NFsec Logo

OpenSCAP – hartowanie systemów CentOS 7 oraz RedHat 7 do PCI DSS

06/11/2016 (5 tygodni temu) w Administracja, Bezpieczeństwo Brak komentarzy.

O

penSCAP jest implementacją open source protokołu Security Content Automation Protocol, czyli SCAP, który analizuje system pod kątem zgodności ze standardami bezpieczeństwa. Przestrzeganie wytycznych i wskazówek w tym protokole umożliwia infrastrukturze opartej o system Linux spełnienie standardów przeznaczonych dla systemów klasy Enterprise oraz tych przewidzianych w PCI DSS. Do dyspozycji mamy narzędzie GUI (scap-workbench) lub dla linii poleceń (openscap-scanner), które umożliwiają nam przeskanowanie systemu pod względem zgodności z wybraną wcześniej polityką. Jeśli chcemy na poważnie potraktować wszystkie zalecenia, z którymi będziemy mogli zapoznać się w końcowym raporcie najlepiej od razu użyć wtyczki do anakondy – pozwoli ona na przeprowadzenie analizy bezpieczeństwa już podczas procesu instalacji systemu. W ten sposób nie będziemy musieli się martwić np. o jego przepartycjonowanie. Jeśli nasza dystrybucja różni się od rodziny Red Hat zawsze możemy przestudiować Przewodnik Bezpieczeństwa SCAP.

Więcej informacji: Make a RHEL7 server compliant with PCI-DSS, Security Harden CentOS 7, Contributing to SCAP Security Guide

Kolorowanka SELinux

18/04/2014 w Bezpieczeństwo Brak komentarzy.

D

an Walsh miał fajny pomysł wytłumaczenia koncepcji polityk stosowanych w SELinux w dość prosty sposób – razem z Máirín Duffy wydali kolorowankę, której pierwowzorem był artykuł na portalu opensource.com z okazji dziesięciolecia tego mechanizmu bezpieczeństwa. Książka jest dostępna na licencji Creative Commons Attribution-ShareAlike 4.0 International License i można ją pobrać m.in. stąd.

Przejście z MD5 na SHA512 w systemach RedHat/CentOS 5.x (Fedora 9)

16/03/2013 w Bezpieczeństwo Brak komentarzy.

S

ystemy z rodziny RHEL w wersji 5‚tej korzystają z kryptograficznej funkcji skrótu MD5 do przechowywania haseł systemowych. Nie jest to zły algorytm, ale nie na tyle dobry i trudny do złamania – aby obecnie korzystać z jego możliwości. W celu zmiany metody szyfrowania z MD5 na SHA512, która jest o wiele bezpieczniejsza (i używana standardowo w wersji 6.x) wystarczy wydać polecenie:
[ czytaj całość… ]

Slow Start tuning nie tylko dla jądra 3.2

22/04/2012 w Administracja, Debug 1 komentarz.

W

edług protalu webhosting.pl od wersji 3.2 jądra Linuksa został zwiększony rozmiar okna ograniczenia przesyłu (ang. the initial congestion window) z 3 do 10. Sam Saffron po wykonaniu kilku testów udowodnił, że tuning mechanizmu Slow-start pozwala na przyśpieszenie ładowania strony WWW (jeśli zastosujemy zmiany na maszynie pełniącej rolę web serwera) nawet do 25% – bez żadnej ingerencji w warstwę aplikacji. Podobne testy przeprowadzili technicy wyszukiwarki Cheméo uzyskując w własnych warunkach 20% przyśpieszenie. Czy osoby pragnące wprowadzić podobne zmiany skazane są na oczekiwanie, aż popularne dystrybucje zaczną używać jądra w wersji 3.2 – jak np. Ubuntu 12.04?
[ czytaj całość… ]

Podstawy bezpieczeństwa PHP – Suhosin

30/12/2011 w Bezpieczeństwo Brak komentarzy.

S

uhosin jest zaawansowanym systemem bezpieczeństwa dla języka PHP. Został on zaprojektowany tak, aby chronić serwery przed już znanymi, jak i dopiero nowymi lukami w aplikacjach oraz samym rdzeniu PHP. Składa się z dwóch niezależnych części: łaty nakładanej na sam interpreter jak i rozszerzenia, które można dołączyć do już skompilowanej instalacji. Mogą zostać one wykorzystane oddzielnie lub równocześnie. Pierwsza z nich implementuje kilka niskopoziomowych mechanizmów ochrony przed przepełnieniem buforów (ang. buffer overflows), czy nadużyciami z wykorzystaniem ciągów formatujących (ang. format string vulnerabilities). Druga część jest potężnym rozszerzeniem, które pozwala na implementację reszty ochrony.
[ czytaj całość… ]

Zadania cron w CentOS/RHEL 6.x

11/10/2011 w Administracja Brak komentarzy.

W

szóstej wersji CentOS’a / Red Hat’a został zmieniony system zarządzania zadaniami za pomocą daemona cron. Dla nieświadomych – za pomocą programu cron jesteśmy w stanie m.in. rotować dzienniki systemowe, indeksować pliki w systemie, czy uruchamiać skrypty o określonych porach (najczęściej w takich, w których serwer nie jest zajęty wykonywaniem „ważniejszych” rzeczy). A co zostało zmienione w kolejnym wydaniu tych systemów?
[ czytaj całość… ]

Backportowanie patchy z RHEL 6 do CentOS 6 na przykładzie httpd 2.2.15

22/09/2011 w Administracja, Bezpieczeństwo Brak komentarzy.

Z

e względu na opóźnienia w wydawaniu aktualizacji bezpieczeństwa w dystrybucji CentOS – w przypadku krytycznych błędów aplikacji istnieje możliwość skorzystania z łatek dostarczonych przez jego protoplastę, czyli RedHat Enterprise. Za przykład może posłużyć niedawna luka znaleziona w serwerze Apache umożliwiająca przeprowadzenie ataku DoS, w tym wersji Apache’a 2.2.15 dostarczonego wraz z 6’stą wersją tej dystrybucji, a do której do dziś nie została wydana poprawka.
[ czytaj całość… ]

CentOS 6 – /lib/security/pam_fprintd.so

05/09/2011 w Debug, Techblog Brak komentarzy.

J

eśli w logu systemowym /var/log/secure podczas logowania się użytkowników do systemu otrzymujemy informację związaną z błędami w konfiguracji PAM, a dokładniej – związaną z modułem czytnika linii papilarnych:

Sep  5 19:35:17 stardust su: PAM unable to dlopen(/lib/security/pam_fprintd.so):
/lib/security/pam_fprintd.so: nie można otworzyć pliku obiektu dzielonego:
Nie ma takiego pliku ani katalogu
---
Sep  5 19:35:17 stardust su: PAM unable to dlopen(/lib64/security/pam_fprintd.so):
/lib64/security/pam_fprintd.so: cannot open shared object file:
No such file or directory

Którego nie posiadamy – wystarczy wydać polecenie:
[ czytaj całość… ]

CentOS 5.6 – panel Plesk 10.1.1 oraz problem z PHP FastCGI

14/04/2011 w Administracja, Debug Brak komentarzy.

P

o aktualizacji systemu CentOS z 5.5 do 5.6, na którym został zainstalowany panel Plesk firmy Parallels wszystkie strony PHP, które działały w trybie FastCGI – zwracają błąd: 500 Internal Server Error, a w logach widnieją wpisy typu: (104) Connection reset by peer: mod_fcgid: error reading data from FastCGI server [error] Premature end of script headers: index.php
[ czytaj całość… ]

Zacieranie śladów po włamaniu

22/05/2010 w Hakin9 & Linux+ Brak komentarzy.

D

la crackera włamującego się do cudzego systemu informatycznego najważniejsze jest… skuteczne zatarcie śladów po całej operacji. Nawet najbardziej spektakularne włamanie przy użyciu stworzonego przez siebie exploita nie przyniesie włamywaczowi wiele korzyści, jeśli nazajutrz pojawią się u niego agenci CBŚ.
[ czytaj całość… ]