Linux за българи: Форуми

Пощенски сървъри. Обичайните атаки с налучкване на пароли и open relay.

От известно време обаче, зачестиха атаките чрез установяване на шифрована връзка с използване на различни алгоритми. Аз някои преди доста време ги бях забранил, използвайки съвети от статии в мрежата, но вероятно има новости, за които не знам.

Съветите са да се ползва TLS 1.3, но той се поддържа от openssl 1.1.1, а на сървърите ми съм все още с 1.0.?

Може ли някой с едно изречение да ми обясни какви са рисковете?

   Най-добре шкартирай ИП адресите,от които идват атаките.

А защо не ти се занимава да си ъпгрейднеш openssl ?

   Най-добре шкартирай ИП адресите,от които идват атаките.

Правя го

А защо не ти се занимава да си ъпгрейднеш openssl ?

Понеже съм мързелив - slackware и centos ме направиха такъв :)

Гледам, че Slackware 15 е с openssl 1.1.1

Може би беше възможно да прекомпилирам openssl, sendmail и cyrus-imap ... в Centos, обаче не съм мераклия като че ли.

На прима виста, предполагам въпросните връзки, които виждаш към шифрираните портове са пак атаки за гадаене на пароли и потребители, което не е особено голям проблем, стига да нямаш елементарни пароли на потребителите.

По-големият проблем е, че openssl има известни от вече доста време уязвимости точно във версиите 1.0.?, като може би най-сериозната е Heartbleed.

Може би е разумно да провериш конкретната версия, която имаш на какви уязвимости е податлива и ако няма сериозни такива, би трябвало да ти е сравнително спокойно.

Бих препоръчал ipset и бан по държави от,които е ясно, че поща не искаш (Китай, Бразилия и т.н). Плюс fail2ban, като тука може да настройваш брой опити, време за бан и т.н.
Не е универсално, но докато компилираш, ако ще го правиш, за твое спокойствие може да сложиш това.

Слагам това тука, за бъдещите читатели:
Нова отдалечена уязвимост в OpenSSL [16-03-2022] ($2)

   Е,в случая "уязвимост" е силно казано,все пак не може да
"превземе" сървъра,или да повиши привилегиите на обикновен потребител.
Нито пък да добие достъп до паметта.

Сега заради санкциите, руснаците не могат да си обновят сертификатите.

   Руснаците едва ли ще срещнат трудности да си създадат собствени CA (Certificate Authorities).
Които ще издават сертификати.

   И там разните САЩистански,анадолски и други подобни боклуци ще го духат.

   Руснаците едва ли ще срещнат трудности да си създадат собствени CA (Certificate Authorities).
Които ще издават сертификати.

   И там разните САЩистански,анадолски и други подобни боклуци ще го духат.

Ключовата дума тука е "едва ли" (като ако-то).

Може и самоподписани да си направят, те са си "специалисти" от край време.

Цитат на: spec1a в Mar 17, 2022, 15:33

   Руснаците едва ли ще срещнат трудности да си създадат собствени CA (Certificate Authorities).
Които ще издават сертификати.

   И там разните САЩистански,анадолски и други подобни боклуци ще го духат.

Ключовата дума тука е "едва ли" (като ако-то).

Може и самоподписани да си направят, те са си "специалисти" от край време.

   Ти сериозно ли смяташ,че е проблем някоя руска официална институция
да обяви валидни за страната им техни си СА ?
   И с какво те ще са по-лоши от разните там  GeoTrust,Symantec,Sectigo
и всички останали путки майни ?
   Нали си ИТ,би трябвало да знаеш,че "руут" сертификатите на GeoTrust и
останалите наглеци всъщност са самоподписани от тях.
И аз мога да си направя такова нещо,стига да имам мощен "гръб".

Ами трябва и някой да ги признае (това е и смисъла на сертификата).
Те в руския интранет ако искат може и без сертификати да карат.

   Ааааааааа,ще ги признаят,не ги мисли.
Къде ще ходят ...

   Така и така ще обособяват техен си Интернет.
А може и да спретнат нещо заедно с китайците ...

Хаха
Време е да обновим старите вицове и да ги вкараме в новото хилядолетие.

Вече няма да е културно да се казва - А с брада ако знаеш колко дължа, ами ще е - а със (тоя) сертификат ако знаеш колко дължа... а па с другия... еле па без сертификат ако знаеш какво чудо е... [_]3