁的連結,都會用 MIUI 內建的瀏覽器開啟! 爬完文的凍仁採用了 root 強制刪除 app 的權宜之計 (workaround)。目前已正常使用一週,或許下次只需移除 com.browser.provider 即可。 ▲ MIUI 8 雖未正式 release,但已可從官網取得 MIUI 8 體驗版線刷包 。

[完全用 GNU/Linux 工作] 30. 銷毀資料 - Shred

過去在 GNU/Linux 裡,凍仁會使用 dd (1) ,此指令會將資料填零而達到抹除磁碟的功用,但就算這樣還是有被專業人士還原的風險;現在凍仁都改用 shred (2) 指令來完成這項任務,此指令是專門用來 撕碎 資料的。

[完全用 GNU/Linux 工作] 23. 密碼管理員 - FPM2Droid

圖片
FPM2 For Android (FPM2Droid) 是 Android 版的 FPM2 密碼管理員,其最大的差異為 FPM2Droid 只有讀取的功能。簡單的說它只是個檢視器,不像 GNU/Linux 上的 FPM2 可以建立及修改資料,所以手機版的 FPM2Droid 非常適合出門在外時使用。 ▲ FPM2 For Android - Google Play Android 應用程式 。

[完全用 GNU/Linux 工作] 22. 密碼管理員 - FPM2

圖片
Figaro's Password Manager 2 (fpm2) 是個基於 Figaro's Password Manager 並使用 GTK+ 2.0 改寫的密碼管理員。它除了會將各個數值使用 AES-256 演算法 (algorithm) 加密以外,還可與特定檔案進行二次加密,兼具安全性與便利性,是凍仁工作上的好幫手。

[完全用 GNU/Linux 工作] 07. 簡易的防火牆

圖片
從 2008 年開始 Ubuntu 8.04 LTS 多了個簡單的防火牆「 ufw (Uncomplicated Firewall) 」,它簡化了 iptable 複雜的指令及參數,讓人們能快速上手,之後更出現了圖形介面的 Gufw (甚至連指令都免了)。原先為了 Ubuntu 而誕生的 ufw 現在也成功移植到基於 Debian 發展的 GNU/Linux ( ezgo , Linux Mint ) 以及 Arch Linux 。

限制 phpMyAdmin 存取 IP on Debian 6

在架設 LAMP 環境時,剛入門 MySQL 的凍仁都會順手裝上 phpMyAdmin ,來管理資料庫,但這是個壞習慣,尤其是對已經上線的機器而言!若沒做好防護,就會敞開大門讓怪客 (cracker) 有機可乘!不過我們可以透過 只允許特定 IP 連線 來達到防護效果,以下將分別列出 Apache 以及 Nginx 的設定。

NTP - 網路校時

Network Time Protocol (NTP) 主要的用途是拿來做網路校時,這個名詞凍仁還是學生時就在計算機概論一課程聽過,卻不知其重要性,直到吃了大虧才知道很多情況下是不容許時間有誤差的,尤其是具有 唯一性 的時候,索性幫公司架設了台 NTP Server 並讓區網內所有的 Server 都與它校時,這樣一來可與上層校時,二來也可讓區網內部的 Server 時間具有 一致性 。 不能說從此就高枕無憂了,但狀況能少一個是一個,而且老舊的機器多少有些狀況,CMOS 換了也不見得有作用,既然可以靠軟體來解決就不必手軟了。

指紋辨識系統 on Ubuntu 10.04+

圖片
指紋辨識對凍仁而言是個很棒加值,除了可以幫 ThinkPad T410 開機以外,還免去了被人看到密碼的風險, 那個小熊軟糖請離凍仁的手指頭遠一點 ,美中不足的是還不能達到 Windows 上只需掃描一次就可開機並直接登入的效果,但或許這也是件好事,安全性與便利性是永遠的矛與盾啊! 不得不提的是 UPEK 的辨識率比起同事的 HP 高了不少, 據同事的說法是進了 Windows 就會很難用,反而在 BIOS 才比較好用,但重點是誰會一直待在 BIOS 使用指紋辨識啊?! 正常版的提示視窗 ( 資料來源 )。

IPv6 種子培訓 - Linux 筆記 (2)

圖片
1. 更改 root 預設密碼 能事先做好 CentOS 映像檔的確可省下不少時間,但相對的也得使用講師預設的密碼才可取得 root,其實只要於 第一次開機 時做以下動作就可以免去這個困擾。 1. 進入 Grub 後迅速按下任意鍵。

移除 CNNIC 憑證 on Linux

圖片
看到 chihchun 前輩的文章 ,裏面提到除了 CNNIC 自行發布的 CA Cert Root 外,其實 CNNIC 也已經取得 Entrust.net 所發布的次級憑證。 建議所有台灣政府單位,一律移除 CNNIC 相關憑證 。

【Book】Linux Server Hacks

圖片
  凍仁退伍時順道晃去天瓏買給自己的慰勞品-Linux Server Hacks 駭客一百招 by O'Reilly Taiwan,相信很多前輩早就買起來收藏了,想預覽的朋友們不仿點圖片連結進去,並使用 Google Preview 來觀看喔。   該睡了,明兒還得上班呢,等 Ubuntu 9.10 出來時再好好玩一遍囉。

【Quota】修改寬限時間(grace time)

當 user 超過 soft 時,寬限時間就會開始倒數。在寬限時間到期之前 user 還可使用剩下的空間直到 hard。不過要是在時間內沒降到 soft 以下,那麼 user 就無法新增檔案及使用剩下的空間。 jonny@ubuntu:~$ edquota -t 接下來進入編輯模式  GNU nano 2.0.6   檔案: /tmp//EdP.ae5PD58 Grace period before enforcing soft limits for users: Time units may be: days, hours, minutes, or seconds  Filesystem  Block grace period Inode grace period  /dev/sda7      7days      7days ^G 求助 ^O 寫入 ^R 讀檔 ^Y 上頁 ^K 剪下文字 ^C 游標位置 ^X 離開 ^J 對齊 ^W 搜尋 ^V 下頁 ^U UnCut Text^T 拼字檢查 延伸閱讀: ★ 【Quota】磁碟配額(Disk Quota) 資料來源: ★ Novell Suse Linux Enterprise Server 9 管理手冊 - ch7.6

quota - 磁碟配額

凍仁幫各個社團開帳號時,除了關閉 ssh 服務之外,還想限制各帳號的磁碟空間,以免被資源被濫用。在鳥哥得知有 quota 可限制空間,可凍仁卻有那麼點不懂,索性跟老闆借了 Novell Suse Linux Enterprise Server 9 管理手冊 一書才搞定。其中 usrquota 為單獨使用者; grpquota 為針對使用者群組設定配額。By the way, quota 除了限制磁碟空間大小之外,還可限制建立檔案的 inode (數量)。

殭屍電腦數量 台灣名列全球第六

作者:編輯部 刑事局於昨日發佈緊急通知指出,目前台灣遭駭客控制的BotNet電腦主機數量高居全球第六,更有上萬台電腦系統(含政府機關、學校、私人公司),遭受BotNet病毒危害,成為駭客操弄的機器,因此呼籲各級單位盡速清查以保護資訊安全。 這 次調查是由刑事局科技犯罪防制中心與微軟公司合作清查,結果竟發現,國內已有二百多台電腦成為BotNet病毒之控制主機,而政府機關或是各級學校單位亦 有上萬台電腦遭殃。依據微軟提供的資料顯示,台灣95年2月遭受BotNet病毒感染主機約為57,783台,至9月17日更高達88,136台,僅半年 期間,受感染數就快速增加。而這項數字在亞洲僅次於韓國,排名第二。 BotNet俗稱為殭屍網路-Zombie Network或機器人網路-Robot Network,若電腦遭感染成為疆屍網路,則駭客將可以藉由 IRC 等管道遠端控制受感染的主機,發動網路攻擊,包括竊取私密資料、網路釣魚(Phishing)、散佈垃圾郵件(SPAM)、發動分散式阻斷服務攻擊 (DDoS)—恐嚇被駭網站等,因BotNet具有自我複製並主動散播之特性,同時具有隱匿性,受感染之主機不易發覺。 而2004 年10月中國大陸河北駭客,操控6萬台BotNet主機連續三個月對北京某音樂網站發動攻擊,造成網站癱瘓、2005年的新型BotNet病毒Zotob 發動阻斷式服務攻擊多家美國知名公司網站等慘痛教訓,都讓臺灣當局不得不開始注意這個問題的嚴重性。因此,刑事局特別在這次的緊急通知當中提出下列防制策 略: 1、通知受害單位,進行網路系統檢測與強化防護措施。 2、請網路電腦使用者安裝防毒軟體且定期更新病毒碼,掃除已知BotNet病毒,定期修補主機漏洞,以免遭有心人士利用漏洞植入BotNet病毒。 3、 對於新興或變種之BotNet病毒,請使用TcpView軟體等網路連線偵測軟體,以檢測是否存有不正常連線動作或行為: BotNet病毒通常每隔5至10秒利用IRC通訊埠(6660-6669或7000,主要為6667)進行網路連線,惟仍有部分變種BotNet病毒更 改通訊埠通道,故必須隨時檢查不正常的網路連線狀況。 資料來源: 資安人 - 殭屍電腦數量 台灣名列全球第六

瀏覽器的安全

Indeepnight 2007/12/18 09:00 瀏覽器,應該是現在上網的一個重要軟體之一,早在筆者剛接觸網路時,老實說我真的不太愛用瀏覽器,因為頻寬太小、資料太大,比起來我還是喜歡用BBS來上網。 不過,在網路蓬勃發展的助長之下,現在家中沒有寬頻網路的人反而是少數(就連小學作業還有規定要上網找!?)所以瀏覽器也就跟著一同起飛,不過... 在現實中仍有許多令人頭疼的地方,尤其是現在軟體好像 上市時程 比完整性重要,不然就是為了安全性犧牲太多人性化的使用(預設值的選定)。 無論是早期的Netscape、Opera,還是有廣大使用者的IE(Windows內建)、Firefox,還是MAC上的Safari,甚至曾經紅極一時的WWW和TELNET並行的KKman或PCMan,我想都有一定的愛好者與使用族群.. 其實在網路上已經有了太多關於瀏覽器之間的爭論,不管是從記憶體的使用量(對系統的負擔)、安全性(線上金融最擔心的問題)、使用介面的便利性(使用者的年齡限制)來看,每家軟體各有利弊,我並不在這邊做太多的評論!(以免筆戰) 我僅針對自己的使用得來做分享,畢竟這只是我的個人觀感,並不全然代表那些軟體的良莠,各何況我相信每個軟體都有它自己獨特的優異性。 IE: 最常被人提出來討論,而且是市佔率最高的瀏覽器!基於安全性的理由,現在都建議使用IE6.0以上的版本(為了SSL的安全)。 除此之外,它也是所有網路銀行都支援的瀏覽器(因為市佔率或有M$的背書就不得而知),有些銀行可能同時支援IE和FIREFOX兩種瀏覽器,如果不支援FIREFOX的金融網站,除了有可能是看到亂碼之外,有些網站會主動偵測瀏覽器(非IE)而拒絕進入。 我最近才開始玩IE 7,雖然它已經發行了好一陣子,但是我並不喜歡身先士卒(安全性的考量),直到最近才開始使用,它新增了一些機制,釣魚網站的鑑別、搜尋引擎的新增、快速索引標籤及分頁功能應該就是主打的東西。 當然還有它們一直「引以為傲」的安全性,不過最近有聽一些年長的使用者吃盡了IE 7的苦頭,我想也是起因於安全性吧!因為它有不少安全性的設定是要自己確認的,尤其是互動式認證的憑證(金融網站常見),就連我也曾因此而親自跑一趟去重 置網銀的密碼(因為憑證無法正常掛上瀏覽器...),雖然最後解決了,但是對於其它不熟的使用者來說,這就成了一個很大的障礙。( 設...

Google:十分之一的網站很危險

CNET新聞專區:Tom Espiner 2007/05/16 13:17 網路使用者要當心了!Google公司警告,惡意軟體帶來的威脅愈演愈烈,可能趁使用者瀏覽某個特定網站時,悄悄鑽入他們的電腦。 搜尋引擎巨人Google對總計450萬個網站做了一項深入的研究報告,發現其中每十個網站就有一個可能順便把木馬程式病毒成功下載(drive-by download)到訪客的電腦裡。這類惡意軟體可能讓駭客存取存在電腦或其連線網路上的私密資料,或是安裝惡意的應用程式。 Google上周發表標題為〈瀏覽器潛在的魅影:網路惡意軟體之分析〉(The Ghost in the Browser: Analysis of Web-based Malware)的報告。報告中指出,網路惡意軟體興起,一大助因是網際網路在人們日常生活中扮演愈來愈重要的角色,而且架設網站愈來愈容易。 Sophos公司的資深技術顧問Graham Cluley說,Google的報告凸顯惡意程式日益猖獗的趨勢,而這帶給企業和個別的網路瀏覽者「一個不可輕忽的問題」。 Cluley說,4月間,每周新增的URL網址當中,平均有8,000個網址內含惡意軟體。他指出,以前總有人認為,惡意軟體只藏匿於網際網路陰暗的角 落,但這個觀念如今已不合時宜。據Sophos觀察,內含惡意軟體的網頁中,有高達70%是在合法的、但遭駭客鎖定的網站上發現的。 Cluley說,駭客為了把惡意軟體植入網站,會藉破解網路server安全防護、操縱使用者上傳內容、在廣告和第三方widgets程式動手腳等方式達到目的。 他說:「他們以前用電子郵件附加檔散布惡意軟體。現在的做法,則是散播包藏禍心的URL網址。」 Cluley提醒企業注意:「單是限制使用者不得造訪哪些網站,是不足以保護他們的。必須開始保護自家的網路存取(Web access)以及電子郵件匣道(e-mail gateway)才行。」 (唐慧文/譯) 資料來源: ★ ZDNet Taiwan - 新聞 - 企業軟體 - Google:十分之一的網站很危險

密碼、偷窺、web 2.0(下)

林宏嘉 2007/07/05 05:00 供應商不用負責?,同意我接受? 筆者對身邊的諸多友人做了個有關網路服務的小小實驗與調查,結果數據卻相當的有意思。受訪者有超過 八成八的網誌與相簿的使用者沒看完使用條款就按下同意我接受 、受訪者中有九成三不知道網誌與相簿上的資料必須使用者自己負責,如果被破解也是使用者要自行承擔風險。事實上,根據一般服務供應商的條款,往往要求使用者先行同意如下條款: 業者不承擔任何直接、間接、附帶、特別、衍生性或懲罰性賠償責任,其中包含您的傳輸或資料遭到未獲授權的存取或變造 您已認可業者對本服務內容加以任何事先審查,對會員的使用行為於技術上也無法進行全面控制,您使用任何內容時,包括依賴前述內容之正確性、完整性或實用性時,您同意將自行加以判斷並承擔所有風險,而不依賴於本站。 上述只是眾多條約的範例,也意謂著, 當你按下「我同意並接受條款」的按鈕時,你也自行宣布了放棄某些與你有切身相關的權利 。 或許有人會回應,這是免費服務啊!不然,你可以參加付費服務啊,你得到的安全性就會高得多。 但是筆者有著截然不同的觀點。套用電視、觀眾與廣告收入的邏輯:各位網民的內容與圖片就猶如電視不同的頻道與節目;電視節目的收益來自於收視率,收視率高 就會帶來更高的廣告效益。你能說,觀眾看的是免費節目嗎?場景換到網路,網民們表面上是憑白賺到相簿空間與所謂的人氣,殊不知,網站其實因此獲得了龐大的 廣告收入-- 他的服務終究不是白給的 。 真相是,供應商並沒有因為廣告收入而加強安全機制,反而以一個條款來規避他的責任。供應商對安全難道可以置身事外?你的隱私與創作應該不只值這些吧? 免費的代價卻是連安全性都不保的服務 ?越來越多的破解事件若讓BSP (Blogger service provider)及相簿服務供應商一再不被檢討地逃過,放任的結果恐怕將助長未來破解發生頻率的惡化。 幾條條款就想輕易和責任「切割」,小心一刀割裂使用者的信任:當放置在上面的資料、照片的隱密與安全性已經不存在,你還願意再使用他的服務? 其實根據筆者在資安業界工作的經驗,現今安全技術要保護使用者並非難事;對供應商而言,從使用者身分辨識管理、單一簽入機制到網路行為的深度鑑識,在在都可以幫助服務供應商遏止犯罪事件的發生。 自保之道 在供應商採取適當行動之前,此時網民們只能尋求自我的保護;其實因為所有的程式等...

密碼、偷窺、web 2.0(上)

林宏嘉 2007/07/05 05:00 隨著Web 2.0變成當紅名詞,網路相簿或部落格也成為時興玩意。火紅程度讓最近淡大粉紅妹、黑澀會美眉、土耳其出賣男等五字訣的相簿被破解或親密照外流的新聞變成大家茶餘飯後的話題。 新聞熱鬧過後,作為資安工作者 同時也是網路重度使用者的筆者認為,這類應用的安全疑慮其實值得探討;這些新聞反映出由訪客、Blogger、 服務供應商構成對資訊隱私的危害。 網路偷窺時代到來? CNET告訴我,該公司文章近來最受網友歡迎且留言眾多的文章是 如何破解BIOS密碼 及 專家:密碼防護己顯不足 。 這二篇為什麼那麼多人看,老實說和內文無關;如果讀者有耐心一篇篇點進去看留言,可以發現絕大多數的網友都希望能找到破解某個網路服務如Web mail或相簿某個密碼掉了或被駭的帳號。但每個破解、偷窺的理由是否都如此冠冕堂皇?破解密碼的動機,可能是老公為了掌握老婆行蹤、男女朋友為了偷看是 否有情敵、職場競爭對手則想致敵機先而絞盡腦汁。 這又讓我聯想起一位友人的事。我這位友人有著一位美若天仙的賢內助,己婚的她仍然是辦公室注目的焦點且愛慕者不斷。端午假期空檔他約了我說有重要事情詳 談。談話中他敘述了內心對婚姻維繫的擔憂,而且為此花費了不知多少心力去刺探他夫人的一切通訊--即時通訊、網路郵件、網誌以及網路相簿。其實他正希望筆 者能幫幫他,將各種他夫人已經上鎖的網路相簿等一一解碼!當然他並未從我這得到任何技術與實質上的協助(看了後面讀者就知道原因為何)。當事人的行為道德 並不在本文討論範圍,而是讓我對破解與偷窺有了新的認知;它讓我見識到,原來網路偷窺的世代已然到來—而且十分普及。 偷窺的代價 在為所欲為的網際網路,刺探隱私早就從該不該、能不能演變為要不要與想不想的問題。垂手可得的工具、眼花撩亂的討論區更助長了破解門檻的降低。當破解變得輕而易舉,有多少人抵抗得了這誘惑?像是黑澀會美眉的相簿,明明有密碼,卻還是給人破門而入。 但很多人可能忽略了,在滿足了感官及好奇心後,之後須付出的必然代價。以台灣的法律而言,破解他人加密的網路相簿,瀏覽並抓取照片就已經觸犯了刑法第 358、359條;而換成實際的處罰來看那應該將是五年以下的刑罰與數十萬元罰款,只要被窺者提出相當的數位證據與相關證明並未授權其瀏覽,那麼偷窺者, 你的代價其實相當高!至於在網路上,協助散佈流傳的人,根據 刑...