LINUX.ORG.RU

Сообщения solardiz

 

Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров

Группа Безопасность

Выпущена новая версия passwdqc - набора инструментов для контроля сложности паролей и парольных фраз, включающего модуль pam_passwdqc, программы pwqcheck, pwqfilter (добавлена в этой версии) и pwqgen для использования вручную или из скриптов, а также библиотеку libpasswdqc. Поддерживаются как системы с PAM (большинство Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), так и без PAM (поддерживается интерфейс passwordcheck в OpenBSD, прилагается обвязка для использования pwqcheck из PHP, существует платная версия для Windows, а программы и библиотека также могут быть использованы и на других системах).

По сравнению с прошлыми версиями, добавлена поддержка внешних файлов фильтрации паролей, в том числе двоичных, которые на данный момент являются реализацией улучшенного кукушкиного фильтра. Такой фильтр гарантированно не пропустит ни один из запрещенных паролей, но может изредка приводить к ложным срабатываниям, вероятность которых при используемых в passwdqc настройках и алгоритме пренебрежимо мала. Проверка пароля на наличие в фильтре требует не более двух доступов случайного чтения с диска, что очень быстро и, как правило, не создает чрезмерной загрузки сервера.

( читать дальше... )

>>> Анонс от Openwall на английском

 , , , ,

solardiz ()

John the Ripper 1.9.0-jumbo-1 с поддержкой FPGA

Группа Безопасность

Выпущена новая версия старейшей поддерживаемой программы для подбора паролей John the Ripper 1.9.0-jumbo-1 (проект развивается с 1996 года). На странице проекта доступны для скачивания исходники, а также готовые сборки под Windows.

Отмечается, что с выхода версии 1.8.0-jumbo-1 прошло 4.5 года, за которые было внесено более 6000 изменений (git commits) от более 80 разработчиков. В течение этого срока разработчики рекомендовали использовать текущую редакцию с GitHub, состояние которой поддерживалось стабильным несмотря на вносимые изменения благодаря непрерывной интеграции, включающей предварительную проверку каждого изменения (pull request) на многих платформах. Особенностью новой версии является появление поддержки FPGA (ПЛИС) в дополнение к CPU, GPU и Xeon Phi.

( читать дальше... )

>>> Подробности

 , , , ,

solardiz ()

Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет.

Группа Безопасность

Вышла версия 3.0 дистрибутива Openwall GNU/*/Linux (для краткости - Owl), разрабатываемого преимущественно в России.

Owl - компактный, с повышенной безопасностью и встроенной поддержкой OpenVZ-виртуализации дистрибутив Linux для серверов. Owl также хорошо подходит в качестве базовой системы для образов виртуальных машин и для встраиваемых систем, а один CD с Owl включает полную live-систему, устанавливаемые пакеты, инсталлятор, полные исходники и даже систему сборки.

Доступны для скачивания ISO-образы для i686 и x86-64 (каждый - на один CD диск).

Изменения с версии 2.0 включают добавление поддержки x86-64, переход на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями), интеграцию поддержки OpenVZ (как host, так и guest), автоматическую сборку ISO-образов и шаблонов OpenVZ («make iso», «make vztemplate»), поддержку файловой системы ext4 (более того, инсталлятор по умолчанию предлагает использовать именно ее, поддерживая при этом также выбор ext3 или ext2), поддержку xz-сжатия (не только команды xz*, но и поддержку в tar, rpm, less, цветной выдаче ls), немного дополнительных пакетов (smartmontools, mdadm, cdrkit, pciutils, dmidecode, vzctl, vzquota, xz), много обновлений версий пакетов, улучшенную поддержку оборудования и более очевидный процесс установки, распознавание и запись информации об отправителе сообщений в syslogd (записываются UID и PID, если отправитель не root), «черный список» ключей в OpenSSH (по следам известной проблемы в Debian), и многое другое.

Одна из особенностей Owl 3.0 - полное отсутствие SUID программ в умалчиваемой установке. (Вместо них есть небольшое количество SGID программ, а доступ соответствующих групп не расширяется до root-доступа без дополнительной уязвимости.)

После этого релиза будет вестись поддержка ветки 3.0-stable, а дальнейшие разработки продолжатся в Owl-current.

>>> Анонс от Openwall

 , , , , ,

solardiz ()

Параллелизация John the Ripper с помощью OpenMP - поддержка bcrypt, SHA-crypt, SunMD5

Группа Безопасность

Вышла новая версия John the Ripper, программы для подбора/аудита Unix-паролей (и не только Unix) по их хешам, впервые с официальной поддержкой параллелизации, реализованной с помощью директив OpenMP (требуется GCC 4.2+, Sun Studio или другой компилятор с поддержкой OpenMP). На данном этапе, OpenMP поддерживается и эффективно работает для «медленных» типов хешей: OpenBSD-подобных на основе Blowfish (алгоритм bcrypt), glibc 2.7+ SHA-crypt, Solaris SunMD5. Для bcrypt используется оптимизированный код (на x86-64 вычисляет по два хеша параллельно на каждый поток). Для SHA-crypt и SunMD5 пока что используется системная функция crypt_r(3) на glibc или поддерживающая многопоточность crypt(3C) на Solaris (причем SHA-crypt там поддерживается тоже).

Эффективность этого подхода была проверена еще до релиза на 4- и 8-ядерных x86-64 и на UltraSPARC T2 (4 ядра, 32 потока). Для bcrypt, на 4-ядерных Core i7 и UltraSPARC T2 ускорение (по сравнению с одним процессом, не поддерживающим параллелизм) составило от 5.3 до 5.5 раз (оно превышает 4 раза благодаря SMT). На 8-ядерной системе (без SMT), ускорение составило 7.9 раза. Для SHA-crypt на Linux и Solaris и для SunMD5 на Solaris результаты чуть хуже - ускорение около 3.7 раз на 4-ядерных системах. Для обсуждаемых типов хешей и их типичных настроек (количество итераций, которое регулируется системным администратором) речь может идти об ускорении примерно с 200 до 700-1600 проверяемых комбинаций {пользователь, пароль} в секунду. Дальнейший параллелизм на несколько машин пока что может осуществляться по-старинке (вручную или с MPI).

Одно из основных преимуществ OpenMP-подхода: простота в сборке, установке и использовании программы. Причем использование ничем не отличается от традиционного, JtR работает как обычно (включая возможность прервать и продолжить работу с прежнего места), только быстрее. Один из основных недостатков - необходимость реализации поддержки для каждого типа хешей или интерфейса отдельно.

В будущих версиях JtR ожидается расширение поддержки параллелизма и на другие типы хешей - с использованием имеющегося в JtR оптимизированного кода.

>>> Анонс от Openwall

 , , , ,

solardiz ()

passwdqc 1.2.0 - парольные фразы по-русски

Группа Безопасность

Выпущена новая версия passwdqc - набора инструментов для контроля сложности паролей и парольных фраз, включающего PAM-модуль, программы и библиотеку. Поддерживаются как системы с PAM (большинство Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), так и без PAM.

Одна из новых возможностей - поддержка парольных фраз, содержащих 8-битные символы (в частности, koi8-r). Теперь такие фразы распознаются и допускаются.

Помимо этого, существенно повышена эффективность работы passwdqc в плане как распознавания слабых паролей, так и легкости выбора пароля, удовлетворяющего требованиям программы, увеличена энтропия генерируемых парольных фраз (с 42 до 47 бит по умолчанию), добавлена поддержка интерфейса passwordcheck в OpenBSD, упрощена сборка RPM-пакетов passwdqc.

Одновременно с этим релизом выложены скриншоты, а также созданы Wiki-странички и список рассылки passwdqc-users (на английском). Пакет passwdqc в Debian уже обновился до версии 1.2.0.

Взято с OpenNet, подробности на русском там: http://www.opennet.ru/opennews/art.sh...

>>> Анонс от Openwall (подробности на английском и ссылки)

 , , ,

solardiz ()

RSS подписка на новые темы