菜逼八的系統雜工，一點一點的累積: 10月 2014

2014/10/16

CVE-2014-3566 關閉sslv3 in windows

https://technet.microsoft.com/en-us/library/security/3009008.aspx

Suggested Actions

Apply Workarounds

Workarounds refer to a setting or configuration change that does not correct the underlying issue but would help block known attack vectors before a security update is available.

Disable SSL 3.0 and enable TLS 1.0, TLS 1.1, and TLS 1.2 in Internet Explorer
You can disable the SSL 3.0 protocol in Internet Explorer by modifying the Advanced Security settings in Internet Explorer.

To change the default protocol version to be used for HTTPS requests, perform the following steps:
1. On the Internet Explorer Tools menu, click Internet Options.
2. In the Internet Options dialog box, click the Advanced tab.
3. In the Security category, uncheck Use SSL 3.0 and check Use TLS 1.0, Use TLS 1.1, and Use TLS 1.2 (if available).
4. Click OK.
5. Exit and restart Internet Explorer.
Note After applying this workaround, Internet Explorer will fail to connect to Web servers that only support SSL up to 3.0 and don’t support TLS 1.0, TLS 1.1, and TLS 1.2.

Disable SSL 3.0 and enable TLS 1.0, TLS 1.1, and TLS 1.2 for Internet Explorer in Group Policy
You can disable support for the SSL 3.0 protocol in Internet Explorer via Group Policy by modifying the Turn Off Encryption Support Group Policy Object.
1. Open Group Policy Management.
2. Select the group policy object to modify, right click and select Edit.
3. In the Group Policy Management Editor, browse to the following setting:
  Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Advanced Page -> Turn off encryption support
4. Double-click the Turn off Encryption Support setting to edit the setting.
5. Click Enabled.
6. In the Options window, change the Secure Protocol combinations setting to "Use TLS 1.0, TLS 1.1, and TLS 1.2".
7. Click OK.
Note Administrators should make sure this group policy is applied appropriately by linking the GPO to the appropriate OU in their environment.

Note After applying this workaround, Internet Explorer will fail to connect to Web servers that only support SSL up to 3.0 and don’t support TLS 1.0, TLS 1.1, and TLS 1.2.

Disable SSL 3.0 in Windows
You can disable support for the SSL 3.0 protocol on Windows by following these steps:
1. Click Start, click Run, type regedt32 or type regedit, and then click OK.
2. In Registry Editor, locate the following registry key:
  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\SSL 3.0\Server
  
  Note If the complete registry key path does not exist, you can create it by expanding the available keys and using the New -> Key option from the Edit menu.
3. On the Edit menu, click Add Value.
4. In the Data Type list, click DWORD.
5. In the Value Name box, type Enabled, and then click OK.
  Note If this value is present, double-click the value to edit its current value.
6. Type 00000000 in Binary Editor to set the value of the new key equal to "0".
7. Click OK. Restart the computer.
Note This workaround will disable SSL 3.0 for all server software installed on a system, including IIS.

Note After applying this workaround, clients that rely only on SSL 3.0 will not be able to communicate with the server.

[轉載]如何修復 POODLE SSLv3 安全性漏洞 (CVE-2014-3566)

http://www.oschina.net/question/12_175450

POODLE = Padding Oracle On Downgraded Legacy Encryption

首先, 這是一個遲來的命名，但安全問題仍然可怕。最新的安全性漏洞 (CVE-2014-3566) 代號是 POODLE, 這是一個縮寫，按照上面的標題有實際的意義嗎？

這個漏洞和之前的 B.E.A.S.T (Browser Exploit Against SSL TLS) 非常相似，但是目前還沒有可靠的解決辦法，除非完全禁用 SSLv3 的支持。簡單的說，攻擊者可獲取你加密流中的明文資料。

還是讓我們來看看如何處理吧，Mozilla Security Wiki Serverside TLS 之前建議使用嚴格的協議和加密方法限制，值得我們注意。

Apache

在Apache 的 SSL 配置中禁用 SSLv3 和 SSLv3：

1	`SSLProtocol all -SSLv2 -SSLv3`

Nginx

在 Nginx 只允許使用 TLS 協定：

1	`ssl_protocols TLSv1 TLSv1.1 TLSv1.2;`

MySQL

值得注意的是，除非你在 MySQL 5.6 中部署 sha256_password 外掛程式，plugin for MySQL 5.6 就會在驗證握手之前必須完成SSL/TLS連接協商，因此這種攻擊向量只成為一個問題 —— 有效的登錄訪問的資料流程。（sha256_password 提供一個選項使用 SSL/TLS 的認證）

這使得事情變得更加有趣，和 Apache 和 Nginx 不同的是，沒有方法來完全啟用和禁用 SSL/TLS 協議，但可以指定 SSL 通訊的加密規範.

要在 MySQL 刪除 SSLv3 的支援，你只需要確定在配置中不使用 SSLv3 加密。

在這個 bug 中你可以找到 SSLv3 加密方法列表：

openssl
  ciphers -v

'DEFAULT' | awk '/SSLv3 Kx=(RSA|DH|DH(512))/ { print $1 }'

DHE-RSA-AES256-SHA

DHE-DSS-AES256-SHA

DHE-RSA-CAMELLIA256-SHA

DHE-DSS-CAMELLIA256-SHA

AES256-SHA

CAMELLIA256-SHA

EDH-RSA-DES-CBC3-SHA

EDH-DSS-DES-CBC3-SHA

DES-CBC3-SHA

DHE-RSA-AES128-SHA

DHE-DSS-AES128-SHA

DHE-RSA-SEED-SHA

DHE-DSS-SEED-SHA

DHE-RSA-CAMELLIA128-SHA

DHE-DSS-CAMELLIA128-SHA

AES128-SHA

SEED-SHA

CAMELLIA128-SHA

RC4-SHA

RC4-MD5

EDH-RSA-DES-CBC-SHA

EDH-DSS-DES-CBC-SHA

DES-CBC-SHA

EXP-EDH-RSA-DES-CBC-SHA

EXP-EDH-DSS-DES-CBC-SHA

EXP-DES-CBC-SHA

EXP-RC2-CBC-MD5

EXP-RC4-MD5

刪除 ssl-cipher 配置中的上述資訊就可以禁用 SSLv3 支援。當然，確保 MySQL 服務不提供一般訪問是迄今為止對抗 CVE-2014-3566 漏洞最重要的一個步驟。

你可以通過這裡瞭解更多關於 POODLE 的資訊。

以下腳本可以識別你的服務是否提供沒有密碼的 SSLv3 支援：

mysql -se
  “SHOW STATUS LIKE ‘Ssl_cipher_list'” | sed

‘s/:/n/g’ | sed

‘s/Ssl_cipher_listss//g’
  |

while read sspec;

do

SPEC=openssl
  ciphers -v

“$sspec” 2>/dev/null | grep -v SSLv3 | awk

‘{print
  $1}';

[[ "$sspec" == "$SPEC"

]]
  && mysql –ssl-cipher=$sspec -e QUIT 2>/dev/null

&&
  echo

“$sspec OK”;

done

水準有限，翻譯如有誤請幫忙指出，謝謝！

via percona

因為這次的漏洞是在SSLV3的協定上，沒辦法靠Patch進行修正，需要關閉sslv3，開啟tls

使用nmap+ssl-enum-ciphers掃描
下載NMAP：http://nmap.org/download.html
下載ssl-enum-ciphers.nse，http://nmap.org/svn/scripts/ssl-enum-ciphers.nse

說明頁：http://nmap.org/nsedoc/scripts/ssl-enum-ciphers.html

使用方式：
網址：https://www.vanstechelman.eu/content/scan-for-poodle-using-nmap-from-a-windows-machine

語法範例：
nmap --script ssl-enum-ciphers -p 443 192.168.1.17
nmap --script ssl-enum-ciphers -p 443 192.168.1.0/24

有使用sslv3的話會出現這樣
Starting Nmap 6.40 ( http://nmap.org ) at 2014-10-15 12:27 Romance Daylight Time

Nmap scan report for 192.168.1.17
Host is up (0.019s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| SSLv3:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_RC4_128_SHA - strong
| compressors:
| NULL
| TLSv1.0:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_RC4_128_SHA - strong
| compressors:
| NULL
|_ least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 22.44 seconds

沒使用sslv3
nmap --script ssl-enum-ciphers -p 443 192.168.1.17

Starting Nmap 6.40 ( http://nmap.org ) at 2014-10-15 12:33 Romance Daylight Time

Nmap scan report for 192.168.1.17
Host is up (0.019s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| SSLv3: No supported ciphers found
| TLSv1.0:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_RC4_128_SHA - strong
| compressors:
| NULL
|_ least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 21.74 seconds

2014/10/13

[ISO27001]2013與2005差異，文章連結整理自ITHOME

ISO 27001:2013 與ISO 27001:2005差異比較#1
http://ithelp.ithome.com.tw/question/10132147

ISO 27001:2013 與ISO 27001:2005差異比較#2
http://ithelp.ithome.com.tw/question/10132298

ISO 27001:2013 與ISO 27001:2005差異比較#3
http://ithelp.ithome.com.tw/question/10133106

ISO 27001:2013 與ISO 27001:2005差異比較#4
http://ithelp.ithome.com.tw/question/10133202

ISO 27001:2013 與ISO 27001:2005差異比較#5
http://ithelp.ithome.com.tw/question/10133631

ISO 27001:2013 與ISO 27001:2005差異比較#6
http://ithelp.ithome.com.tw/question/10134055

ISO 27001:2013 與ISO 27001:2005差異比較#7
http://ithelp.ithome.com.tw/question/10134491

ISO 27001:2013 與ISO 27001:2005差異比較#8
http://ithelp.ithome.com.tw/question/10134951

ISO 27001:2013 與ISO 27001:2005差異比較#9
http://ithelp.ithome.com.tw/question/10135400

ISO 27001:2013 與ISO 27001:2005差異比較#10
http://ithelp.ithome.com.tw/question/10135879

ISO 27001:2013 與ISO 27001:2005差異比較#11
http://ithelp.ithome.com.tw/question/10136261

ISO 27001:2013 與ISO 27001:2005差異比較#12
http://ithelp.ithome.com.tw/question/10136651

ISO 27001:2013 與ISO 27001:2005差異比較#13
http://ithelp.ithome.com.tw/question/10136989

ISO 27001:2013 與ISO 27001:2005差異比較#14
http://ithelp.ithome.com.tw/question/10137333

ISO 27001:2013 與ISO 27001:2005差異比較#15
http://ithelp.ithome.com.tw/question/10137701

ISO 27001:2013 與ISO 27001:2005差異比較#16
http://ithelp.ithome.com.tw/question/10138133

ISO 27001:2013 與ISO 27001:2005差異比較#17
http://ithelp.ithome.com.tw/question/10138416

ISO 27001:2013 與ISO 27001:2005差異比較#18
http://ithelp.ithome.com.tw/question/10138636

ISO 27001:2013 與ISO 27001:2005差異比較#20
http://ithelp.ithome.com.tw/question/10139033

ISO 27001:2013 與ISO 27001:2005差異比較#21
http://ithelp.ithome.com.tw/question/10139181

ISO 27001:2013 與ISO 27001:2005差異比較#22
http://ithelp.ithome.com.tw/question/10139392

ISO 27001:2013 與ISO 27001:2005差異比較#23
http://ithelp.ithome.com.tw/question/10139577

ISO 27001:2013 與ISO 27001:2005差異比較#24
http://ithelp.ithome.com.tw/question/10139731

ISO 27001:2013 與ISO 27001:2005差異比較#25
http://ithelp.ithome.com.tw/question/10139872

ISO 27001:2013 與ISO 27001:2005差異比較#26
http://ithelp.ithome.com.tw/question/10140073

ISO 27001:2013 與ISO 27001:2005差異比較#27
http://ithelp.ithome.com.tw/question/10140157

ISO 27001:2013 與ISO 27001:2005差異比較#28
http://ithelp.ithome.com.tw/question/10140229

ISO 27001:2013 與ISO 27001:2005差異比較#29
http://ithelp.ithome.com.tw/question/10140362

ISO 27001:2013 與ISO 27001:2005差異比較#30
http://ithelp.ithome.com.tw/question/10140501

ISO 27001:2013 與ISO 27001:2005差異比較#31 之意外插曲篇
http://ithelp.ithome.com.tw/question/10140581

[GIT]安裝GITLAB in centos 6

下載及安裝套件：

wget https://downloads-packages.s3.amazonaws.com/centos-6.5/gitlab-7.0.0_omnibus-1.el6.x86_64.rpm
sudo yum install openssh-server
sudo yum install postfix # Select 'Internet Site', using sendmail or exim is also OK
sudo rpm -i gitlab-7.0.0_omnibus-1.el6.x86_64.rpm
Edit the configuration file to add your hostname

sudo edit /etc/gitlab/gitlab.rb
Install and start GitLab

sudo gitlab-ctl reconfigure
sudo lokkit -s http -s ssh

Browse to the hostname and login
Username: root
Password: 5iveL!fe

使用gitlab

假設建立好了GITLAB帳號:mming

ssh-key也加入server了

Git global setup:

指令

git config --global user.name "mming"
git config --global user.email "mming@test.com.tw"

Create Repository

指令

mkdir test
cd test
git init
touch README
git add README
git commit -m 'first commit'
git remote add origin git@192.168.75.111:mming/test.git
git push -u origin master

Existing Git Repo?

cd existing_git_repo
git remote add origin git@192.168.75.111:mming/test.git
git push -u origin master

Windows 遠端關機

一、需要先連線至遠端電腦，並進行帳、密驗証
二、遠端關機(因為這邊不會進帳密驗証)
三、刪除連線

net use \\遠端電腦ip\ipc$ /u:電腦名稱\帳號密碼
shutdown -r -m \\遠端電腦ip
net use * /delete

1、帳號需有關機權限
2、需啟用file and printer sharing for Microsoft Networks

3、使用方式: shutdown [/i | /l | /s | /r | /g | /a | /p | /h | /e] [/f]
[/m \\computer][/t xxx][/d [p|u:]xx:yy [/c "comment"]]

No args 顯示說明。與輸入 /? 意義相同。
/? 顯示說明。與不輸入任何選項意義相同。
/i 顯示圖形化使用者介面 (GUI)。
這必須是第一個選項。
/l 登出。不能和 /m 或 /d 選項一起使用。
/s 將電腦關機。
/r 將電腦關機並重新啟動。
/g 將電腦關機並重新啟動。當系統
重新開機後，請重新啟動任何已登錄的應用程式。
/a 中止系統關機。
只有在等候逾時期間可以使用這個選項。
/p 沒有等候逾時時間或警告就關閉本機電腦
能和 /d 與 /f 選項一起使用。
/h 讓本機電腦休眠。
能和 /f 選項一起使用。
/e 記錄電腦意外關機的理由。
/m \\computer 指定目標電腦。
/t xxx 將關機前的等候逾時時間設定為 xxx 秒。
正確的範圍是 0-315360000 (10 年)，預設值為 30。
若逾時期間大於 0，則會隱含 /f
參數。
/c "comment" 重新啟動或關機理由的註解。
最多僅允許 512 個字元。
/f 沒有事先警告使用者就強制執行中的應用程式關閉。
為 /t 參數指定大於 0 的值時，
會隱含 /f 參數。
/d [p|u:]xx:yy 提供重新啟動或關機的理由。
p 代表重新啟動或關機是已計劃的。
u 代表理由是由使用者所定義。
若未指定 p 或 u，則重新啟動或關機
是未計劃的。
xx 是主要的理由編號 (小於 256 的正整數)。
yy 是次要的理由編號 (小於 65536 的正整數)。