Generujte bezpečnostní klíče pro WordPress opravdu bezpečně

Při instalaci WordPressu se setkáte s požadavkem na definici osmi náhodných řetězců, 64 znaků dlouhých, v souboru wp-config.php. Generování těchto klíčů na stránce https://api.wordpress.org/secret-key/1.1/salt/ je Bezpečný generátor klíčůprezentováno jako bezpečné. V tomto článku popisuji zásadní bezpečnostní slabinu tohoto postupu. A z odkazu v tomto článku získáte opravdu bezpečný generátor klíčů.

Klíče a iniciační řetězce

Těchto osm řetězců je obvykle nazýváno klíče, anglicky keys. Jsou to ale čtyři klíče (KEYS) a čtyři iniciační řetězce (SALT). Klíč a iniciační řetězec vždy tvoří dvojici, která je používána pro specifický úkol. Detaily o úkolech, které páry klíč + iniciační řetězec plní, najdete v článku (v angličtině) zde.

Celý příspěvek

Kdo na mě útočí a využívá chybu v OpenSSL známou jako Heartbleed?

Způsobů detekce útoku na OpenSSL je k dispozici, samozřejmě, daleko více. Heartbleed openssl bug vector shapeTento je ale velice jednoduše realizovatelný i na běžném serveru s operačním systémem Linux. Nepotřebujete žádné IPS/IDS. Jestli se tedy chcete trochu morbidně pobavit, čtěte dále. 🙂

Celý příspěvek

Používáme OpenSSL – příprava a odvolávání certifikátů

Článek popisuje postup práce s OpenSSL při přípravě požadavku na certifikát, práci s certifikační autoritou a postup při odvolávání kompromitovaného certifikátu. Napadlo mě, že po odhalení bezpečnostní chyby v OpenSSL se návod na generování a revokaci certifikátů mnohým z vás může hodit. Pokud ještě nemáte připravenu certifikační autoritu, přečtěte si nejprve článek Používáme OpenSSL – příprava certifikační autority.

Celý příspěvek

Používáme OpenSSL – příprava certifikační autority

V tomto článku je podrobně popsán postup zprovoznění certifikační autority s využitím OpenSSL.V článku bezprosstředně následujícím popíšu postup přípravy požadavku na certifikát, vytvoření certifikátu certifikační autoritou a postup jeho odvolání. Pokud již máte funkční certifikační autoritu a pořebujete návod na nahrazení a odvolání certifikátu, čtěte článek Používáme OpenSSL –  příprava a odvolávání certifikátů.

Celý příspěvek

Jaké certifikáty OpenSSL musíme odvolat?

Aktuálním problémem mnoha administrátorů Linuxu se stala bezpečnostní chyba v OpenSSL známá jako Chyba krvácejícího srdce. Provedli aktualizace software, nahradili a případně i odvolali Heartbleed openssl bug vector shapecertifikáty na webových serverech. Postup ve složitějších případech, jako použití certifikátů v OpenVPN, již není tak jasný. Pokusím se v tomto článku tuto problematiku trochu přiblížit.

 

Vycházím ze stavu, kdy máte OpenSSL již aktualizováno na verzi, která není zranitelná. V tuto chvíli je pro mnohé administrátory Linuxu otázkou, jak přesně postupovat dále.

Celý příspěvek

Závažná bezpečnostní chyba v OpenSSL

Heartbleed openssl bug vector shapePostižené jsou verze OpenSSL 1.0.1 až po verzi 1.0.1f a 1.0.2beta. Bezpečnostní incident teoreticky umožňuje získání privátních klíčů při použití certifikátů užívaných na systémech se zranitelnými verzemi OpenSSL.

Bezpečnostní chybou je zasažen mimo jiné i RHEL 6 (samozřejmě i CentOS 6). Měl jsem díky tomu poměrně rušný den.

Celý příspěvek