[zorp-hu] (már nem) KSH és a biztonságtudat

Kosa Attila zorp-hu@lists.balabit.hu
Wed, 18 Feb 2004 14:30:44 +0100 

On Wed, Feb 18, 2004 at 12:35:45PM +0000, Magosányi Árpád wrote:
> A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
> > 
> > Ha megnezzuk az emlitett cimet, akkor lathato, hogy sajat maguknak
> > krealtak egy certificate-et, ami asp1 nevre van kiallitva, mikozben a
> > site neve asp.ksh.hu. Tudnal mutatni egy olyan konfigot, amely ehhez az
> > esethez jol van beallitva?
> 
> Először is lássuk be, hogy valamely szervezettel vagy emberrel
> kapcsolatos -akár jogos- ellenszenved kiélésére nem ez a lista
> való.

Nem tudom es nem is ertem, hogy mirol beszelsz. Orulnek neki, ha
megvilagitanad - akar maganban is -, hogy mire gondoltal.

> A kérdésedet ontopic módon így tudom értelmezni:
> """
> Van egy saját gyártmányú certem, ami "asp1" névre
> van kiállítva. Valamiért szeretném ha a szerveren
> ugyanez a cert maradna, ugyanakkor a külvilág számára
> szeretnék egy korrekt certet mutatni.
> """

Megprobalom ujra leirni a kerdesemet: a ksh-nak van egy https szervere,
amely az asp.ksh.hu:18180 cimen figyel. Ha megnezed, akkor latni fogod,
hogy asp1 neve kiallitott, altaluk "gyartott" certificate-je van. En nem
tudok helyettuk mas certificate-et mutatni a vilagnak, viszont
biztositanom kell, hogy az en tuzfalam mogott ulok biztonsagosan
elerhessek az asp.ksh.hu:18180 cimen levo https szervert. Mikeppen
konfiguralod ehhez a tuzfaladat?

> Mint mindannyian tudjuk, ebben az esetben a pssl
> használata, és a korrekt certtel való átkulcsolás
> a megoldás.

Nekem az a feladatom, hogy ellenorizzem az asp.ksh.hu altal mutatott
certificate-et, nem akarok atkulcsolni semmit. Az ettol szerintem
teljesen fuggetlen kerdes, hogy a tuzfal mogott ulo usereim nem az
asp.ksh.hu altal mutatott certificate-et fogjak latni, hanem azt, amit
en (mint tuzfal) mutatok nekik.

>                 # put the allowed CAs' certs into this directory, so
>                 # only the good servers will be allowed, for instance
>                 # if you only put verysign CA cert here, only those
>                 # servers will be allowed, which owns VS certs
>                 # WARNING: never allow sef singed certs;-))))
>                 # you can gain CA certs form apache-ssl deb package
> 		# put here the cert of the CA which signed the server
> 		# key, or set server_verify_type to NONE
>                 self.server_ca_directory = '/etc/zorp/ca.d/'

Szoval ugy valositanad meg, hogy a certjet bemasolod a /etc/zorp/ca.d/
konyvtarba.

> Ha a levél végén lévő patchet alkalmazod (emlékezetből írtam, lehet

Kulonbozo okok miatt nem all modomban patchelni.

> hogy nem is fordul, a következő unoff zorpban benne lesz tesztelve),
> akkor a MyHttpProxyban a pssl client_cert attribútuma alapján
> eldöntheted, hogy egyáltalán odaengeded-e józsit a szerverhez.

Nem ertetted a kerdest. Oda kell engednem a usereket a ksh szerverehez,
de ellenorizni szeretnem a kapcsolatot.

-- 
		Udvozlettel
				    Zsiga