分类目录归档:个人杂碎

记录一下fail2ban不能正常工作的问题 & 闲扯安全

在加载配置这个事情上,许多linux应用程序只需要发一个信号,应用自己就完成配置重载,无需重启中断服务,但是依然有很多程序并不支持。

今天我第一次学习使用fail2ban,以前都没用过这样的东西,小地方没有太多攻击看上,但是工作之后这些安全意识和规范还是会加深认识,fail2ban很简单的远离,分析日志,正则匹配查找,iptables ban ip,然后我今天花了很长时间都没办法让他工作起来,我写了一个简单的规则ban掉尝试暴力登录phpmyadmin的ip,60秒内发现3次ban一个小时。

我通过fail2ban-regex测试工具测试的时候结果显示是能够正常匹配的,我也试了不是自己写的规则,试了附带的其他规则的jail,也是快速失败登录很多次都不能触发ban,看fail2ban的日志更是除了启动退出一点其他日志都没有。

然后就开始网上搜索各种解决方案,有的说inotify有问题要换gamin甚至是polling来监控日志,我试了一样没用,测试期间我跟改其他程序配置一样,改一下配置,重启一下服务,测试一下,不行,又重复再来,搞了很久,搞得都烦躁了,然后就去洗了个澡。

洗了个澡回来看到有一个问题里面说到fail2ban启动的时候会读一遍日志计算一次,我在想会不会是日志文件太大处理速度慢?看了一下那几个日志都是MB级别而已不大(logrotate是王道,但当这两个东西一起的时候又会有其他问题产生了,搜索的时候无意中看到的),然后我想起了我用fail2ban-regex测试的时候测试结果好久才出来,好几分钟,那测试工具是只测试一个过滤器作用在一个文件上的,我就联想到会不会是因为程序没初始完所以不work呢。于是我没有重启服务又测试了一次,这次成功ban了。

后面我把配置还原,重启服务,这次我注意到重启服务之后整个负载都高了起来,fail2ban-server直接是占满了一个核,这种情况居然持续了十几分钟的样子,简直不能忍。这下我清楚了应该是这个问题没跑了。然后再去换关键词搜索fail2ban启动慢的问题,好像是一个bug,然后稳定版里面没有修复,第三方提交的patch出现在今年一月份,简直无语……

扯完了蛋疼的fail2ban之后来说说安全,其实phpmyadmin这种东西是不应该放在公网上的,像我们厂是禁止的,不过有一些特殊情况例如说是对外提供服务或者说没有内网只有公网的站点,phpmyadmin就必然是暴露出来的。这里可以看看sae是怎么做的,他是通过静态的二次密码认证,然后直接从sae管理后台带登录态到phpmyadmin,而不是在phpmyadmin直接输入密码什么的。所以还算平衡了安全和便捷性的要求。

其实像phpmyadmin这种登录表单只有一个用户名一个密码输入,没有验证码也没有其他安全策略之类的系统从安全上看是很儿戏的,随时暴力破解没商量。最弱智的至少也应该有个验证码,好一点的暴力N次之后出验证码,所以其实fail2ban也没啥用,有足够的时间和ip还是可以慢慢破解的,这里又涉及到另一个问题,就是慢慢破解有没有人能发现的问题,应该算是安全运营的范畴。大部分同学,日志不出事不会去看,即便出事了如果没有告警机制,那么只有日志和机器知道,人是不知道的,这些做法都不靠谱。

其实对于我自己来说我觉得静态密码是不靠谱的,应该搞个动态密码加静态密码,动态密码你不用搞什么硬件令牌,软件的像google身份验证器就挺好的,后面我想做一个http中间件,在这些保护缺失的关键页面上加上动态密码验证。google身份验证器还有pam模块可以用,但是我觉得pam配置麻烦了些,账户管理也不方便,把这些东西放在应用层会灵活一些。

然后有一些地方好像不太好集成动态密码的,例如说ftp,pam认证可以搞,我还是嫌麻烦。其实我建议是直接在使用前生成临时用户和临时密码,给一个很短的有效期,用完就遗弃。还有一些地方能不用密码的就不用密码了,例如说服务器的ssh登录,搞成证书验证之后实际上很爽的,也安全的多。管理我自己的服务器的时候,我也有一个专门的跳板机,跳板机可以密码登录,但是密码超级复杂。其他机器全部只允许证书登录,跳板机上可以证书验证ssh登录其他机器。

AnyConnect ocserv搭建记录

记录一下,网上的介绍文章各有一些不正确的地方

20150816再次修正

系统版本 centos6

vps记得先开下tun/tap

基本的包

yum install autoconf automake gcc libtasn1-devel zlib zlib-devel trousers trousers-devel gmp-devel gmp xz texinfo libnl-devel libnl tcp_wrappers-libs tcp_wrappers-devel tcp_wrappers dbus dbus-devel ncurses-devel pam-devel readline-devel bison bison-devel flex gcc automake autoconf wget expat-devel openssl-devel

 

编译安装

nettle
wget http://www.lysator.liu.se/~nisse/archive/nettle-2.7.tar.gz
tar xvf nettle-2.7.tar.gz
cd nettle-2.7
./configure –prefix=/opt/
make && make install

unbound
wget http://unbound.nlnetlabs.nl/downloads/unbound-1.4.22.tar.gz
tar zxf unbound1.4.22.tar.gz && cd unbound1.4.22
./configure prefix=/opt && make && make install

libnl
wget http://www.carisma.slowglass.com/~tgr/libnl/files/libnl-3.2.24.tar.gz
tar xvf libnl-3.2.24.tar.gz
cd libnl-3.2.24
./configure –prefix=/opt/
make && make install

gnutls
wget ftp://ftp.gnutls.org/gcrypt/gnutls/v3.2/gnutls-3.2.12.tar.xz
tar xvf gnutls-3.2.12.tar.xz
cd gnutls-3.2.12
export LD_LIBRARY_PATH=/opt/lib/:/opt/lib64/
NETTLE_CFLAGS=”-I/opt/include/” NETTLE_LIBS=”-L/opt/lib64/ -lnettle” HOGWEED_CFLAGS=”-I/opt/include” HOGWEED_LIBS=”-L/opt/lib64/ -lhogweed” ./configure –prefix=/opt/
make && make install
cd ..

gnutls这里如果不用opt prefix的话 上面环境变量里面的/opt全部换成/usr/local,如果不是64位系统,那么上面环境变量里面的lib64的64去掉,如果你要手敲的话,注意上面的cflags里面是HIJK的I。下同

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.10.7.tar.xz
tar xvf ocserv-0.10.7.tar.xz
cd ocserv-0.10.7
LIBGNUTLS_CFLAGS=”-I/opt/include/” LIBGNUTLS_LIBS=”-L/opt/lib/ -lgnutls” LIBNL3_CFLAGS=”-I/opt/include” LIBNL3_LIBS=”-L/opt/lib/ -lnl-3 -lnl-route-3″ ./configure –prefix=/opt/
make && make install

 

 

 

关于证书,使用自签的说明有很多,这里记录下使用正规证书的方法。

正规证书签下来crt和key两个文件,crt记得合并下中间人证书
cat ssl.crt > server-cert.pem;
cat sub.class1.server.ca.pem >> server-cert.pem;
cat ca.pem >> server-cert.pem

自己的证书在前,接下来是中间人证书、根证书,得到的是pem
私钥key文件也要转成pem
openssl rsa -in ssl.key -out server-key.pem

路由表配置参考
https://github.com/rankjie/anyconnect-gfw-list/blob/master/gfwiplist.txt

ipv4重定向系统配置、iptables nat配置 有这条配置好像不需要其他文章里面那两条针对网段的配置
iptables -t nat -A POSTROUTING -j MASQUERADE

sysctl里面打开ipv4包转发
/etc/sysctl.conf   net.ipv4.ip_forward = 1
sysctl -p生效

创建账户
/opt/bin/ocpasswd -c /opt/etc/ocserv/ocserv.passwd horsley

然后注意一下 通过supervisord来管理的时候 需要在supervisord配置里面添加环境变量导出
[program:ocserv]
environment=LD_LIBRARY_PATH=/opt/lib/:/opt/lib64/
command=/opt/sbin/ocserv -c /opt/etc/ocserv/ocserv.conf -f
autorestart=true

或者你把这一句写到.bash_profile里面也可以
export LD_LIBRARY_PATH=/opt/lib/:/opt/lib64/

客户端方面,要取消组织连接不安全的服务器的设置,如果使用自签证书

##关于使用证书免密码登录
网上大多是在说怎么用gnutls里面的certtool通过模板生成证书,而且都不怎么关注具体鉴权问题
配置项是cert-user-oid  这个oid表明了ocserv应该从客户端证书的哪个地方取用户名,在多用户的时候或者需要做管理的时候还是需要分开用户名,而不是一份客户端证书大家共用

下面有一个脚本说明了openssl如何生成客户端证书
https://gist.github.com/LimeQM/db93c17cc54e9b13e33e#file-createclientcert-sh

 

主参考文章
https://botu.me/install-ocserv-on-centos6/  (链接失效 使用下面那个)
https://botu.me/post/3960.html

https://blog.qmz.me/zai-vpsshang-da-jian-anyconnect-vpnfu-wu-qi/

其他参考  (可以不看)
https://www.stunnel.info/%E5%9C%A8centos-6-5%E4%B8%8A%E9%85%8D%E7%BD%AEcisco-anyconnect-vpn/
http://itony.me/765.html
http://imkevin.me/post/80157872840/anyconnect-iphone

PHP & Git 最简单的自动部署之二 Win系列服务器

上一回介绍了看起来挺高上大的PHP+git自动部署,之前一直是在linux平台上面使用的,用着还挺顺利的,今天很蛋疼的要做某个项目在windows服务器上面的自动部署,然后就有坑了。首先git在windows上面就是个问题了。msysgit?那家伙凑合能用,但是还是很多问题,还是上次的脚本,会出现无返回无错误进程没有启动的问题,如果你出现了找不到路径,不是可执行文件等提示,你可以试下制定好git的绝对路径,反正我这还是不行。

我换着用PHP的执行命令的方法,exec/system/passthru/shell_exec反正都是不行,出现无返回无错误进程没有启动,试着中间再套一层bat来调用,进程是起来了,但是不知道出什么错误一直不能结束,也就一直阻塞着。用ProcessExp看一下其实msysgit还真是个复杂而蛋疼的东西,一个简单的git pull 他会启动超过5级子进程,目测是sh,用来初始化环境,然后再在里面跑git。

于是我很蛋疼的想,我再写一个别的exe,把运行git pull并取结果包装起来,然后再让php来调用这个exe?结果还是不行,折腾了一天,突然一想不如自立门户,然后多了几行代码,把这个小程序改成了监听某个端口,接收到请求就git pull并把返回写到response,这个东西在go里面不难实现,最后做成这个样子,简单粗暴,有效。

这个程序实现的东西就是一个一个小的http server ,监听8124端口,有简单的http auth,auth通过了之后会调用gitPull,调用过程很复杂的样子,其实还好,他先是找到git的绝对路径,然后Chdir到文件所在目录(也就是说,最后这个程序编译出来,应该放在版本库根目录),然后执行git pull再返回响应。这已经挺完美了,但是还可能出现的一个问题是你的机器在防火墙之后。你开了8124端口外网访问不到怎么办?那还用80端口,还用上次的脚本,做一次中转,脚本里面执行的部分改成curl一下127.0.0.1:8124好了,记得带上auth。

另外提醒一点,这样把版本库放在web目录方便自动部署啥的,其实有安全性的问题,毕竟你有一些例如数据库密码你是硬编码在配置文件里面的,也在版本控制之中,简单地说,你要保护.git目录,最简单的办法RewriteRule ^..* – [F]