Napisał: Patryk Krawaczyński, Arkadiusz Osiński
31/07/2015 w Bezpieczeństwo
A
ktualnie większość infrastruktur składających się z więcej niż 5 serwerów jest / powinna być zarządzana za pomocą tzw. menadżerów konfiguracji serwerów. Jednym z nich jest Puppet. Przy większej ilości maszyn administratorzy zazwyczaj tworzą (dash)boardy, które informują na jakich serwerach dokonały się (lub nie) aktualizacje konfiguracji. Pozwalają również na uzyskanie bardzo dokładnych informacji o obsługiwanej infrastrukturze (adresy sieciowe, wersje systemów i daemonów itp.). I tutaj pojawia się problem.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
22/07/2015 w Bezpieczeństwo
P
odstawowy problem skalowalności protokołu TCP w jądrze Linuksa jest związany z liczbą nowych połączeń, jakie mogą być tworzone na sekundę. Odnosi się to bezpośrednio do obsługi gniazd powstających w trybie nasłuchu, które są blokowane. Blokady powodowane są nie tylko przez pakiety z flagą SYN, ale także SYN-ACK oraz ACK (ostatni w potrójnym uścisku dłoni). Podczas ataków DoS / DDoS za pomocą tego rodzaju pakietów atakujący ma na celu wysłanie, jak największej ilości spreparowanych pakietów, które mają na celu osiągnąć i spowodować problem z blokowaniem gniazd w trybie nasłuchu. Jedną z metod jest podniesienie bardzo niskiego limitu dla tego typu gniazd oraz kolejki oczekujących połączeń w systemie:
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
28/06/2015 w Bezpieczeństwo
O
d wersji 2.6.31 Linux daje nam namiastkę funkcjonalności jądra monolitycznego, czyli możliwość blokady ładowania nowych modułów. Wykorzystanie tej opcji podnosi poziom ochrony systemu przed załadowaniem szkodliwych modułów oraz ograniczenia działania niektórych rootkitów.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
15/06/2015 w Bezpieczeństwo
O
statnio Larry Seltzer wykonał prosty test w korzystaniu z otwartych sieci WiFi (tych, które nie oferują żadnego szyfrowania i najczęściej udostępniane są za darmo w restauracjach typu KFC, McDonalds, hotelach itd.). Polegał on na zbadaniu, czy rzeczywiście korzystanie z takich sieci nawet za pomocą wirtualnych sieci prywatnych zapewnia dobry stopień bezpieczeństwa.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
25/05/2015 w Bezpieczeństwo
B
IND jest serwerem DNS tworzonym przez ISC (ang. Internet Systems Consortium) powszechnie używanym do rozwiązywania nazw hostów na adresy IP i odwrotnie. Jako kluczowy element infrastruktury serwery DNS często stają się celem ataków. Podejmując jednak kilka prostych kroków można pomóc w ochronie swojej sieci oraz całego Internetu. Niniejszy artykuł zawiera minimum informacji potrzebnych do poprawny bezpieczeństwa BIND9 pozwalając administratorom systemów zminimalizować zagrożenie. Zdecydowanie najważniejszą rzeczą jest, aby odseparować działanie serwera DNS od innych usług typu serwery WWW, poczty, czy ftp, które są równie często atakowanymi usługami.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
22/05/2015 w Bezpieczeństwo
W
najnowszym numerze Linux Magazine Tim Schürmann opisał bardzo ciekawy projekt: Firejail – program do tworzenia piaskownic (ang. sandboxes), który redukuje ryzyko naruszenia bezpieczeństwa systemu poprzez ograniczanie środowiska niezaufanych aplikacji za pomocą przestrzeni nazw, seccomp oraz Linux capabilities. Pozwala to procesowi i jego potomnym na posiadanie własnego widoku systemu plików, współdzielonych zasobów jądra, stosu sieciowego, tabeli procesów itd.. Firejail zintegrowany jest z cgroups i dodatkowo może zostać uruchomiony w już działającym środowisku SELinux, czy AppArmor.
Więcej informacji: Firejail HOWTOs
Napisał: Patryk Krawaczyński
05/05/2015 w Bezpieczeństwo
Z
a pomocą HTTPsrvREAPER (uruchomionego w pięciu wątkach) oraz pracującego dzień i noc Raspberry Pi udało się przeskanować przeanalizować w czasie od sierpnia 2014 r. do kwietnia 2015 r. sieci z zakresu: 1.0.0.0/8 – 5.0.0.0/8. Razem powstało 1.312.618 wpisów zawierających informacje o używanej (bądź nie – Undefined) wersji oprogramowania serwera httpd przez dany adres IP.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
24/02/2015 w Bezpieczeństwo
J
akiś czas temu konsultant bezpieczeństwa Mark Burnett udostępnił plik zawierający 10 milionów loginów i haseł. Odpowiedzi na różne pytania dotyczące historii stworzenia, struktury itd. tego pliku możemy znaleźć w odpowiedzi na najczęściej zadawane pytania (FAQ). Rzadko zdarza się, że wycieki haseł posiadają takie ilości, a jeszcze rzadziej kiedy ktoś zbiera wycieki przez parę lat, skleja je w jedność i publikuje.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
02/02/2015 w Administracja, Bezpieczeństwo
O
tatnio przenosząc usługę FTP, która przechowywała zaszyfrowane i posolone hasła w bazie MySQL napotkałem na prosty problem – zaszła potrzeba przetestowania jej działania na nowym serwerze. Jednym z mechanizmów całej instalacji był check czuwający nad dostępnością usługi, który logował się na serwer FTP i pobierał wybrany plik. Odzyskanie hasła zarówno po stronie urządzenia sprawdzającego dostępność, jak i serwera FTP było niemożliwe. Dlatego należało je podsłuchać…
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
13/01/2015 w Bezpieczeństwo
P
oniższa konfiguracja serwera nginx dla komunikacji po https pozwala na uzyskanie oceny A+ w teście przeprowadzanym przez firmę Qualys SSL Labs. Ponadto zaspokaja wymagania PCI Compliance oraz FIPS, a także broni przed atakami typu: BEAST, Heartbleed czy POODLE. Innymi mechanizmami, które zostały zwarte to: HSTS, OSCP oraz SPDY. Stosując poniższą konfigurację należy liczyć się, że może ona nie działać (lub niektóre jej funkcjonalności) z starszymi przeglądarkami i aplikacjami typu: IE6, czy Java 6.
[ czytaj całość… ]
Ostatni komentarz :