Re: Onödiga öppn a portar
On Thu, Feb 23, 2006 at 08:29:30PM +0100, Peter Carlsson wrote: debian:~# nmap 192.168.0.3 Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-02-23 20:24 CET Interesting ports on 192.168.0.3: (The 1653 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 9/tcpopen discard 13/tcp open daytime [...] Kolla i /etc/inetd.conf och kommentera bort att du inte vill ha. Latmanslösningen: http://www.debian.org/doc/manuals/securing-debian-howto/ # aptitude install bastille tiger På deb http://www.northernsecurity.net/debian ./ finns ett virtuellt paket kallat lockdown som har beroenden på bland annat bastille, tiger, libpam-tmpdir och openntpd. /Thomas -- signature.asc Description: Digital signature
Re: Säkerhetsuppdaterin g av clamav i sarge och bug 320014
On Mon, Aug 01, 2005 at 12:30:11PM +0200, Martin Leben wrote: Hej på er i sommarvärmen^H^H^H^H^H^Hregnet! Är det någon som vet varför inte clamav i sarge uppdaterats på sistone? Kolla in http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=320014 /Thomas -- signature.asc Description: Digital signature
Re: Säkerhetsuppdaterin g av clamav i sarge och bug 320014
On Mon, Aug 01, 2005 at 12:30:11PM +0200, Martin Leben wrote: [2] http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=320014 Ursäkta, var lite för snabb där. Du hade länken i ditt mail. ftp-master is still down, so uploads of updated packages are currently impossible. /Thomas -- signature.asc Description: Digital signature
Re: GnuPG
On Fri, Aug 13, 2004 at 11:59:06PM +0200, kringla wrote: Kan du som mottagare av nyckeln då verifiera att nyckeln är den korrekta? Tänk t.ex. att båda nyckel och fingerprint (signatur?) byts ut av onda hackare. Då kan man väl inte vara säker? Det är därför man signerar varandras nycklar. Det bästa vore ju att skicka signaturen med ett vykort/brev på posten eller överlämna manuellt, men det är ju inte så praktiskt. Manuellt överlämning och kontroll av id-handlingar etc är naturligtvis ett krav för att du ska signera nyckeln och på så vis kunna vara säker på att rätt person har rätt nyckel. /Thomas -- == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: OT: Grillning i Slottskogen den 15/5?
On Mon, May 03, 2004 at 11:10:20PM +0200, Joakim Nordberg wrote: Hej Alla, Jag minns att jag sett detta någonstans men hittar det inte igen... Någon här som kommer ihåg? http://www.fsfeurope.org/se/events/picnic.sv.html /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: Låsa användar e till sitt /home
On Mon, Jan 12, 2004 at 11:25:09AM +0100, Anders Arnholm wrote: Jag skulle vilja säga att din säkerhettanke skiljer sig totalt i från den dominerade säkerhets tanken i Unix. Den domininerande säkerhetstanken i Unix? Jag kanske har missat något men finns det en sådan? Om säkerhetstanken är den att man kan sätta/ta bort rättigheter för grupper och användare så är det bara bra att man skiljer sig totalt från den säkerhetstanken. Visst kan man komma en bit med att använda sig av det (vilket man ska), men vad skyddar det om användarna har tillgång till en massa program som dom inte behöver? Det är bara en onödig risk. Det du vill göra går att fixa med ett chroot skydd, men är dert bra, effektivt och vad gör det extra som du tänkt fel någonstanns. Har man väl satt upp en chroot-miljö för sina användare är det enkelt att hålla den uppdaterat och fungerande. Nu ska detta inte tolkas som om jag tror chroot är den bästa säkerhetslösningen, de vanliga reglerna gäller med uppdateringar och chroot skyddar inte mot kernel-hål osv osv. Bygger du ett chrootat jail så stänger du också in användarna till att inte komma år installerar programvara på den normala vägen. Det är ju hela poängen. Varför ska vanliga användare få till gång till su(do), chroot, gcc och mycket mer om de inte behöver det? /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: Låsa användar e till sitt /home
On Sun, Jan 11, 2004 at 12:03:29AM +0100, Marcus Lindström wrote: Nu har jag iaf ändrat så det bara går att köra ssh och inte telnet. Jag har för avsikt att sätta upp en ftp-server lite senare, men just till webservern vill jag bara göra denna lilla ändring. Jag har en user som jag döpt till demo, och det är denna jag vill sätta dessa begränsningar på. Hur skriver jag för att chroota demo? först behöver du installera scponly (finns tillgänglig för unstable, vet inte om så är fallet för stable). lägg till scponlyc till /etc/shells but ut standardskalet för demo-användaren till scponlyc nu behöver du flytta över lite libbar och filer för att allt ska fungera. tycker du ska ta en titt i INSTALL-filen och den shell-skriptet som finns för att underlätta allt det här. all info finns i den vanliga paketet för scponly: http://www.sublimation.org/scponly/scponly-3.9.tgz /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: Låsa användar e till sitt /home
On Sat, Jan 10, 2004 at 06:02:30PM +0100, Marcus Lindström wrote: Har för ett litet tag sedan satt upp en debian webserver. Jag skulle vilja låsa mina användare till enbart sitt home. Så när dom kör Telnet eller SSH så ska dom inte kunna flytta sig utanför tex /home/kalle. Dom ska dock kunna skapa egna kataloger/filer och röra sig i dessa, men inte ta sig längre upp än till /home/kalle i strukturen. Vad du behöver göra är att chroot:a din användare till /home/kalle till exempel. Om du ska använda det till din webbserver så kanske en ftp-server skulle vara ett bra alternativ, det flesta stödjer nämligen chroot. Om du vill att dom ska använda ssh så kan du kolla in scponly[1]. [1] http://www.sublimation.org/scponly/ /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: FTP
On Sun, Dec 21, 2003 at 09:53:29PM +0100, Jostein Martinsen wrote: Tjena Jag tänkte höra med er om vilken ftp-server man skall köra? Det måste gå att ha konton, inte bara anonym inloggning alltså. Kolla in PureFTP (http://www.pureftpd.org/). Stödjer chroot(), SSL/TLS och virtuella konton. /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: CD-ripper
On Fri, Dec 19, 2003 at 05:53:14PM +0100, Ivar Alm wrote: Nåt bra paket med progg för att rippa en cd-skiva till tex iso, eller bin/cue? Inte bara rippa audiospår som jag hittar överallt på google... dd exempel: dd if=/dev/cdrom of=filnamn.iso /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: Ett par frågor...
On Mon, Dec 15, 2003 at 05:48:22PM +0100, TmBerg wrote: Christoffer Sawicki wrote: Tyckte jag sa det på IRC men ändå: Du får lätta lite på säkerheten i grsec. Tror inte det beror på Grsec heller. :( Nu kanske jag är helt ute och snurrar då jag inte följt eran diskussion på IRC, men det som kan pajja[1] program under Grsec är PaX. Om du får ett meddelande att en process blivit dödad när du kollar vad dmesg rapporterar så beror det oftast på det. Programmet för att ändra flaggor på filer under PaX heter chpax[2] [1] Egentligen är det inte PaX som pajjar programmen, utan att programmen inte kan hantera de riktlinjer som satts upp. Detta går att fixa genom att bygga om dom. Mer info finns på http://www.adamantix.org/development.html [2] http://pageexec.virtualave.net/chpax-0.5.tar.gz /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: Martian source
On Wed, Nov 26, 2003 at 05:38:32PM +0100, Gunnar Norling wrote: Har försökt hitta information angående vad loggen från martian source egentligen betyder. Det verkar som en martian logg kommer i par: Nov 26 17:03:10 myhost kernel: martian source X.X.X.X from 127.0.0.1, on dev eth0 Nov 26 17:03:10 myhost kernel: ll header: 00:08:c7:8f:96:d9:00:d0:52:0b:40:ee:08:00 [...] Men hur ska jag tolka loggen? Är det någon som skickar information till mig (till X.X.X.X via eth0) men utger sig vara 127.0.0.1 (vilket blir en martian ?) eller är det mitt egna nätverk som generarer en martian source? Det kan vara båda, men det är vanligtvis egna maskiner i nätverket som genereras det. Martian är när paket som kommer från ett ställe dom inte förväntas komma ifrån. Om du vill så kan du stänga av loggningen via /proc/sys/net/ipv4/conf/*/log_martians /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: SFTP vs VSFTP.
On Fri, Oct 31, 2003 at 02:59:30PM +0100, Tommy Dugandzic wrote: 1. Vad vore säkrast mot intrång - att installera en vsftpd-server eller skapa vanliga shellkonton så användare kan använda sftp (via ssh)? vsftpd är nog smidigare att sätta upp, den chrootar användare men skickar användarnamn och lösenord i klartext (precis som vanlig ftp) sftp kräver skal, lite bökigare att sätta upp vettigt och fungerar som ssh (inloggade kan gå runt i systemet) 2. Vilken är din fria favorit-sftp-klient för GNU/Debian? M$ Windows har en användarvänlig sådan: http://winscp.sourceforge.net/eng/screenshots/large/commander.gif sftp 3. Räcker det om jag skapar ett vanligt shellkonto där jag ändrar shellet till /bin/false, ifall jag vill tillåta ett gäng användare få tillgång till en katalog och dess filer på min dator? Nej, sftp kräver ett skal precis som ssh. du kan däremot använda /usr/lib/sftp-server som skal för att begränsa inloggningen till sftp. som tidigare var sagt så får inte användare tillgång till _en_ katalog utan kan gå runt i systemet precis som om användaren logga in med ssh. det går dock att chroota användare och se till att dom enbart kan logga in med sftp, se nedan. Vore det helt säkert? nej. en bökigare men säkrare variant är nog följande: . konfigurera och bygg en kernel + grsecurity [1] . chroota de användare som ska få sftp-konto [2] . byt ut användarnas skal i chroot till /usr/lib/sftp-server . använd grsecuritys acl system och göm /home i chroot och sätt så att alla andra filer i chroot förutom i hemkatalogerna enbart kan läsas [1] www.grsecurity.org [2] www.gsyc.inf.uc3m.es/~assman/jail/index.html /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: Fakturerings/ekonomi system
On Mon, Oct 27, 2003 at 12:17:03PM +0100, joakim wrote: jag undrar om det är någon som har några tips på Fakturerings/Ekonomi sys för enmans- små företag som är anpassat för Svenska förhållanden, önskar att det ska vara GNU/GPL eller annan typ av öppna licence ( jag vill ju kunna köra VRMS utan problem :-) ). har tittat lite på GNUe men det känns lite väl stort. några förslag? Kanske GnuCash kan vara något? http://www.gnucash.org/ /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: Mängder av skräpbre v
On Mon, Oct 13, 2003 at 11:27:45PM +0200, Anders Lövgren wrote: Håller med. Eftersom WU går att automatisera (sedan win2000?), borde fler göra det. Det kanske kommer i framtiden ändå, om MS får som dom vill :-) Fler borde se sig om efter alternativ till outlook, fler borde skaffa sig ett AV-skydd, ... Datorer är ändå lätt att hålla uppdaterade med rätt enkla medel. Men det kräver ju också att patcharna som släpps fixar hålen också. Och om folk har lite svårt att hålla sina datorer patchade hur kommer det då se ut när mobiltelefoner med MMS, e-post, javastöd, internet uppkoppling bli vanligare? /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: Mängder av skräpbre v
On Mon, Sep 22, 2003 at 10:52:35AM +0200, Martin Leben wrote: I fredags skickade jag mitt första brev till denna lista. Efterssom jag är lite paranoid använder jag en temporär daterad epostadress. Sedan dess har jag fått ca 85 skräpbrev till denna adress, varav dom flesta innehöll virus. Det trillar in nytt skräp hela tiden. (Skräpet var naturligtvis adresserat direkt till mej, inte till listan.) Som du märkte så är att använda en temporär e-mail ingen lösning om man är paranoid, prova mixmaster om vill skicka anonyma brev. jag håller på att skriva om mutt, gpg och mixmaster så om du/ni är intresserade så kan jag höra av mig när den är klar. Om mailen har Microsoft som avsändarnamn så är det förmodligen Swen/Gabe (http://www.f-secure.com/v-descs/swen.shtml) som bråkar med dig. Annars var Sobig.F rätt ledande förut, men verkar gått tillbaka nu. Är detta normalt? Det är ju ett resultat av dåligt uppdaterade/konfigurerade maskiner oftast utan antivirusprogram så man kan väl säga att det är normalt. Det går i vågor. Hur skyddar ni er? Dom ovanstående maskarna är inget hot emot Linux förutom att dom kan slöa ner mailsystemet rätt rejält. Håll din maskin uppdaterad Skaffa ett antivirusprogram Filtrera din mail med ex procmail Om du har möjlighet så sätt upp en av-gateway för mailen innan det kommer in i det interna nätverket. /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- signature.asc Description: Digital signature
Re: multiple GCC? varför .
On Sat, Aug 30, 2003 at 04:02:53PM +0200, Per Blomqvist wrote: Hej. Jag är debiantestinguser, nu när jag tittade på vilken version gcc jag hade, visades förljande: [ ... ] Ser ut likadant på unstable men utan 2.9* Varför? Ingen aning. Nu hade jag tänkt kompilera min egen kärna, så att fb skulle fungera korrekt (2.4.21). Om du inte tänker använda krypto eller externa patchar så tycker jag du ska använda 2.4.22 istället pga buggfixar. /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- pgpMa0O3ANqrK.pgp Description: PGP signature
Re: multiple GCC? varför .
On Sat, Aug 30, 2003 at 10:13:31PM +0200, Per Blomqvist wrote: Tyvärr är 2.4.22 tillgänglig för mig som testing. Tyvärr? Fattar inte heller vad du menar med krypton, lr externa pathar. ok. 2.4.22 innehåller ett grundläggande API med algoritmer för att kunna kryptera exempelvis swap, kör strings på din swap-enhet så kanske du ser att det behövs, och loop-enheter. Tyvärr är det också allt som finns, det finns inte stöd för cryptoloop vilket behövs för att faktiskt göra det. andra externa patchar kan vara PaX, grsecurity eller OpenWall. men om du inte använder det så finns det inget behov av att köra 2.4.21 (som alla patchar finns till), det var därför jag rekommenderade 2.4.22 då den versionen innehåller säkerhetsfixar och, naturligtvis, bättre stöd för olika saker. Fattar inte heller varför jag känner mig så löskokt i huvudet, efter att ha kompilerat kärnan, såå mycket man kan gräva ner sig i. Ett tips är att alltid spara .config filen så att du slipper göra om allting varje gång du kompilerar om en kärna. /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- pgpBfb2LEal2x.pgp Description: PGP signature
Re: USB Minne
On Wed, Aug 27, 2003 at 11:05:46AM +0200, Johan Blom wrote: 1. Lagra pgp nycklar och annat Hemligt på en lösenordskyddad area Fungerar bra, skapa bara en krypterad loop-enhet som vanligt på usb-disken och länka sedan .gnupg-katalogen till katalogen du har nycklarna i på usb-disken. 2. Boota i från (om bios på datorn stöjder detta) Aldrig provat. 3. Lagra grejer på. Som sagt innan, det är väl det man har dom till? :) 4. 2.6an ska man kunna konfa så att man måste ha en usb dongel i för att köra program som root. Det vore kul om man kunde ha minnet till detta också. Aldrig provat. Är det någon som har erfarenhet av detta och linux? De flesta usb minnen bör väl fixas att mounteras för endamål 3 men resten då? :) Några tips? Har kör 1 och 2 på en Apacer 256MB USB 2.0 [1] utan några som helst problem. Linux hittar det direkt, iaf med en kärna nyare än 2.4.18 (har inte testat men någon äldre). [1] www.dustin.se/default.asp?ORIGIN=shopping/ProductDetail.asp?PID=5010052206 /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- pgpdZUrS0kpTw.pgp Description: PGP signature
Re: Virus i listan.
On Tue, Aug 19, 2003 at 04:47:08PM +0200, Torbjörn Svensson wrote: Hej! Hej Idag har det kommit ett par mail med bla virus från listan, [...] Det tror jag inte. Förmodligen är det det är Sobig.F som nämligen förfalskar avsändaradressen och får det att se ut som om listan skickar masken. Kolla hos ditt lokala antivirus företag för mer info, patcha system och håll AV-programet uppdaterat. /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- pgpKLoTJZJcX1.pgp Description: PGP signature
Re: Virus i listan.
On Tue, Aug 19, 2003 at 05:10:09PM +0200, Torbjörn Svensson wrote: Det intressant är att jag inte har en enda windows burk i mitt nät. En annan ska om väcker intresse är att det står alla headers som om det var någon som skickat till listan. Är det ingen annan som har fått något då? Isf måste jag se över hur man kan filtrera ännu mer på servern. Jodå, jag har fått ett par. Taget från www.f-secure.se/virus/virusinfo.asp?Namn=Sobig.F Från: Fältet From/Från fylls i av en e-postadress som hittas på den infekterade datorn. Till: Fältet To/Till fylls i av en e-postadress som hittas på den infekterade datorn. Ärenderad väljs från denna lista: Re: Details Re: Re: My details Re: Approved Re: Your application Re: Wicked screensaver Re: That movie Texten väljs från en av följande rader: See the attached file for details Please see the attached file for details. /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- pgpC3JNNEn5od.pgp Description: PGP signature
Re: ATA133 Kontroller kort
On Mon, Aug 18, 2003 at 12:04:34AM +0200, Fredrik Persson wrote: Mjaaa är det hela sanningen? Hela sanningen är det knappast men det är en enkel förklaring iaf. Är det inte så, att de två IDE-kanaler som brukar finnas på varje moder kort blir hda-hdd, jo. hda är master och hdb slave på första, hdc är master och hdd slave på andra. /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- pgpze8AnIOD0v.pgp Description: PGP signature
Re: apt-get problem/evighets loop
On Wed, Aug 13, 2003 at 09:52:42AM +0200, joakim wrote: # apt-get remove freenet-unstable E: dpkg was interrupted, you must manually run 'dpkg --configure -a' to correct the problem. har du provat med dpkg --force-configure freenet-unstable? då slipper du att dpkg försöker konfigurera alla okonfigurerade paket (om du har några sådana dvs). eller apt-get --reinstall freenet-unstable? /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C -- pgpFnLvBBea4J.pgp Description: PGP signature
