Как выполнить ремонт Kerberos Server в версии ALDPro 2.*.*? 

К хроникам импортозамещения. <br/> В последней версии ALDPro 2.4.1 (FreeIPA) Kerberos сервер продолжает продлевать билеты для заблокированных пользователей, что создает серьезную угрозу безопасности в системе Astra Linux + ALDPro. Можете ли вы подсказать, кто обладает этой информацией? Похоже, что данная проблема возникла из-за багов в FreeIPA. Также мне интересно, в какой версии эта ошибка была исправлена? Какие библиотеки необходимо обновить, чтобы устранить некорректное поведение Kerberos сервера, при этом желательно сохранить версии библиотек в рамках, чтобы не повредить другим системам? <br/> Позвольте пояснить суть проблемы: <br/> Lifetime of Kerberos tickets (время жизни билета) — это период, в течение которого билет считается действительным. <br/> Kerberos ticket renew time (время обновления билета) — это период, в течение которого билет может быть обновлён без повторного ввода логина и пароля. <br/> В стандартной ситуации время жизни билета составляет 10 часов, а время его обновления — 7 дней (это настройки по умолчанию для MS AD). <br/> Как отмечается, Kerberos сервер ALD Pro продлевает билеты для пользователей, которые заблокированы в системе. Таким образом, билет заблокированного пользователя может оставаться действительным и использоваться ещё в течение 7 дней, что гарантирует доступ ко всем системам. =(((( <br/> <br/> P.S. Прошу не направлять запросы в поддержку Astra, так как они уже осведомлены о данной уязвимости и не планируют её исправлять, полагая, что уравнение времени жизни билета и времени обновления билета решает проблему (Lifetime of Kerberos tickets = kerberos ticket renew time). К тому же в ФСТЭК отсутствует соответствующий формуляр...
  • 21 марта 2025 г. 8:54
Ответы на вопрос 2 
Для решения проблемы продления билетов Kerberos для заблокированных пользователей в ALDPro 2.4.1 на базе FreeIPA, рекомендуется рассмотреть несколько подходов:

1. **Обновление FreeIPA**: Первое, что стоит сделать — проверить, существует ли уже исправление данной уязвимости в более новых версиях FreeIPA. На момент ваших тестов в версии 2.4.1 данной проблемы, возможно, не было исправлено. Поэтому стоит обратиться к релиз-нотам FreeIPA и выяснить, с какой версии данная уязвимость была устранена.

2. **Настройка параметров Kerberos**: Если обновление невозможно или оно не решает проблемы, вам следует изучить конфигурацию Kerberos и, при необходимости, изменить параметры, связанные с жизненным циклом билетов. Рассмотрите изменение **max lifetime** и **renewable lifetime** для неподходящих пользователей или ограничение на уровне ACL, чтобы заблокированные пользователи не могли получать или обновлять билеты.

3. **Патчи и библиотечные зависимости**: Если у вас есть опыт работы с Kerberos и FreeIPA, вы можете попробовать применить патчи самостоятельно. Вам также потребуется проверить версии библиотек, используемых FreeIPA. Обычно, для решения проблем с безопасностью важно обновить библиотеки Kerberos и пакеты, такие как `krb5`, `libkrb5`, `freeipa`, и другие, которые связаны с аутентификацией и билетообразованием.

4. **Мониторинг и аудит**: Необходимо внедрить аудит в вашей системе для обнаружения попыток аутентификации с билетом заблокированных пользователей. Это поможет выявить возможные атаки или ненадежные действия.

5. **Информационные ресурсы**: Попробуйте связаться со специалистами в области безопасности или разработчиками FreeIPA (возможно, в сообществах), чтобы получить конкретные рекомендации касательно вашего случая. Кроме того, существуют ресурсы на GitHub и специализированные форумы, где можно получить совет от экспертов.

6. **Ограничение доступа**: Расработайте политику управления доступом, чтобы минимизировать последствия доступа заблокированных пользователей, к критически важным ресурсам.

Вся эта информация требует детального анализа вашей конкретной конфигурации и системы, чтобы избежать ненужных рисков и потерь.
Это импортозамещение, ахаха
Похожие вопросы
    Показать ещё