📨 Протоколы безопасности электронной почты

🔹1. SSL/TLS
SSL (Secure Sockets Layer) и TLS (Transport Layer Security) — это протоколы шифрования, которые используются для защиты соединений между почтовым клиентом и сервером.
Ключевые моменты:
- Обеспечивают шифрование данных, чтобы защитить их от перехвата.
- Используются в протоколах передачи почты (SMTP, IMAP, POP3).
- Например, защищенное соединение обозначается как SMTPS (порт 465), IMAPS (порт 993) или POP3S (порт 995).



🔹2. SPF (Sender Policy Framework)
SPF помогает предотвратить подделку отправителя.
Как работает:
- Домены публикуют в DNS список IP-адресов, которые имеют право отправлять почту от их имени.
- Почтовые серверы проверяют, совпадает ли IP отправителя с разрешённым списком.



🔹3. DKIM (DomainKeys Identified Mail)
DKIM защищает письма от подделки.
Как работает:
- Использует цифровую подпись, которая добавляется в заголовок сообщения.
- Получатель может проверить подлинность письма с помощью публичного ключа, опубликованного в DNS отправителя.



🔹4. DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC объединяет SPF и DKIM для усиления защиты.
Ключевые функции:
- Позволяет владельцам доменов указать, как обработать сообщения, которые не проходят SPF или DKIM.
- Генерирует отчёты для отправителей о подозрительных действиях.



🔹5. S/MIME (Secure/Multipurpose Internet Mail Extensions)
Протокол для шифрования и подписания сообщений электронной почты.
Особенности:
- Обеспечивает конфиденциальность благодаря шифрованию содержимого.
- Гарантирует целостность письма и его происхождение с помощью цифровой подписи.



🔹6. PGP (Pretty Good Privacy)
PGP используется для шифрования электронной почты и файлов.
Как работает:
- Предоставляет возможность создавать пары открытых и закрытых ключей.
- Получатель расшифровывает письмо с помощью своего закрытого ключа.



🔹7. Антивирусы и антиспам-фильтры
Современные почтовые системы интегрируют механизмы сканирования писем для выявления вредоносных вложений и фишинговых ссылок.



🔹8. Использование современных стандартов (MTA-STS и DANE)
- MTA-STS (Mail Transfer Agent Strict Transport Security): обеспечивает защиту от атак типа man-in-the-middle (MITM), гарантируя, что сообщения отправляются только через защищённые TLS-соединения.
- DANE (DNS-Based Authentication of Named Entities): добавляет уровень аутентификации через DNSSEC.



Рекомендации для пользователей:
1. Используйте почтовые сервисы с поддержкой SSL/TLS.
2. Настройте SPF, DKIM и DMARC для своего домена.
3. Активируйте двухфакторную аутентификацию (2FA).
4. Регулярно обновляйте почтовые клиенты и серверы.
5. Обучайте сотрудников правилам кибербезопасности.

Эти протоколы и меры обеспечивают защиту от фишинга, перехвата данных и других угроз. Соблюдение рекомендаций минимизирует риски и делает вашу почту безопасной.

@sysadmin1

Простое копирование ssh ключей между серверами c использованием утилиты ssh-copy-id

Традиционно администраторы решают задачу копирования ssh ключей между серверами путем копирования содержимого файла /root/.ssh/id_rsa.pub с сервера server1 на server2 в файл /root/.ssh/authorized_keys. Копируют обычно из одного терминала в другой, но есть более изящное решение — это использование утилиты ssh-copy-id, которая позволяет скопировать содержимое id_rsa.pub сервера источник (в нашем случае server1) на сервер приемник (server2) в нужный нам authorized_keys не открывая консоль сервера приемника (server2).

⚫️Исходные данные: 2 сервера с Debian (server1 и server2).
Задача: Организовать вход по ssh ключу с сервера server1 на server2 с правами root.

Итак сделаем все по порядку:

1. 🔑Генерируем публичный открытый и закрытый ключи, под пользователем root на server1:
ssh-keygen -t rsa

Если на сервере уже есть эти ключи, то он выдаст предупреждение, где нужно будет либо подтвердить замену старых ключей либо отказаться.
Мы создаем ключи впервые, поэтому предупреждения не будет, будет выведена примерно такая информация:

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): <-- ENTER
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): <-- ENTER
Enter same passphrase again: <-- ENTER
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.

Вы можете защитить приватный ключ паролем и тогда чтобы попасть на сервер server2 по ssh ключу нужно будет ввести этот пароль, я настоятельно рекомендую для доступа с уровнем root ввести пароль на приватный ключ.
Ключи сгенерированы, мы можем проверить под пользователем root выполнив команду
cat ~/.ssh/id_rsa.pub

В ответ увидим примерно:
ssh-rsa AAAAB3Nz.....ywWmpl root@server1

Теперь нужно передать публичный ключ id_rsa.pub пользователя root на server2, для этого на server1 выполняем:
ssh-copy-id -i ~/.ssh/id_rsa.pub root@server2

Вводим пароль root от сервера server2 и ключ будет передан и записан в нужный файл authorized_keys

Важное уточнение: Чтобы передать публичный ключ на server2 под root нужно чтобы пользователю root было разрешен вход по ssh на server2, обычно при базовой установке Debian/Ubuntu вход под root по ssh разрешен, это настраивается директивой PermitRootLogin в файле /etc/ssh/sshd_config

PermitRootLogin yes — Вход под root по ssh разрешен.

PermitRootLogin no — Вход под root по ssh запрещен.

PermitRootLogin without-password — Вход под root по ssh разрешен только по ssh ключам.

PermitRootLogin forced-commands-only — Вход под root по ssh разрешен только по ssh ключам и только для выполнения заранее определенной команды, сама команда прописывается в /root/.ssh/authorized_keys в формате:

command="rsync" ssh-rsa AAAAB3N……. root@server2

После изменения PermitRootLogin не забудьте перезапустить службу sshd командой:

service sshd restart

@sysadmin1

Стандарты безопасности в Kubernetes (Константин Аксенов, VK Kubernetes Conf 2023)

Доклад руководителя разработки Deckhouse Kubernetes Platform (https://deckhouse.ru/) Константина Аксенова на VK Kubernetes Conf 2023. Автор рассказывает про рецепты и лучшие практики безопасности в Kubernetes, разбирает, какие из них действительно необходимы.

(0:00) Intro
(0:36) Безопасность в Kubernetes и как она влияет на доставку
(3:10) О стандартах безопасности
(5:08) Общая идея всех стандартов
(6:28) Пять шагов к безопасности в Kubernetes
(7:03) Шаг 1: корректная конфигурация кластера
(9:58) Шаг 2: сканирование образов
(11:48) Шаг 3: сетевая безопасность
(15:09) Шаг 4: контроль над запускаемыми приложениями
(18:08) Шаг 5: аудит и регистрация событий
(25:27) Итоги
(26:37) Q&A

⚫️Текстовый обзор доклада: https://habr.com/ru/companies/vk/articles/730158/
⚫️Презентация: https://speakerdeck.com/flant/standarty-biezopasnosti-v-kubernetes

@sysadmin1