Re: PKI self-service

2016-09-14 Пенетрантность Bogdan 
Добрый день!

Спасибо за ответы, судя по всему готового решения нет (что крайне странно).
Писать самостоятельно продукт такого рода - опасно и дорого.
FreeIPA смотрю, но так и не понял пока, где там могла бы быть подобная
функциональность.

2016-09-14 19:15 GMT+03:00 Tim Sattarov :

> On 14/09/16 04:55 AM, Bogdan wrote:
> > Добрый день!
> >
> > Ищу решение для самообслуживания: нужно дать возможность
> > авторизованным пользователям выпускать клиентские сертификаты и
> > автоматически подписывать их специальным отдельным CA-ключем.
> >
> > Авторизация пользователей - во LDAP. Очень желательно иметь
> > автоматическое управление CRL/OCSP (пользователь пропал из LDAP - все
> > его сертификаты автоматически отзываются)
> Как вариант можно посмотреть на FreeIPA, но под Дебьян он ущербный и не
> самой последней версии.
>
>


-- 
WBR,  Bogdan B. Rudas

Re: [DONE] wml://{security/2016/dsa-3666.wml}

2016-09-14 Пенетрантность Vladimir Zhbanov 
On Wed, Sep 14, 2016 at 10:28:13PM +0500, Lev Lamberov wrote:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA512
> 
> - --- english/security/2016/dsa-3666.wml  2016-09-14 20:22:48.0 
> +0500
> +++ russian/security/2016/dsa-3666.wml2016-09-14 22:28:06.734711729 
> +0500
> @@ -1,13 +1,14 @@
> - -security update
> +#use wml::debian::translation-check translation="1.1" maintainer="Lev 
> Lamberov"
> +обновление безопасности
>  
> - -Dawid Golunski discovered that the mysqld_safe wrapper provided by the
> - -MySQL database server insufficiently restricted the load path for custom
> - -malloc implementations, which could result in privilege escalation.
> +Давид Голунский обнаружил, что обёрточная функция mysqld_safe, 
> предоставляемая
> +сервером баз данных MySQL недостаточно ограничивает путь загрузки собственных
> +реализаций malloc, что может приводить к повышению привилегий.
>  
> - -The vulnerability was addressed by upgrading MySQL to the new upstream
> - -version 5.5.52, which includes additional changes, such as performance
> - -improvements, bug fixes, new features, and possibly incompatible
> - -changes. Please see the MySQL 5.5 Release Notes for further details:
> +Эта уязвимость исправлена путём обновления MySQL до новой версии
> +из основной ветки разработки, 5.5.52, которая включает в себя и другие 
> изменения, такие как
> +улучшения производительности, исправления ошибок, новые возможности, а также
> +возможные изменения, нарушающие обратную совместимость. За подробностями 
> обращайтесь к информации о выпуске MySQL 5.5:

я бы написал "Подробности см. в информации о выпуске..."

>  
>  
>   href="https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-51.html;>\
> @@ -16,10 +17,10 @@
>  https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-52.html
>  
>  
> - -For the stable distribution (jessie), this problem has been fixed in
> - -version 5.5.52-0+deb8u1.
> +В стабильном выпуске (jessie) эта проблема была исправлена в
> +версии 5.5.52-0+deb8u1.
>  
> - -We recommend that you upgrade your mysql-5.5 packages.
> +Рекомендуется обновить пакеты mysql-5.5.
>  
>  
>  # do not modify the following line
> -BEGIN PGP SIGNATURE-
> 
> iQIcBAEBCgAGBQJX2YipAAoJEF7nbuICFtKlrnkP/RnRLORvt3d+6CufX3VBQ+HK
> aMCMxet7t6heY3m51Hce1oBCq5zAlGyCdFpjvYvbTigZK0qrzVGWzUpqTIqKhW7c
> ej6ajIeET9eC90GSiM42pVfhFuHgOOJHaZmedhNKvg48/3FYe22TG3TPXMQYk4mX
> PUopvNX1NnGyPASfb/9+UA5LdLie9VkOrltFHVS2FLzI+AGWmsFkvGHESWuWPhwk
> 0ltIHsYBZjuKeWNZmUeJWBqc4pSPZPpvq/zBnSkS4bwHKzu6oU+ATForvXU4PWLP
> S1fcSeXmU8I5HYe3qlW2aHFiD7Zh4AYQfWAFwOK37Y90fW8vXQhL4VyKUramnW8d
> YM7sL0gx3TKQosdjWINUTNdHa4rsnYb9rM7Ukt2XtROKNyj7oaWlDB6x9ywd5o+s
> TJefS17Hl78kT8BsrmtWvsMrFT6te+VPlAgMYzlIMeMCXursvgnvduJlcMFxPTtL
> IlhBxGG7DDOpb0BzN77vW0W8x7ClO0UU+LDYBSQ5g72bsAH/hbf2vZxTbIGxCJQY
> EFw/0OFY84OrNiNtXwT1Eq/XsS905AgKEP2tmTe/O6W9a5DlW1sIdkhAspCyhgr/
> NoVzZwVgzmsbzMnnFQmf5Iy0vfzsPmjUGsLcz1KqblKEkx7CV+Is/UC3xTLKe48U
> GiZyqXwk1SbYbH2DekAB
> =N0o0
> -END PGP SIGNATURE-
> 

-- 
  Vladimir

[DONE] wml://security/2007/dsa-1{335,371,276}.wml

2016-09-14 Пенетрантность Lev Lamberov 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/security/2007/dsa-1276.wml2014-04-30 13:16:12.0 
+0600
+++ russian/security/2007/dsa-1276.wml  2016-09-15 00:42:31.168233126 +0500
@@ -1,40 +1,41 @@
- -several vulnerabilities
+#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov"
+несколько уязвимостей
 
- -Several remote vulnerabilities have been discovered in the MIT reference
- -implementation of the Kerberos network authentication protocol suite,
- -which may lead to the execution of arbitrary code. The Common 
- -Vulnerabilities and Exposures project identifies the following problems:
+В эталонной реализации набора 
протоколов сетевой аутентификации Kerberos от 
MIT,
+было обнаружено несколько удалённых 
уязвимостей,
+которые могут приводить к выполнению 
произвольного кода. Проект Common
+Vulnerabilities and Exposures определяет следующие 
проблемы:
 
 
 
 https://security-tracker.debian.org/tracker/CVE-2007-0956;>CVE-2007-0956
 
- -It was discovered that the krb5 telnet daemon performs insufficient
- -validation of usernames, which might allow unauthorized logins or
- -privilege escalation.
+Было обнаружено, что telnet-служба krb5 
выполняет недостаточные проверки
+имён пользователей, что может позволить 
выполнять неавторизованный вход или
+повышать привилегии.
 
 https://security-tracker.debian.org/tracker/CVE-2007-0957;>CVE-2007-0957
 
- -iDefense discovered that a buffer overflow in the logging code of the
- -KDC and the administration daemon might lead to arbitrary code
- -execution.
+Сотрудники iDefense обнаружили, что 
переполнение буфера в коде журналирования
+KDC и службе администрирования может 
приводить к выполнению произвольного
+кода.
 
 https://security-tracker.debian.org/tracker/CVE-2007-1216;>CVE-2007-1216
 
- -It was discovered that a double free in the RPCSEC_GSS part of the 
- -GSS library code might lead to arbitrary code execution.
+Было обнаружено, что двойное 
освобождение в части RPCSEC_GSS кода библиотеки
+GSS может приводить к выполнению 
произвольного кода.
 
 
 
- -For the stable distribution (sarge) these problems have been fixed in
- -version 1.3.6-2sarge4.
+В стабильном выпуске (sarge) эти проблемы 
были исправлены в
+версии 1.3.6-2sarge4.
 
- -For the upcoming stable distribution (etch) these problems have been fixed
- -in version 1.4.4-7etch1.
+В готовящемся стабильном выпуске (etch) эти 
проблемы были исправлены
+в версии 1.4.4-7etch1.
 
- -For the unstable distribution (sid) these problems will be fixed soon.
+В нестабильном выпуске (sid) эти проблемы 
будут исправлены позже.
 
- -We recommend that you upgrade your Kerberos packages.
+Рекомендуется обновить пакеты Kerberos.
 
 
 # do not modify the following line
- --- english/security/2007/dsa-1335.wml2014-04-30 13:16:12.0 
+0600
+++ russian/security/2007/dsa-1335.wml  2016-09-15 00:19:45.534179981 +0500
@@ -1,38 +1,39 @@
- -several vulnerabilities
+#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov"
+несколько уязвимостей
 
- -Several remote vulnerabilities have been discovered in Gimp, the GNU Image
- -Manipulation Program, which might lead to the execution of arbitrary code.
- -The Common Vulnerabilities and Exposures project identifies the following
- -problems:
+В Gimp, GNU Image Manipulation Program, было обнаружено 
несколько удалённых
+уязвимостей, которые могут приводить к 
выполнению произвольного кода.
+Проект Common Vulnerabilities and Exposures определяет 
следующие
+проблемы:
 
 
 
 https://security-tracker.debian.org/tracker/CVE-2006-4519;>CVE-2006-4519
 
- -Sean Larsson discovered several integer overflows in the processing
- -code for DICOM, PNM, PSD, RAS, XBM and XWD images, which might lead
- -to the execution of arbitrary code if a user is tricked into opening
- -such a malformed media file.
+Шон Ларсон обнаружил несколько 
переполнений целых чисел в коде обработки
+

[DONE] wml://{security/2016/dsa-3666.wml}

2016-09-14 Пенетрантность Lev Lamberov 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/security/2016/dsa-3666.wml2016-09-14 20:22:48.0 
+0500
+++ russian/security/2016/dsa-3666.wml  2016-09-14 22:28:06.734711729 +0500
@@ -1,13 +1,14 @@
- -security update
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+обновление 
безопасности
 
- -Dawid Golunski discovered that the mysqld_safe wrapper provided by the
- -MySQL database server insufficiently restricted the load path for custom
- -malloc implementations, which could result in privilege escalation.
+Давид Голунский обнаружил, что 
обёрточная функция mysqld_safe, предоставляемая
+сервером баз данных MySQL недостаточно 
ограничивает путь загрузки собственных
+реализаций malloc, что может приводить к 
повышению привилегий.
 
- -The vulnerability was addressed by upgrading MySQL to the new upstream
- -version 5.5.52, which includes additional changes, such as performance
- -improvements, bug fixes, new features, and possibly incompatible
- -changes. Please see the MySQL 5.5 Release Notes for further details:
+Эта уязвимость исправлена путём 
обновления MySQL до новой версии
+из основной ветки разработки, 5.5.52, которая 
включает в себя и другие изменения, такие 
как
+улучшения производительности, 
исправления ошибок, новые возможности, а 
также
+возможные изменения, нарушающие обратную 
совместимость. За подробностями 
обращайтесь к информации о выпуске MySQL 5.5:
 
 
 https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-51.html;>\
@@ -16,10 +17,10 @@
 https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-52.html
 
 
- -For the stable distribution (jessie), this problem has been fixed in
- -version 5.5.52-0+deb8u1.
+В стабильном выпуске (jessie) эта проблема 
была исправлена в
+версии 5.5.52-0+deb8u1.
 
- -We recommend that you upgrade your mysql-5.5 packages.
+Рекомендуется обновить пакеты mysql-5.5.
 
 
 # do not modify the following line
-BEGIN PGP SIGNATURE-
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=N0o0
-END PGP SIGNATURE-

Re: PKI self-service

2016-09-14 Пенетрантность Tim Sattarov 
On 14/09/16 04:55 AM, Bogdan wrote:
> Добрый день!
>
> Ищу решение для самообслуживания: нужно дать возможность
> авторизованным пользователям выпускать клиентские сертификаты и
> автоматически подписывать их специальным отдельным CA-ключем.
>
> Авторизация пользователей - во LDAP. Очень желательно иметь
> автоматическое управление CRL/OCSP (пользователь пропал из LDAP - все
> его сертификаты автоматически отзываются)
Как вариант можно посмотреть на FreeIPA, но под Дебьян он ущербный и не
самой последней версии.

Re: PKI self-service

2016-09-14 Пенетрантность Коротаев Руслан 
В сообщении от [Ср 2016-09-14 11:55 +0300]
Bogdan  пишет:

> Ищу решение для самообслуживания: нужно дать возможность авторизованным
> пользователям выпускать клиентские сертификаты и автоматически подписывать их
> специальным отдельным CA-ключем.
> 
> Авторизация пользователей - во LDAP. Очень желательно иметь автоматическое
> управление CRL/OCSP (пользователь пропал из LDAP - все его сертификаты
> автоматически отзываются)
> 
> Как такой тип ПО вообще правильно называется, задача очевидная и должна иметь
> ряд решений, но не могу задать правильный вопрос гуглу.

Если вы спрашиваете про инструменты, то значит вы ещё не создали свой
центр сертификации, тогда у гугла можно спросить: «Как создать
собственный центр сертификации?» В самом простом случае это выглядит
как-то так [1], ну а дальше смотреть как можно выдавать доверенности на
выпуск сертификатов, работать с отозванными и какие инструменты
использовать.

[1]: 
http://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/безопасность/certificates

-- 
Коротаев Руслан
https://blog.kr.pp.ru

Re: PKI self-service

2016-09-14 Пенетрантность Victor Wagner 
On Wed, 14 Sep 2016 12:57:55 +0300
Eugene Berdnikov  wrote:

> On Wed, Sep 14, 2016 at 11:55:21AM +0300, Bogdan wrote:
> > Ищу решение для самообслуживания: нужно дать возможность
> > авторизованным пользователям выпускать клиентские сертификаты и
> > автоматически подписывать их специальным отдельным CA-ключем.  
> 
>  "Автоматически подписывать их специальным отдельным CA-ключем"
> означает, что это ключ должен быть нешифрован и находиться в сетевом
> доступе.

Что он должен находиться в сетевом доступе - не значит.

Он может находиться на отдельном компьютере, изолированном от сети.
Главное, чтобы существовала автоматическая процедура, позволяющая
забрать по какому-то каналу (не обязательно являющемуся полноценной
сетью, предоставляющей полноценный удаленный доступ), заявки и вернуть
подписанные сертификаты, выполнив в процессе произвольное количество
проверок.

Мы, например как-то разрабатывали конструкцию, когда собственно УЦ
коннектился к регистрирующему центру (имеющему сетевой доступ) через 
последовательный порт и изображал из себя юзера последовательного
терминала, получая заявки с помощью команды cat и в нее же передавая
подписанные сертификаты.

Кроме того, ключ CA может хранится в аппаратном токене. Это несколько
меньший уровень защищенности, так как человек, получивший рутовый
доступ к компьютеру, куда воткнут токен, может подписать на нем что
угодно, но существенно более высокий чем хранение ключа в файле,
который злоумышленник может скопировать.

> 
> > Авторизация пользователей - во LDAP. Очень желательно иметь
> > автоматическое управление CRL/OCSP (пользователь пропал из LDAP -
> > все его сертификаты автоматически отзываются)  
> 
>  И для этой задачи нужно держать нешифрованный ключ CA в сетевом
> доступе.

Тут тем более все не так. Ключ OCSP-респондера и ключ CA это в общем
случае разные ключи. И протокол OCSP сдизайнен таким образом именно
потому, что ключ OCSP-респондера должен использоваться для выработки
подписей на компьютере, подключенном к сети.

Ну и вообще для специализированного СA, клиентские сертификаты которого
дают доступ только к ограниченному набору сервисов, например vpn,
наличие ключа на компьютере с сетевым доступом не обязательно является
неприемлемым секьюрити-риском.

Кстати, рекомендую внимательно прочитать раздел PATH PHRASE ARGUMENTS в
openssl(1). То, что там написано может помочь избежать хранения
незашифрованного ключа и пассфразы к зашифрованному ключа на диске
компьютера, подключенного к сети, аналогично тому как ключи для ssh
или gpg хранятся в памяти специальной  программы-агента.

 
>  Правильный ответ: openssl и руки. В модуле "ca" есть вполне рабочий
> набор функционала для массовой (поточной) обработки, который можно
> вставить в полностью автоматизированную среду. Проверено, работает.

На самом деле это не совсем правильный ответ. Потому что написание
удостоверяющих центров, тем более таких, от которых требуется высокая
usability, которая, как известно, прямо противоречит security, задача,
имеющая уйму тонкостей. Поэтому посмотреть на известные реализации было
бы крайне полезно. Но, к сожалению посоветовать реализацию, у которой
стоит поучиться "как надо" я не могу. Можно на примере разных
реализаций клиента Let's Encrypt разобрать "как совсем не надо", и "как
относительно приемлемо".

Re: PKI self-service

2016-09-14 Пенетрантность Eugene Berdnikov 
On Wed, Sep 14, 2016 at 11:55:21AM +0300, Bogdan wrote:
> Ищу решение для самообслуживания: нужно дать возможность авторизованным
> пользователям выпускать клиентские сертификаты и автоматически подписывать
> их специальным отдельным CA-ключем.

 "Автоматически подписывать их специальным отдельным CA-ключем" означает,
 что это ключ должен быть нешифрован и находиться в сетевом доступе.

> Авторизация пользователей - во LDAP. Очень желательно иметь автоматическое
> управление CRL/OCSP (пользователь пропал из LDAP - все его сертификаты
> автоматически отзываются)

 И для этой задачи нужно держать нешифрованный ключ CA в сетевом доступе.

> Как такой тип ПО вообще правильно называется, задача очевидная и должна
> иметь ряд решений, но не могу задать правильный вопрос гуглу.

 Правильный ответ: openssl и руки. В модуле "ca" есть вполне рабочий набор
 функционала для массовой (поточной) обработки, который можно вставить
 в полностью автоматизированную среду. Проверено, работает.
-- 
 Eugene Berdnikov

Re: PKI self-service

2016-09-14 Пенетрантность Victor Wagner 
On Wed, 14 Sep 2016 11:55:21 +0300
Bogdan  wrote:

> Добрый день!
> 
> Ищу решение для самообслуживания: нужно дать возможность
> авторизованным пользователям выпускать клиентские сертификаты и
> автоматически подписывать их специальным отдельным CA-ключем.
> 
> Авторизация пользователей - во LDAP. Очень желательно иметь
> автоматическое управление CRL/OCSP (пользователь пропал из LDAP - все
> его сертификаты автоматически отзываются)
> 
> Как такой тип ПО вообще правильно называется, задача очевидная и
> должна иметь ряд решений, но не могу задать правильный вопрос гуглу.
> 
> Спасибо.
> 

Такой тип ПО называется "Удостоверяющий центр" или "Certification
authority". Вот только готовых тиражируемых решений для вот такого
(экстремально низкого) уровня безопасности, когда авторизованный
пользователь может сам себе без дополнительных проверок выписать
клиентский сертификат, я не знаю.

EasyRSA она все таки про случай, когда все сертификаты под контролем
одного системного администратора.

Так то в принципе оно за полдня пишется на базе утилиты openssl.
Только еще какой poll для ldap придется написать, чтобы отслеживать
изменения в ldap. И понадобится явно интерфейс для отзыва сертификата
авторизованным пользователем без удаления этого пользователя из ldap.
--

PKI self-service

2016-09-14 Пенетрантность Bogdan 
Добрый день!

Ищу решение для самообслуживания: нужно дать возможность авторизованным
пользователям выпускать клиентские сертификаты и автоматически подписывать
их специальным отдельным CA-ключем.

Авторизация пользователей - во LDAP. Очень желательно иметь автоматическое
управление CRL/OCSP (пользователь пропал из LDAP - все его сертификаты
автоматически отзываются)

Как такой тип ПО вообще правильно называется, задача очевидная и должна
иметь ряд решений, но не могу задать правильный вопрос гуглу.

Спасибо.

-- 
WBR,  Bogdan B. Rudas

Re: Тестирование DNS в lxc контейнере.

2016-09-14 Пенетрантность Иван Лох 
On Tue, Sep 06, 2016 at 10:45:32AM +0300, Eugene Berdnikov wrote:
> > Но независимо от того чем эта конфигурация привлекательна, она штатная
> > и kvm работает из коробки, также как и другие программы. В отличии
> > от VirtualBox. 
> 
>  В каком смысле, 64-битный VirtualBox не запускается в 32-битной
>  системе под 64-битным ядром, у которого все виртуалбоксовые
>  64-битные модули подгружены? 

Да