L

ynis jest narzędziem typu open source przeznaczonym do przeprowadzania automatycznych audytów bezpieczeństwa i hartowania systemów pochodzących z rodziny *nix. Prosty w obsłudze, dostępny za darmo, nie wymaga instalacji, i jak zapewniają autorzy działa na prawie każdym systemie opartym o Unix (został przetestowany na współczesnych platformach w tym dystrybucjach Linuksa jak CentOS, Fedora, Debian itd.).
[ czytaj całość… ]

P

trace(2) jest wspaniałym narzędziem do rozwiązywania problemów dla programistów, którzy chcą poznać jak funkcjonują procesy w systemie Linux. Umożliwia odnajdywanie błędów programistycznych, czy wycieków pamięci. Z drugiej strony ptrace może zostać wykorzystane przez osoby o złych intencjach np. w celu debugowania procesu jako nieuprzywilejowany użytkownik, aby odczytać zawartość pamięci programu.
[ czytaj całość… ]

Z

ałóżmy, że do naszego serwera DNS, który jest otwarty tylko dla sieci wewnętrznej zaczyna przychodzić niechciany ruch (od setek do tysięcy zapytań na sekundę) pochodzący od szkodliwego oprogramowania / złej konfiguracji serwerów. W zależności od oprogramowania jakiego używamy do obsługi zapytań DNS – zablokowanie konkretnego rodzaju zapytań może stać się dość trudne. Pierwszym rozwiązaniem tego problemu wydaje się zablokowanie wszystkich żądań DNS, które posiadają konkretne wyrażenie w zawartości pakietu.
[ czytaj całość… ]

I

stnieje możliwość odzyskania prywatnego klucza RSA tylko na podstawie klucza publicznego. Ze względu na ograniczoną moc obliczeniową poniższy przykład zostanie zaprezentowany na 256 bitowym kluczu. Tak skromna długość kluczy raczej nie występuje już w Internecie, ale czasami można natknąć się jeszcze na 512 bitowe instalacje (aktualnie OpenSSH za pomocą programu ssh-keygen nie pozwala na wygenerowanie krótszego klucza niż 768 bitów).
[ czytaj całość… ]

W

ięc stworzyliśmy swoją niezawodną aplikację / system / usługę (* niepotrzebne skreślić) i jesteśmy gotowi na produkcję. Wszystko logicznie zostało zaprogramowane – wyłączyliśmy / włączyliśmy – przetestowane. Jednak cykl życia aplikacji w prawdziwej dżungli IT wygląda trochę inaczej.
[ czytaj całość… ]

P

rzez długi czas firewall w Linuksie oparty o iptables nie miał żadnego efektywnego sposobu, aby dopasowywać reguły do zbiorów adresów IP. Jeśli mieliśmy wiele adresów IP, aby dopasować do nich różne reguły (na przykład: setki lub tysiące adresów IP, które należało trzymać z daleka od portu SMTP) trzeba było tworzyć jeden wpis iptables dla każdego adresu IP, a następnie wprowadzać te wpisy sekwencyjnie. To wprowadzało wiele komplikacji w utrzymywanie takiego rozwiązania. Na szczęście w jądrach od serii 2.6.39 (Ubuntu 12.04, 14.04, Fedora 20, RHEL / CentOS 7) pojawiło się rozszerzenie ipset.
[ czytaj całość… ]

K

iedy korzystamy z polecenia git zazwyczaj dotyczy ono przepływu pracy typowego dla kontroli wersji. Mamy lokalne repozytorium na swoim komputerze, na którym pracujemy i zdalne, gdzie trzymamy wszystko w synchronizowanym stanie i możemy pracować z innymi członkami zespołu lub z innych maszyn. Jednak narzędzia git można też użyć do wdrożenia aplikacji / konfiguracji na dowolne środowisko – testowe / produkcyjne. Wyobraźmy sobie następujący przykład:
[ czytaj całość… ]

W poprzedniej części omówiliśmy niebezpieczeństwo przyznawania podwyższonych uprawnień do programów, które posiadają możliwość uruchamiania powłoki systemowej. Zanim przejdziemy do kolejnego problemu poleceń wykonywanych za pomocą sudo wróćmy jeszcze na chwilę do programu less. Dopełniając poprzedni wpis warto nadmienić, że umożliwia on również uruchomienie innych zewnętrznych programów np. edytora za pomocą polecenia „v”
[ czytaj całość… ]

Z

ałożenie projektu: stworzyć usługę, która w (dość?) bezpieczny sposób będzie przechowywała i udostępniała (wrażliwe) dane. „Nice to have” (Fajnie to mieć) to możliwość jej skalowania, wysoka dostępność, dobra wydajność oraz self-service . Jako backendu usługi użyjemy etcd – wysoko dostępnej bazy typu key – value używanej m.in. do współdzielonej konfiguracji oraz wykrywania usług (ang. service discovery). Na froncie użyjemy serwera Varnish, który za pomocą kilku wtyczek pozwoli nam wprowadzić mechanizm uwierzytelniania oraz swego rodzaju API.
[ czytaj całość… ]

T

a krótka instrukcja poruszy temat skonfigurowania serwera DNS bind w środowisku chroot() pod katalogiem /var/chroot/named. Na początek w systemie należy zainstalować takie pakiety jak: bind9 oraz dnsutils. Pierwszy z dwóch zapewni nam oprogramowanie BIND samo w sobie podczas, gdy dnsutils takie narzędzia, jak dig oraz nslookup, które będzie można wykorzystać do przeprowadzania zapytań dns oraz troubleshootingu.
[ czytaj całość… ]