NFsec Logo

Ograniczanie dostępu do wskaźników jądra w systemie plików /proc

12/04/2014 w Bezpieczeństwo Możliwość komentowania Ograniczanie dostępu do wskaźników jądra w systemie plików /proc została wyłączona

W

łączenie kernel.kptr_restrict na przykład przez sysctl spowoduje ukrycie symbolów jądra wraz z ich adresami w pliku /proc/kallsyms przed normalnymi użytkownikami (pomijając tych, którzy mają przyznane POSIX capabilities – CAP_SYSLOG). Utrudnia to trochę eksploitom wykorzystującym podatności jądra na dynamiczne odnajdywanie symboli / adresów pamięci.

Więcej informacji: Wskaźnik, kptr_restrict

Ostrożnie z parent pidami

11/04/2014 w Administracja Możliwość komentowania Ostrożnie z parent pidami została wyłączona

Jednym z sposobów uzyskania parent pid na przykład dla serwera nginx może być proste polecenie: ps -p `pidof -s nginx` -o ppid=. Zwróci ono nam parent PID serwera nginx, który możemy dalej wykorzystać do przesłania sygnałów typu USR1, QUIT i innych… Do pewnego momentu jest to bezpieczne. Ponieważ wystarczy, że serwer nginx dostanie sygnał SIGHUP, a jego PPIDem według wymienionego polecenia nagle stanie się /sbin/init aka PID 1. Dalsze operowanie na wyniku tego polecenia (np. w skrypcie) może doprowadzić do dość drastycznych skutków: kill -INT 1 – restart systemu, kill -SEGV 1, kill -ABRT 1 – kernel panic.

Diagnostyka przepustowości łącza

03/04/2014 w Administracja Możliwość komentowania Diagnostyka przepustowości łącza została wyłączona

P

oniższe narzędzia pozwalają na pomiar maksymalnej przepustowości łącza poprzez testowanie protokołów TCP oraz UDP – funkcjonując w oparciu o architekturę klient-serwer. Podczas testów umożliwiają zmianę wielu parametrów m.in. MTU, MSS, rozmiar okna itp., jak i raportowanie różnych danych. Ze względu na architekturę wymagane jest zainstalowane programu na systemach pomiędzy, którymi ma być przeprowadzony test transmisji. Przykład użycia:
[ czytaj całość… ]

Średnie obciążenie procesora

27/03/2014 w Administracja Możliwość komentowania Średnie obciążenie procesora została wyłączona

W

iększość ludzi nie ma pojęcia, co oznacza średnie obciążenie procesora. Dla większości są to liczby reprezentujące trzy średnie wartości dla stopniowo dłuższego okresu czasu (jedna, pięć i piętnaście minut). Im niższe wartości tym lepiej. Wyższe mogą oznaczać problem lub przeciążenie maszyny. Pytanie nasuwa się samo. Jaki jest próg równowagi? Jakie są dobre, a jakie złe wartości? Kiedy powinniśmy być zaniepokojeni średnim procesora systemu, a kiedy natychmiast zająć się jego stanem?
[ czytaj całość… ]

Ukrywanie procesów przed innymi użytkownikami

15/03/2014 w Bezpieczeństwo Możliwość komentowania Ukrywanie procesów przed innymi użytkownikami została wyłączona

W

styczniu 2012 Vasiliy Kulikov zaproponował poprawkę do Linuksa, która poprzez dodanie frazy hidepid do opcji montowania wirtualnego systemu plików procfs umożliwia ukrywanie procesów przed użytkownikami, do których dany proces nie należy. Patch został umieszczony w jądrze w wersji 3.3, a w między czasie backportowany do Debiana Wheezy i jego jądra w wersji 3.2 oraz RedHat Enterprise Linux 6.3 (2.6.32), jak i 5.9 (2.6.18).
[ czytaj całość… ]

Apache – podstawowy poziom bezpieczeństwa – podsumowanie

02/03/2014 w Bezpieczeństwo Możliwość komentowania Apache – podstawowy poziom bezpieczeństwa – podsumowanie została wyłączona

G

dybym miał na dzisiejszy dzień zapewnić podstawowy poziom bezpieczeństwa swojego serwera WWW – po standardowej instalacji z paczki zacząłbym od kilku rzeczy:
[ czytaj całość… ]

Zabezpiecz swoje udziały eRsynkowe, proszę

13/02/2014 w Bezpieczeństwo Możliwość komentowania Zabezpiecz swoje udziały eRsynkowe, proszę została wyłączona

S

teve Kemp jakiś czas temu zaczął prowadzić badania nad publicznie dostępnymi serwerami rsync – myśląc, że fajnym pomysłem będzie napisanie do nich silnika wyszukiwania. Dzisiaj porzucił ten projekt. Dlaczego? Ponieważ, jak się okazało w Internecie jest zbyt wiele serwerów rsync zawierających poufne i osobiste dane (np. kopie zapasowe komputerów, strony www z bazami danych SQL itd.).
[ czytaj całość… ]

Szczegółowe informacje dotyczące procesora

11/02/2014 w Administracja Możliwość komentowania Szczegółowe informacje dotyczące procesora została wyłączona

D

ave Jones napisał fajny program – x86info, który potrafi wyciągnąć szczegółowe informacje dotyczące procesora (TLB, rozmiar pamięci cache, rejestry, zestawy instrukcji, informacje z BIOSu). Proste wywołanie:

x86info -a 2>&1 | tee x86info.txt

Zrzuci nam wszystkie informacje do pliku x86info.txt

Więcej informacji man x86info

Apache HTTPD: ETag Inode Information Leakage

02/02/2014 w Bezpieczeństwo Możliwość komentowania Apache HTTPD: ETag Inode Information Leakage została wyłączona

J

eśli używamy serwera Apache możemy wykorzystać w jego komunikacji z przeglądarką ETagi (ang. Entity Tag) dla statycznych zasobów serwowanych z dysku naszego serwera. Służą one między innymi serwerowi Apache do porównywania ich wartości z nagłówkiem If-None-Match i zwracania w zależności od wyniku kodu: 304 Not modified lub 200 OK. Niestety od wersji 1.3.22 do 2.3.14 tego serwera w konstrukcji pola ETag używany jest numer i-node pliku, do którego zostało wykonane odwołanie.
[ czytaj całość… ]

Zredukowanie ilości połączeń do serwerów memcache

30/01/2014 w Administracja 1 komentarz.

T

wemproxy (wymawiane „two-em-proxy”) lub nutcracker jest szybkim i lekkim proxy dla protokołów memcached (ascii) oraz redis. Został zbudowany przez programistów z firmy Twitter w celu zredukowania ilości połączeń do serwerów cache znajdujących się w backendzie. Przy dużej ilości serwerów frontowych łączność z warstwą cache lub systemem sesji za pomocą normalnej komunikacji może być bardzo kosztowny.
[ czytaj całość… ]