Re: [FUG-BR] [off-topic] Compra Certificado SSL
b) não vou procurar (preguiça commands) mas recentemente li um artigo que mostrava a possibilidade de quebra dêsses certificados; alguma coisa nêste link: http://www.google.com/search?ie=UTF-8oe=UTF-8sourceid=navclientgfns=1q=ssl+certificates+vulne O ataque é um null byte no campo CN do certificado. Não é um problema do certificado em si, mas dos parsers dos browsers. O que acontece é que agora as ACs estão verificando esse null byte nos novos certificados e pronto. Um ataque MITM é possivel, mas pra isso você precisa estar bem posicionado e conseguir envenenar os DNS da pessoa. Essa vulnerabilidade combinada com a do bind também no mes passado é que pode tornara coisa um pouco mais perigosa. Jean - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] How-to Postfix integrado ao AD
Olá Wanderson, bom dia, como vai? Antes de mais nada, meus parabéns pelo trabalho com esse tutorial. Já havia realizado uma integração do postfix/dovecot com o openldap (mas via PAM) e agora lendo seu tutorial estou aprendendo muito, pois preciso integrar com o AD. Estou seguindo seu tutorial, mas no momento de realizar os testes de integração dovecot-AD (telnet mail.unimetro.net 110) estou me deparando com o seguinte erro no arquivo /var/log/dovecot.log dovecot: Aug 11 10:31:04 Error: auth(default): ldap(bindmail,192.168.20.4): Connection appears to be hanging, reconnecting dovecot: Aug 11 10:31:04 Error: auth(default): re_encode_request new request is: dovecot: Aug 11 10:31:04 Error: auth(default): re_encode_request new request is: dovecot: Aug 11 10:31:04 Error: auth(default): re_encode_request new request is: dovecot: Aug 11 10:31:04 Error: auth(default): ldap(bindmail,192.168.20.4): ldap_search(((ObjectClass=person)(sAMAccountName=bindmail) (memberOf=CN=UMAMAIL,OU=Groups,DC=unimetro,DC=net))) failed: Operations error dovecot: Aug 11 10:31:04 Error: auth(default): re_encode_request new request is: dovecot: Aug 11 10:31:04 Error: auth(default): re_encode_request new request is: dovecot: Aug 11 10:31:04 Error: auth(default): re_encode_request new request is: dovecot: Aug 11 10:31:06 Info: pop3-login: Disconnected (auth failed, 1 attempts): user=bindmail, method=PLAIN, rip=192.168.20.4, lip=192.168.20.4, secured dovecot: Aug 11 10:34:10 Info: pop3-login: Disconnected: Inactivity (auth failed, 1 attempts): user=bindmail, method=PLAIN, rip=19 2.168.20.4, lip=192.168.20.4, secured dovecot: Aug 11 10:35:17 Panic: auth(default): file aqueue.c: line 69 (aqueue_delete): assertion failed: (n count) dovecot: Aug 11 10:35:17 Error: child 1579 (auth) killed with signal 6 (core not dumped) dovecot: Aug 11 10:38:17 Info: pop3-login: Disconnected: Inactivity (auth failed, 1 attempts): method=PLAIN, rip=192.168.20.4, lip=1 92.168.20.4, secured Abaixo segue o meu /usr/local/etc/dovecot-ldap.conf: debug_level = 10 hosts = 192.168.20.3 base = dc=unimetro,dc=net ldap_version = 3 dn = CN=bindmail,CN=Users,DC=unimetro,DC=net dnpass = x deref = never auth_bind = yes user_filter = ((ObjectClass=person)(sAMAccountName=%u) \ (memberOf=CN=UMAMAIL,OU=Groups,DC=unimetro,DC=net)) pass_filter = ((ObjectClass=person)(sAMAccountName=%u) \ (memberOf=CN=UMAMAIL,OU=Groups,DC=unimetro,DC=net)) Usei o ldifde para exportar minha base no AD para assim poder procurar (e entender) como estão organizados os registros e vi o seguinte: dn: CN=bindmail,CN=Users,DC=unimetro,DC=net changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: bindmail givenName: bindmail distinguishedName: CN=bindmail,CN=Users,DC=unimetro,DC=net instanceType: 4 whenCreated: 20090810150229.0Z whenChanged: 20090810150244.0Z displayName: bindmail uSNCreated: 25209406 memberOf: CN=UMAMAIL,OU=Groups,DC=unimetro,DC=net name: bindmail userAccountControl: 66048 codePage: 0 countryCode: 0 pwdLastSet: 128943901492812500 primaryGroupID: 513 accountExpires: 9223372036854775807 sAMAccountName: bindmail Coloquei o usuário bindmail no grupo UMAMAIL e estou tentando fazer os testes com esse mesmo usuário. Qualquer ajuda será muito bem vinda. Grande abraço e parabéns novamente, Vinícius Schmidt PS: desculpa escrever para a lista e diretamente pra você, mas como estou reabrindo uma thread do mês passado queria garantir que você fosse ler! :) sorry again! 2009/7/24 Wanderson Tinti wander...@bsd.com.br: Senhores, boa tarde. Escrevi um pequeno texto sobre como colocar o Postfix integrado ao Active Directory. Foram sastifatório os testes de integração, também gostaria das opiniões dos senhores, se alguém puder testar para ver o funcionamento e postar a resposta será muito bom. Em breve vou reescrever a parte de AntiSpam e Antivírus para ficar legal :) Link: http://www.inseto.net Bom final de semana a todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
On 10 Aug 2009, at 20:13, Renato Frederick wrote: Crie um site de vendas e veja se terá 1 venda se quando o cliente abrir a página o IE colocar um escudo vermelho falando há um problema de segurança com o certificado deste site ou então o mozilla falando babalbalbalba tire-me daqui. Self signed certificate e um certificado comprado tem o mesmo objetivo, mas o público em geral não aceita isto. Tem a parte também do processo acreditado de certificação, do tipo fé pública que os cartórios tem, mas isto já é papo para aquelas palestras chatas de segurança regadas a muito PowerPoint. Entrando um pouco mais tecnicamente no assunto (Meu PhD é exatamente em verificação formal de protocolos). O certificado ter uma boa qualidade de asserção do CN é imprescidível para a segurança do SSL/ TLS. A identificação correta do peer ao qual voce esta se conectando é dada pelo certificado X509. Se você pensar que o certificado so serve pra fazer a distribuição do Master Key no SSL, com certeza ambos os certificados são eficazes. Mas as premissas do SSL/TLS são mais amplas, principalmente a de que você tem que verificar a identidade do peer ao qual voce esta se conectando. A diferença entre um certificado EV e um não EV, é exatamente a Extended Validation. Hoje um certificado destes de U$99.00 faz unicamente a verificação do dominio via whois e se foi autorizado pelo detentor do dominio. Um certificado EV obriga você a mostrar provas documentais sobre a sua identidade para ser certificado. Por isso que ele vem com o nome da Empresa, endereço, etc, enquanto o outro so vem com o dominio. Em geral eu compro certificados no godaddy.com. É super barato, sem contar quye você acha um discount code na internet de ate 20%. funcionam muito bem para asserção do dominio. Jean - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] armazenamento seguro e o FreeBSD
(em tradução livre): em conjunto, Intel e FreeBSD liberaram um whitepaper discorrendo sôbre Armazenamento Seguro e o FreeBSD (no original: Secure Storage and FreeBSD). o documento discorre sobre as várias soluções de armazenamento seguro disponíveis no FreeBSD (possivelmente nos demais BSDs) e discute opções para aceleração de operações de criptografia de uso intenso da capacidade de processamento de cpus. o artigo introdutório está aqui http://www.freebsdnews.net/2009/08/11/accelerating-secure-storage-on-freebsd/ e contém vários links, inclusive para download do artigo em *pdf. divirtam-se :) -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Rico com unhas pintadas: Play Boy Pobre com unhas pintadas: Boiola - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Em 11/08/2009, Jean Everson Martina escreveu: Entrando um pouco mais tecnicamente no assunto (Meu PhD é exatamente em verificação formal de protocolos). O certificado ter uma boa qualidade de asserção do CN é imprescidível para a segurança do SSL/ TLS. A identificação correta do peer ao qual voce esta se conectando é dada pelo certificado X509. Se você pensar que o certificado so serve pra fazer a distribuição do Master Key no SSL, com certeza ambos os certificados são eficazes. Mas as premissas do SSL/TLS são mais amplas, principalmente a de que você tem que verificar a identidade do peer ao qual voce esta se conectando. A diferença entre um certificado EV e um não EV, é exatamente a Extended Validation. Hoje um certificado destes de U$99.00 faz unicamente a verificação do dominio via whois e se foi autorizado pelo detentor do dominio. Um certificado EV obriga você a mostrar provas documentais sobre a sua identidade para ser certificado. Por isso que ele vem com o nome da Empresa, endereço, etc, enquanto o outro so vem com o dominio. Em geral eu compro certificados no godaddy.com. É super barato, sem contar quye você acha um discount code na internet de ate 20%. funcionam muito bem para asserção do dominio. Jean Aproveitando o gancho, estou querendo colocar SSL no nosso servidor de emails. Qual o tipo de chave necessária nesse caso ? É o mesmo tipo de chave utilizando em webservers ? Abraços! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] armazenamento seguro e o FreeBSD
2009/8/11 irado furioso com tudo ir...@bsd.com.br (em tradução livre): em conjunto, Intel e FreeBSD liberaram um whitepaper discorrendo sôbre Armazenamento Seguro e o FreeBSD (no original: Secure Storage and FreeBSD). o documento discorre sobre as várias soluções de armazenamento seguro disponíveis no FreeBSD (possivelmente nos demais BSDs) e discute opções para aceleração de operações de criptografia de uso intenso da capacidade de processamento de cpus. o artigo introdutório está aqui http://www.freebsdnews.net/2009/08/11/accelerating-secure-storage-on-freebsd/ e contém vários links, inclusive para download do artigo em *pdf. divirtam-se :) Sim, e este tipo de artigo mostra que a Intel leva a sério o FreeBSD. O que é muito melhor de ouvir do que Nós não fornecemos suporte a este SO. Só por causa disso meu próximo processador será Intel novamente. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
On 11 Aug 2009, at 14:47, Eduardo Schoedler wrote: Aproveitando o gancho, estou querendo colocar SSL no nosso servidor de emails. Qual o tipo de chave necessária nesse caso ? É o mesmo tipo de chave utilizando em webservers ? Olha, eu normalmente faço é comprar um multi-subdomains e colocar o mesmo par de chaves pra tudo. Eu compro na godaddy (como falei antes) um cert pra 5 subdominios (U$160/2anos - 20 % = U$128), ai faço ele pra pop.dominio.com.br, smtp.dominio.com.br, imap.dominio.com.br, www.dominio.com.br e secure.dominio.com.br. Depois cria duas copias das chaves. Uma pra usar no apache (que a chave privada e publica tem que tar separadas) e outra pro qmail e courier num .pem (nada de mais so 2 ou 3 comandinhos no openSSL). Não é a melhor das politicas ficar sitribuindo copias da chave privada no seu sistema, mas se você levar em conta que se um atacante puder acessar uma ele também pode a outra, ai é quase a mesma coisa, pois ta tudo no FS. Em geral não uso self-signed porque U$64.00/ano é U$0.18/dia. Só o tempo que os clientes gastam clicando naquele maldito botão (que no outlook é superchato de parar) e o custo do suporte que ele vai gerar não vale a pena. Jean - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] Compra Certificado SSL
Jean Everson Martina wrote: Olha, eu normalmente faço é comprar um multi-subdomains e colocar o mesmo par de chaves pra tudo. Eu compro na godaddy (como falei antes) um cert pra 5 subdominios (U$160/2anos - 20 % = U$128), ai faço ele pra pop.dominio.com.br, smtp.dominio.com.br, imap.dominio.com.br, www.dominio.com.br e secure.dominio.com.br. Depois cria duas copias das chaves. Uma pra usar no apache (que a chave privada e publica tem que tar separadas) e outra pro qmail e courier num .pem (nada de mais so 2 ou 3 comandinhos no openSSL). Não é a melhor das politicas ficar sitribuindo copias da chave privada no seu sistema, mas se você levar em conta que se um atacante puder acessar uma ele também pode a outra, ai é quase a mesma coisa, pois ta tudo no FS. Em geral não uso self-signed porque U$64.00/ano é U$0.18/dia. Só o tempo que os clientes gastam clicando naquele maldito botão (que no outlook é superchato de parar) e o custo do suporte que ele vai gerar não vale a pena. Olá Jean. Obrigado pelas respostas. Pelo que entendi, chave é chave. Você usa onde quiser, certo ? O seu esquema de multi-SUBdomains não se aplica para nós. É um servidor de email com vários domínios virtuais. Eu precisaria de uma chave para cada domínio ? São quase 500... Talvez se eu alterasse os clientes para usar o nome do host ao invés do alias mail.dominio.com.br funcionaria sua idéia de multi-subdomains. Abraço! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Dúvida em quarantine-attachments.txt (Qmail)
Olá amigos da lista, boa noite. O conteúdo do arquivo quarantine-attachments.txt em /usr/local/qmailscan no qual bloqueio recebimento de extensões do tipo .bat, .exe, .mp3, .pps, .ppt, etc.. Teria como eu NÃO utilizar esta regra de bloqueio apenas para alguns usuários, por exemplo, para não bloquear para os e-mails dos diretores? Pelo que sei, este arquivo é global e único... alguém discorda? Teria como optar esta regra do quarantine-attachments.txt apenas para alguns e-mails? Obrigada, Juliana Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Backup com amanda
Alguém que utiliza o amanda, já tentou compactar arquivo por arquivo independentemente? Isto é possível? Eu não quero trabalhar com blocos de arquivos compactados, porque em caso de falhas físicas acabo perdendo mais de um arquivo. -- [], Anderson Alves de Albuquerque. --- E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @) andersonaa#gmail.com (replace # by @) ICQ: 73222660 --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
