unix4fun

Tu aimes Netfilter mais voilà, tu voudrais bien aussi faire... de l'OS fingerprinting ? C'est possible depuis la version 2.6.31, grâce au module xt_osf qui a été inclu officiellement. Donc voilà comment ça marche, un petit exemple :

1. insmod ./xt_osf.ko
2. ./nfnl_osf -f ./pf.os
3. iptables -I INPUT -j ACCEPT -p tcp -m osf log 0 ttl 2

Tout d'abord un commentaire sur pf.os, c'est le fichier utilisé par packet filter, donc le fichier de définition de p0f, le tool de mister Zalewski. Ensuite on fait un test de connexion, et on voit dans les logs :

Windows 2000:SP4 : 192.168.028.131:2007 -> 192.168.028.124:22 hops=0

L'archive pour le programme userland (nfnl_osf) et les infos sont sur le bleurg de l'auteur du patch initial : http://ioremap.net/projects/osf

Bon ben je sais pas pour vous, mais j'ai toujours fait des trucs moches genre :

void
sighandler_foo(int nsig)
{
   printf("Signal %d caught.  Exiting.\n", nsig);
   exit(EXIT_SUCCESS);
}

J'ai schématisé, mais l'idée est là. Bah en fait faut surtout pas écrire cette horreur. Là, normalement vous me pointez du doigt en riant très fort, et je deviens rouge de honte. Mais j'ai vaincu ma peur du ridicule, et je le clame : oui ! je suis une bille !

Sinon, pour ceux qui ne savent pas, en fait j'ai appris ça en lisant un post de Solar Designer sur nmap-dev, qui expliquait par le menu pourquoi c'est super crappy :

• le mail en question ;
• la recommandation du CERT ;
• évidemment, lcamtuf avait écrit une doc à ce sujet dès 2001.

Après avoir vérifié, rien de tout ça n'est écrit dans signal(2) sur ma machine (Linux), mais c'est très clair dans le man OpenBSD, en revanche.

HTH.

ca arrive toujours avant de se coucher.... eh merde..

putain!

si ca se trouve c'est hyper connu.. je suis juste passe a cote..

bonne nuit..

hint: n'allez pas fouillez les autres sections..

[...]

trop tard...

Petite decouverte, moi qui ait toujours ete un habitue de bind (et de ses features et vulns :)) a ma periode BOFH, je viens par hasard de tomber sur unbound, un resolver DNS tout petit et qui semble tout convivial et tout bien fait! et qui en plus supporte DNSSEC...

sympa a suivre...

J'ai decouvert Dtrace, alors pour partager mon bonheur et commencer avec dtrace, je conseille THE GUIDE, simple, rapide, clair, didactique, etanche! j'en suis au chapitre 12!!

Pour ceux qui sont curieux ou on envie de tester/voir/gratouiller et avoir une vision full poilue!

DTRACE la TORAH

Bonne lecture!!.

[...]

bordel... qu'est ce que... elfsign(1) ?!?!?!

$ elfsign 
elfsign: invalid number of arguments
usage:
        elfsign sign [-a] [-v] [-e <elf_object>] -c <certificate_file>
                [-F <format>] -k <private_key_file> [elf_object]...
        elfsign sign [-a] [-v] [-e <elf_object>] -c <certificate_file>
                [-F <format>] -T <token_label> [-P <pin_file>] [elf_object]...
...

*COMMUNICATION COUPEE*

J'ai un blem j'utilise assez souvent openvpn et en fonction de l'endroit ou je vais j'ai besoin de tel ou tel access VPN sur telles ou telles resources plus ou moins en meme temps etc.. bref j'ai besoin de plusieurs "profils" utilisateur.

Depuis des mois, je me tape l'edition du /etc/rc.conf et apres je tape la passphrase 2 ou 3 fois vu que j ai 2 ou 3 necessaires... enfin bref, j'en ai eu marre alors j 'ai fait un "hack" tout bete et tout simple en qqes etapes.

le plan:

• un fichier encrypted avec ma clef pub qui contient la passphrase.
• un script qui mets a la disposition d'openvpn cette passphrase
• qqes hack dans les scripts de demarrage et les fichiers de conf.

1 . le fichier: key.asc
il contient la clef utilise pour unlocker le cert utilise pour l'auth, il doit donc rester prive!

2. le script de demarrage /usr/pkg/etc/rc.d/openvpn:

la ligne suivante a ete modifie:

openvpn_start()
{
    : ${openvpn_cfg="*.conf"}
[...]
  for f in $openvpn_cfg; do
      doit="$command --askpass `/bin/cat /home/user/.openvpn` 
$command_args --config $f"
      if ! eval $doit; then
[...]
}

3. le fichier /etc/rc.conf, legerement modifie:

[...]
openvpn=YES
. /etc/openvpn_current
[...]

4. le script moisi, ovpn.sh

ce script va choisir/preparer mon "profil" et demarrer les instances openvpn en utilisant la cle temporairement accessible.

#!/bin/sh
#
#
# I sick of typing my password for all VPN instances 
# all the time... $#@!$#@!$#@! :(
#
# there is probably some potential races
#

export TMPDIR=/home/user

MKTEMPCMD=/usr/bin/mktemp
GPGCMD=/usr/pkg/bin/gpg
VPNCMD=/usr/pkg/etc/rc.d/openvpn
RMCMD=/bin/rm
TOUCHCMD=/usr/bin/touch
CHMODCMD=/bin/chmod
CHOWNCMD=/usr/sbin/chown


TMPPREFIX=".openvpn"
VPNCIPHR=/home/user/.local/key.asc
VPNPLAIN=/home/user/.openvpn

VPNCMD_STOP=stop
VPNCMD_RESTART=restart

# OPENVPN PRECONFIG
CURR_CFG=/etc/openvpn_current
HOME_CFG="openvpn_cfg=\"client_vpn1.conf client_vpn2.conf client_vpn3.conf client_vpn4.conf\""
LABS_CFG="openvpn_cfg=\"client_vpn1.conf client_vpn2.conf client_vpn3.conf client_vpn4.conf\""
OUTR_CFG="openvpn_cfg=\"client_vpn1.conf client_vpn2.conf client_vpn3.conf client_vpn4.conf client_vpn5.conf\""


TMPFILE=`${MKTEMPCMD} -t ${TMPPREFIX}`
#echo "[+] using ${TMPFILE}"

ovpn_start()
{
        ${TOUCHCMD} ${VPNPLAIN}
        ${CHOWNCMD} root:wheel ${VPNPLAIN}
        ${CHMODCMD} 600 ${VPNPLAIN}
        echo "$TMPFILE" > ${VPNPLAIN}
        ${GPGCMD} -d ${VPNCIPHR} > ${TMPFILE}
        ${VPNCMD} start
        ${RMCMD} -fP ${VPNPLAIN}
        ${RMCMD} -fP ${TMPFILE}
}

ovpn_stop()
{
        ${VPNCMD} stop
}

CMD=$1
CNF=$2

case ${CMD} in
        start)
                case ${CNF} in
                        home)
                                echo ${HOME_CFG} > ${CURR_CFG}
                        ;;
                        lab)
                                echo ${LABS_CFG} > ${CURR_CFG}
                        ;;
                        out)
                                echo ${OUTR_CFG} > ${CURR_CFG}
                        ;;
                esac
                ovpn_start
        ;;
        stop)
                ovpn_stop
        ;;
        restart)
                $0 stop
                $0 start ${CNF}
        ;;
        *)
                echo "$0 <start|stop|restart> [<home|lab|out>]"
                echo "home: home configuration"
                echo "lab : lab configuration"
                echo "out : untrusted out configuration"
        ;;

esac

5. L'explication,
le fichier rc.conf inclus un fichier qui est genere dynamiquement (/etc/openvpn_current) a chaque demande d'un nouveau "profil" celui ci donne a openvpn les fichier de conf a utiliser pour demarrer les differents VPN.

Le script de demarrage du package openvpn lance openvpn avec un nouveau parametre supplementaire " --askpass file " qui donnera la passphrase pour unlocker le certificat d'authentification.

Le script utilisateur ovpn.sh lui s'occupe simplement de cree le /etc/openvpn_current, il gpg -d le fichier de clef key.asc le rajoute dans un fichier temporaire, demarre openvpn et efface ce fichier immediatement apres.

La derniere mouture qui tourne chez moi est tres legerement different en cela que je ne stocke pas la passphrase de mon cert dans un fichier encrypted en gpg, je "read" directement du tty et je feed immediatement le fichier temporaire.

Voila c'etait tout con mais maintenant pour demarrer mes 4-5 vpns en tapant juste ma passphrase gpg, je fais en sudo :

# ovpn.sh start home
You need a passphrase to unlock the secret key for
user: "..."
1024-bit ELG-E key, ID XXXXXXXX, created 2004-05-27 
(main key ID XXXXXXXX)

Enter passphrase:

Et voila! En esperant que ca en inspire d'autres, commentaires are welcome! :)

\_0< COIN!

http://piotrbania.com/all/kon-boot/

tout est dit!. (mais ca ressemble tres tres fortement au concept de eeye bootroot/sysrq2)

Y a des gens qui comme moise (toute ressemblance serait purement fortuite) qui arrivent a separer la mer en deux pour faire passer des trucs, parait que moise c'etait pour faire passer des gens (eh oui moise est un passeur, mais il avait rendu le passage industriel avant meme qu'on y pense!)

Alors la y a Kristaps Džonsons qui fait pareil avec du code, il matte le code, hope ca se separe en deux, meme en trois, attendez.. c'est quoi ces histoires !?!?!?

(en gros il a pris un NetBSD et il a fait un truc qui sent les "zone" de solaris ou jail chez freebsd ( oui oui c'est pas implemente pareil, la granularite est pas pareil, c'est pas le meme systeme tout ca tout ca, mais je parle de concepts...))

sinon y a des projets "un peu" similaire ou related genre : ca ou ca

C'est vaguement lie au post precedent, le Filesystem cryptographique est capable d'interagir avec l'architecture TCPA bla

le project TPM implemente une TCG Software stack (Trusted Computing Group Software Stack), ca vous permet (quand ca marche) d'utiliser votre chipset TCPA , via une API ouverte et documentee et donc de "potentiellement-avec-un-sacrifice-de-poulet" faire des application qui serait "potentiellement-blablabla" "trusted" (hanlanannaa le raccourci!!) :

• http://trousers.sourceforge.net/

enfin en gros c'est un driver et une API pour TCPA.

le project enforcer est une sorte de veriexec(4) qui utiliserait TPM/TCPA avec qqes features en plus :

• http://enforcer.sourceforge.net/

OpenTC est une tentative de federation avec pour but d'arriver a un "framework" unifie et open source (soit disant, on verra avec le temps..)

en passant j'ai decouvert ca :

• http://os.inf.tu-dresden.de/%7Ekauer/oslo/
• http://prosec.trust.rub.de/trusted_grub.html

En prime la spec TSS