NFsec Logo

Linux 4.7 otrzymał nową funkcję zabezpieczeń przeniesionych z Chrome OS

30/07/2016 w Administracja, Bezpieczeństwo Brak komentarzy.

N

ajnowsza wersja Linuksa otrzymała nową funkcję bezpieczeństwa o nazwie „LoadPin”, która została przeniesiona z systemu Chrome OS i umożliwia wprowadzenie ograniczeń odnośnie nośników i lokalizacji, z których mogą być ładowane moduły i firmware jądra. Innymi słowy LoadPin jest nowym mini Modułem Bezpieczeństwa Linuksa (ang. Linux Security ModuleLSM, który przechwytuje skonsolidowany zaczep LSM wywołania kernel_file_read, aby nasz system ładował wszystkie dodatki (moduły, firmware, obrazy kexec, polityki bezpieczeństwa) pochodzące z jednego zaufanego systemu plików. Poprzez zaufany system plików rozumie się tutaj taki, który jest umieszczony na urządzeniu tylko tylko-do-odczytu (np. CDROM lub dm-verity [wbudowany w Androidowe jądro od czasów wersji 4.4]). Niweluje to konieczność podpisywania każdego ładowanego pliku z osobna, ponieważ pierwszy plik ładowany przez interfejs odczytu plików jądra jest „przypinany” do systemu plików użytego do załadowania, a wszystkie pliki pochodzące z poza niego są odrzucane. Włączeniem lub wyłączeniem funkcji możemy sterować poprzez opcję SECURITY_LOADPIN_ENABLED w jądrze lub parametrem loadpin.enabled=1/0 przy starcie systemu.

Więcej informacji: The LoadPin security module

Jak poprawnie załadować sesję screen / tmux?

24/07/2016 w Administracja, Bezpieczeństwo Brak komentarzy.

Nigdy, przenigdy nie ładujemy sesji screen / tmux na użytkowniku, który później w tej samej sesji odpala polecenie sudo / su i zostawia zawieszoną sesję (Ctrl + A + D) z uprawnieniami użytkownika root. Po przejęciu takiego konta – uzyskanie kontroli nad całym systemem ogranicza się wtedy do polecenia: screen -r. Scenariusz zawsze powinien być następujący: logowanie na zwykłego użytkownika ›› sudo su ›› screen ›› zawieszenie sesji i wylogowanie się z root.

Odczytywanie stanu pamięci w systemie

21/07/2016 w Administracja 1 komentarz.

W

większości przypadków systemy Linuksowe dobrze radzą sobie z obsługą pamięci. Istnieje zawsze ryzyko, że niektóre programy wymkną się spod kontroli i przydzielą sobie więcej pamięci niż jest normalnie możliwe i wejdą w strefę pliku wymiany. W takich sytuacjach można zaobserwować znaczne spowolnienie systemu (chyba, że używamy dysków SSD dla swap), a sprawdzenie dostępnej pamięci będzie prawdopodobnie pierwszą rzeczą jakiej należy się przyjrzeć.
[ czytaj całość… ]

Problemy z łącznością do security.ubuntu.com

20/06/2016 w Administracja Brak komentarzy.

J

eśli używamy do połączeń IPv6 z niektórych lokalizacji / serwerów możemy napotkać problemy z łącznością do security.ubuntu.com w trakcie polecenia apt-get update. Jest to znany błąd, a jego tymczasowym rozwiązaniem jest skonfigurowanie pierwszeństwa dla połączeń IPv4 przed IPv6 poprzez odkomentowanie wpisu w pliku /etc/gai.conf:

#    For sites which prefer IPv4 connections change the last line to
#
precedence ::ffff:0:0/96  100

Więcej informacji: Prefer A (IPv4) DNS lookups before AAAA(IPv6) lookups

Google Chrome 51 vs HTTP/2 na Linuksie

27/05/2016 w Administracja Brak komentarzy.

P

rzeglądarki Chrome oraz Chromium wraz z wydaniem wersji 51 przestały wspierać rozszerzenie protokołu TLS – NPN, który pozwalał na negocjację połączeń za pomocą protokołu SPDY i HTTP/2 z klientami. Mechanizm ten został zastąpiony ALPN. Dobrą decyzją jest przełączenie się z NPN na ALPN, ponieważ wiąże się z tym więcej korzyści niż strat, ale całkowite porzucenie NPN już decyzją dobrą nie jest.
[ czytaj całość… ]

Ubuntu 14.04 LTS rsyslog time travel

19/05/2016 w Administracja, Debug Brak komentarzy.

G

dyby kogoś zdziwiły wpisy z przeszłości w logach np. dotyczące różnego rodzaju zadań wykonywanych w dość małych odstępach czasowych to nie należy się stresować:

May 19 18:55:01 darkstar CRON[7328]: (test) CMD (/bin/echo "test")
May 15 07:45:01 darkstar CRON[7942]: (test) CMD (/bin/echo "test")
May 19 19:05:01 darkstar CRON[7945]: (test) CMD (/bin/echo "test")
May  9 10:55:01 darkstar CRON[8563]: (test) CMD (/bin/echo "test")
May  4 18:50:01 darkstar CRON[8880]: (test) CMD (/bin/echo "test")
May 19 19:35:01 darkstar CRON[9819]: (test) CMD (/bin/echo "test")
May  9 19:45:01 darkstar CRON[10093]: (test) CMD (/bin/echo "test")
May 19 19:40:01 darkstar CRON[10143]: (test) CMD (/bin/echo "test")

Bug do Ubuntu zgłoszony już w 2015 roku, ale jakoś team rsyslog’a nie pali się do jego poprawienia.

Raspberry PI – dostęp do skrzynki za mechanizmem NAT lub firewall

04/04/2016 w Administracja Brak komentarzy.

A

ktualnie ceny mikrokomputerów pozwalają na masowe ich podłączanie do sieci domowych. Często pełnią rolę multimedialnych stacji lub serwerów o konkretnym zastosowaniu znajdując się za mechanizmami NAT lub ścian ogniowych lokalnych routerów. W jaki sposób możemy dostać się zdalnie do takiego urządzenia bez robienia dziur w swoich sieciowych zabezpieczeniach? Rozwiązaniem jest użycie odwrotnego tunelu SSH.
[ czytaj całość… ]

BIG-IP F5 – Persystentne sesje na podstawie adresu IP klienta

21/03/2016 w Administracja Brak komentarzy.

Z

azwyczaj dla wewnętrznych aplikacji – do uzyskania stałego przypisania IP klienta do puli adresów obsługujących żądania wybieraliśmy profil source_addr z ustawionym czasem wygaśnięcia np. na 3600 sekund. Problem z tego typu rozwiązaniem jest taki, że po wygaśnięciu czasu utrzymania informacji o przypisaniu klienta do wybranego serwera backend’u traciliśmy gwarancję, że zostanie on ponownie przypisany do tego serwera.
[ czytaj całość… ]

We are patching patching patching, a gdzie restart?

29/01/2016 w Administracja, Bezpieczeństwo Brak komentarzy.

N

ie zawsze live patching jest możliwy. Dobrze przestrzegana polityka zarządzania poprawkami pozwala na redukcję słabych stron naszego systemu. Jednak nawet zaktualizowany system może posiadać stare procesy oraz biblioteki, które są jeszcze załadowane i używane w pamięci. W identyfikacji komponentów, które wymagają restartu może pomóc nam program o nazwie needrestart.
[ czytaj całość… ]

Top 6 darmowych i publicznych serwerów DNS

13/01/2016 w Administracja Brak komentarzy.

1. Google:
8.8.8.8, 8.8.4.4
2. OpenDNS:
208.67.220.220, 208.67.222.222
3. Norton ConnectSafe:
199.85.126.10, 199.85.127.10
4. Comodo Secure DNS:
8.26.56.26, 8.20.247.20
5. DNS.Watch:
84.200.69.80, 84.200.70.40
6. VeriSign Public DNS:
64.4.64.6, 64.6.65.6

Strona 3 z 1612345...1015...Ostatnia »