| * RoyK har | 09:43 | |
| Malinux | jeg vet ikke iskker.t har oppgradert serveren min, men har ikke sett noen pakker som passer til beskrivelsen | 10:29 |
|---|---|---|
| RoyK | Malinux: http://filippo.io/Heartbleed/ | 10:30 |
| Malinux | Uh-oh, something went wrong: dial tcp 37.191.130.125:443: i/o timeout | 10:33 |
| Malinux | dårlig eksempel også [:443] | 10:33 |
| Malinux | skal være uten sånne [] | 10:33 |
| RoyK | har du https på server? | 10:35 |
| Aeyoun | Malinux: klammer i eksempler betyr “optional” | 10:37 |
| Aeyoun | Control+[Shift]+Tab, for eksempel. | 10:37 |
| Aeyoun | Det brukes også i teknisk dokumentasjon, og har begynt å blø ut i dagligskrift også. | 10:38 |
| Malinux | jeg er visst ikke våken. nei, jeg har ikke https, så dette var jo helt teit | 10:39 |
| Malinux | skla prøve igjen | 10:39 |
| Malinux | oki, så det betyr optional | 10:39 |
| RoyK | Malinux: du finner jo ikke noen feil om du ikke har https ;) | 10:39 |
| Malinux | eh | 10:39 |
| Malinux | :$ | 10:39 |
| Malinux | men hvorfor er det da optional med portnummeret? | 10:40 |
| Malinux | kanskje fordi om man har begge deler? | 10:40 |
| RoyK | Malinux: skru på standard-site for https, så kan du probe. om feilen finnes i https, finnes den i alskens annet som også bruker openssl, som f.eks. ssh | 10:40 |
| RoyK | Malinux: fordi standard portnummer er 443, men man kan jo bruke andre porter, da, om man vil :P | 10:40 |
| * Aeyoun bruker andre portnummere på private servere | 10:48 | |
| Aeyoun | For å unngå de fleste helautomatiserte angrep. | 10:48 |
| Aeyoun | For SSH, HTTPS, IMAP, you name it. | 10:48 |
| Aeyoun | Enkelte ting, SMTP, må være på standard portnummere for å fungere. Jeg kan unasett redusere angrepsflaten for automatiserte verktøy ved å lure meg unna på litt mindre ekponerte porter. | 10:49 |
| Aeyoun | Har tidligere vurdert å kjøre IMAP på SSH porten og SSH på IMAP. Burde være nok random feedback til at automatiserte verktøy går vekk og finner enklere mål. | 10:50 |
| Aeyoun | Fant ut at en lavere profil var en bedre fremgangsmåte. | 10:50 |
| RoyK | Aeyoun: ting som denyhosts funker jo fint | 10:54 |
| RoyK | roy@zimbra:~$ awk '/^sshd:/' /etc/hosts.deny |wc -l | 10:54 |
| RoyK | 255392 | 10:55 |
| Aeyoun | RoyK: prøv denne, https://gist.github.com/Aeyoun/5043767 | 10:56 |
| Aeyoun | (IPv4 only!) | 10:57 |
| RoyK | ja... litt vanskelig å sikre seg mot sånt på v6 | 10:57 |
| Aeyoun | RoyK: den teller opp IP-adressene som har prøvd å få tilgang til systemet. Jeg har ikke klart å skrive en regex for IPv4 og IPv6. :-/ Skillfail. | 10:59 |
| Aeyoun | Kjør den på auth, epost, og brannmurlogger. | 11:02 |
| RoyK | Aeyoun: har du sett på sånt som denyhosts og fail2ban? de er jo skrevet for å gjøre nettopp det der | 11:11 |
| RoyK | og denyhosts kan jo bruke distribuerte ban-lister også | 11:12 |
| Aeyoun | Nei, de fungerer ikke i mine settinger. Blokkerer meg selv for ofte. | 11:13 |
| Aeyoun | pfSense gjør rate-limiting og begynner å droppe pakker istedenfor. | 11:14 |
| RoyK | k | 11:14 |
| RoyK | heh - dropper *deg* *selv* for ofte? | 11:14 |
| Aeyoun | Jupp. | 11:18 |
| RoyK | da tror jeg du heller bør skylde deg sjøl ;) | 11:23 |
| RoyK | å klage over at sikkerhetsprogramvare virker, blir litt for teit ;) | 11:24 |
| Aeyoun | Nja, den virker jo ved å være kontrollert brokket. :P | 11:31 |
| Aeyoun | RoyK: Jeg foretrekker denne tankegangen, http://web.archive.org/web/20111010135845/http://my.opera.com/TMS/blog/show.dml/194002 | 11:31 |
| Aeyoun | (de to øverste bulletpointene) | 11:32 |
| RoyK | Håper alle her har fått patcha for heartbleed | 18:59 |
| IvarB | huff ja | 20:20 |
| Aeyoun | Og ordnet nye sertifikater. | 22:59 |
Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!