security

ในระบบที่มีผู้ใช้หลายคน โดยปกติระบบยูนิกซ์ทั่วไปจะอนุญาตให้ผู้ใช้ตรวจดูโพรเซสทั้งหมดที่ทำงานอยู่ในเครื่องได้ ผ่านคำสั่ง ps หรือ top ซึ่งในบางกรณีก็เป็นการเปิดช่องสำหรับการล้วงความลับของผู้ใช้อื่น โดยเฉพาะในคำสั่งที่ผู้ใช้ใส่รหัสผ่านเป็น argument ของบรรทัดคำสั่ง

เคอร์เนลลินุกซ์ 3.2 ขึ้นไป มีทางเลือกให้คุณสามารถซ่อนโพรเซสของผู้ใช้แต่ละคนไม่ให้ผู้ใช้อื่นมองเห็นได้ โดยใช้ตัวเลือก hidepid สำหรับการเมานท์ระบบแฟ้ม /proc

ค่าของตัวเลือก hidepid ที่เป็นไปได้คือ

Topic: 

เกี่ยวกับเรื่องการ key-signing คือการยืนยัน gpg-key ระหว่างคนสองคนโดยจะต้องแลกเปลี่ยน key-id กับ fingerprint โดยจะต้องตรวจสอบระบุตัวตนว่าเราเป็นเจ้าของ key นั้นจริง ในการแลกเอกสารกันตรวจสอบเอกสารที่สากลที่สุดก็คือ passport ทีนี้มาดูวิธีการ sign หลักจากที่ตรวจสอบข้อมูลกันเรียบร้อยแล้วบทความนี้อ้างอิงจาก holgerlevsen.de/keysign/README

  • เราต้องมี gpg-key ก่อน (ผมขอละไว้นะครับเรื่องการสร้าง)
  • ติดตั้งเครื่องมือที่ใช้สำหรับจัดการเรื่อง key-sign
    #apt-get insall signing-party
  • การตั้งค่า caff (เป็นเครื่องมือที่ช่วยในเรื่องการเซ็นคีย์
    $editor ~/.caffrc

    รายละเอียดของไฟล์ตามด้านล่าง

    $CONFIG{'owner'} = 'ชื่อและนามสกุล';
    $CONFIG{'email'} = '# อีเมล์ที่ระบุอยู่ใน gpg-key';
    # Example $CONFIG{'keyid'} = [ qw{FEDCBA9876543210} ];
Topic: 

เมื่อคืนนี้ Debian มีประกาศ DSA 1571-1 ที่มีผลกระทบค่อนข้างกว้าง เป็น security alert เกี่ยวกับปัญหาของ openssl ใน Debian ซึ่งเกิดจากแพตช์ของ Debian เอง ทำให้คีย์ที่สร้างมี entropy ต่ำเกินไป จนสามารถเดาได้ง่าย

บั๊กนี้ มีผลตั้งแต่รุ่น 0.9.8c-1 เป็นต้นมา ซึ่งจะมีผลใน etch, lenny, sid ส่วน sarge นั้นปลอดภัย คำแนะนำคือ ถ้าใช้ etch เป็นเซิร์ฟเวอร์อยู่ ก็ควรอัปเกรด openssl เป็น 0.9.8c-4etch3 เป็นการด่วน ส่วน lenny/sid นั้น ก็อัปเกรดเป็น 0.9.8g-9 และถ้ามีการสร้างกุญแจ SSH โดยใช้ Debian หลังรุ่น sarge ก็ควรลบกุญแจเก่าทิ้ง สร้างกุญแจใหม่ด้วย

ปัญหานี้มีผลไปถึง Ubuntu 7.04 (feisty), 7.10 (gutsy) และ 8.04 (hardy) ด้วย

โปรแกรมที่ได้รับผลกระทบจากปัญหานี้ได้แก่ openssh, OpenVPN, DNSSEC, กุญแจสำหรับ X.509, encfs, Tor, postfix, cyrus imapd, courier imap/pop3, apache2 (ssl certs), dropbear, cfengine

Topic: 

หลาย ๆ คนในที่นี้ ที่ต้องดูแลเครื่อง server และการ remote เข้าไปควบคุมเครื่อง ผ่านทาง Secure Shell (SSH) เป็นเรื่องที่สร้างความสุขให้แก่เราอย่างมาก เนื่องจากไม่ต้องเข้าไปดูหน้าเครื่องก็ได้ แต่ไม่ใช่เราเพียงผู้เดียวที่อยากเข้าไปใช้งาน ผู้ไม่ประสงค์ดี ก็อยากเข้าไปใช้เหมือนกัน โดยความพยายามที่จะเดาชื่อ username และ password (Dictionary Attacks - Brute Force) แต่โชคยังดีที่ server ส่วนใหญ่ที่ดูแลอยู่ มี user ไม่มาก แถม password ก็ไม่ต้องห่วงให้เดาก็ต้องเดานานมาก ๆ หากอยากตรวจสอบความยากง่ายของ password ที่ใช้อยู่ สามารถทดสอบได้ที่ http://

Creative Commons License ลิขสิทธิ์ของบทความเป็นของเจ้าของบทความแต่ละชิ้น
ผลงานนี้ ใช้สัญญาอนุญาตของครีเอทีฟคอมมอนส์แบบ แสดงที่มา-อนุญาตแบบเดียวกัน 3.0 ที่ยังไม่ได้ปรับแก้