NFsec Logo

Instalacja serwera httpd apache w środowisku chroot() – Ubuntu 16.04 LTS Server

16/08/2016 w Administracja, Bezpieczeństwo Brak komentarzy.

T

a krótka instrukcja poruszy temat skonfigurowania serwera httpd apache (2.4) w środowisku chroot() pod katalogiem /chroot. Na początek w systemie należy zainstalować takie pakiety jak: apache2 oraz libapache2-mod-php. Pierwszy z dwóch zapewni nam oprogramowanie httpd samo w sobie podczas, gdy libapache2-mod-php wsparcie dla interpretera PHP w wersji 7.0.8:
[ czytaj całość… ]

Time of check to time of use

29/05/2016 w Ataki Internetowe Brak komentarzy.

W

rozwoju oprogramowania termin time of check to time of use (TOCTTOU lub TOCTOU) jest klasą błędów typu race conditions spowodowanych zmianami w systemie, które występują pomiędzy czynnościami: sprawdzeniem warunku (np. poświadczeniem bezpieczeństwa), a wykorzystaniem wyników tego sprawdzenia. Przykład: wyobraźmy sobie aplikację webową, która pozwala użytkownikom na edycję wybranych stron oraz administratorom na blokowanie takich modyfikacji. Użytkownik wysyła żądanie do aplikacji o edycję strony i otrzymuje formularz umożliwiający mu przeprowadzenie tej operacji. Po edycji treści, ale przed wysłaniem formularza do aplikacji przez użytkownika – administrator blokuje stronę, co powinno zapobiec jej edycji. Ze względu na fakt, że proces edycji już się zaczął, gdy użytkownik wyślę zawartość formularza (razem z zmienioną treścią) to zostanie ona zaakceptowania. Dlaczego? Gdy użytkownik rozpoczął edycję aplikacja sprawdziła jego uprawnienia i rzeczywiście mógł edytować stronę. Zezwolenie zostało cofnięte później, już po sprawdzeniu autoryzacji dlatego modyfikacje zostały dopuszczone.
[ czytaj całość… ]

Ubuntu 14.04 LTS rsyslog time travel

19/05/2016 w Administracja, Debug Brak komentarzy.

G

dyby kogoś zdziwiły wpisy z przeszłości w logach np. dotyczące różnego rodzaju zadań wykonywanych w dość małych odstępach czasowych to nie należy się stresować:

May 19 18:55:01 darkstar CRON[7328]: (test) CMD (/bin/echo "test")
May 15 07:45:01 darkstar CRON[7942]: (test) CMD (/bin/echo "test")
May 19 19:05:01 darkstar CRON[7945]: (test) CMD (/bin/echo "test")
May  9 10:55:01 darkstar CRON[8563]: (test) CMD (/bin/echo "test")
May  4 18:50:01 darkstar CRON[8880]: (test) CMD (/bin/echo "test")
May 19 19:35:01 darkstar CRON[9819]: (test) CMD (/bin/echo "test")
May  9 19:45:01 darkstar CRON[10093]: (test) CMD (/bin/echo "test")
May 19 19:40:01 darkstar CRON[10143]: (test) CMD (/bin/echo "test")

Bug do Ubuntu zgłoszony już w 2015 roku, ale jakoś team rsyslog’a nie pali się do jego poprawienia.

STIG – Security Technical Implementation Guide dla OpenStack i nie tylko

02/05/2016 w Bezpieczeństwo Brak komentarzy.

T

he Defense Information Systems Agency znana też jako Defense Communications Agency, która jest częścią United States Department of Defense od 1998 roku odgrywa kluczową rolę w polepszaniu stanu zabezpieczeń systemów DoD poprzez dostarczanie dokumentów o nazwie Security Technical Implementation Guides potocznie zwanych STIGs. Jeden ze STIGów został wydany dla systemu RedHat w wersji 6.
[ czytaj całość… ]

Podwójne uwierzytelnienie w SSH (2FA) za pomocą FreeOTP

06/04/2016 w Bezpieczeństwo Brak komentarzy.

P

odówjne uwierzytelnianie polega na zabezpieczeniu dostępu do danej usługi (tutaj SSH) polegająca na dodatkowym uwierzytelnieniu oprócz wpisania standardowego loginu i hasła. Najczęściej występujące rodzaje zabezpieczeń to: sms z dodatkowym kodem; kody jednorazowe spisane na kartce lub wysyłane na adres e-mail; aplikacja z kodami jednorazowymi zainstalowana na komputerze lub urządzeniu mobilnym (tablet / telefon). W tym artykule skupimy się na kodach jednorazowych (OTP – One Time Passwords), które dodatkowo będą chronić naszą usługę SSH.
[ czytaj całość… ]

Intel(R) 10 Gigabit PCI Express Network Driver performance degradation

02/10/2015 w Administracja, Debug Brak komentarzy.

O

statnio podczas testów linków 10G zauważyłem ciekawą zależność. Testując różne wersje jądra w systemie Ubuntu 12.04 ze względu na różne problemy z obsługą systemu plików ext4 na świat wyszedł inny błąd powiązany z sterownikiem sieciowym. Dla wersji jądra: Linux darkstar 3.13.0-32-generic #57~precise1-Ubuntu SMP test linków za pomocą iperf prezentuje się następująco:
[ czytaj całość… ]

Logowanie przez log4j w tomcat7 na przykładzie systemu Ubuntu 12.04.2 LTS

02/05/2013 w Administracja Brak komentarzy.

S

tandardowo w systemie Ubuntu 12.04.2 LTS jest zainstalowany Tomcat7 w wersji 7.0.26. Niestety jednym z ogólnych problemów serwera Tomcat jest rotowanie pliku catalina.out, który czasami (w zależności od poziomu logowania) potrafi zajmować po kilka gigabajtów – a użycie narzędzia logrotate z opcją copytruncate na tak dużym pliku potrafi spowodować, że zanim logrotate dokona skopiowania i wyczyszczenia pliku – inny proces trzymający otwarty plik dokona zapisu, a miejsce nie zostanie wcale zwolnione.
[ czytaj całość… ]

Bardziej czytelny dmesg

16/12/2012 w Administracja Brak komentarzy.

P

olecenie dmesg bardzo często jest używane przez administratorów do szukania problemów związanych z startem systemu, wykrywaniem sprzętu itd. Warto zwrócić uwagę, że od wersji 2.20 pakietu util-linux (Ubuntu 12.04) dostępnych jest kilka nowych opcji umożliwiających lepsze filtrowanie wyświetlanych informacji:
[ czytaj całość… ]

Slow Start tuning nie tylko dla jądra 3.2

22/04/2012 w Administracja, Debug 1 komentarz.

W

edług protalu webhosting.pl od wersji 3.2 jądra Linuksa został zwiększony rozmiar okna ograniczenia przesyłu (ang. the initial congestion window) z 3 do 10. Sam Saffron po wykonaniu kilku testów udowodnił, że tuning mechanizmu Slow-start pozwala na przyśpieszenie ładowania strony WWW (jeśli zastosujemy zmiany na maszynie pełniącej rolę web serwera) nawet do 25% – bez żadnej ingerencji w warstwę aplikacji. Podobne testy przeprowadzili technicy wyszukiwarki Cheméo uzyskując w własnych warunkach 20% przyśpieszenie. Czy osoby pragnące wprowadzić podobne zmiany skazane są na oczekiwanie, aż popularne dystrybucje zaczną używać jądra w wersji 3.2 – jak np. Ubuntu 12.04?
[ czytaj całość… ]

reptyr – gdy screen nie został odpalony

10/04/2012 w Administracja Brak komentarzy.

R

eptyr jest narzędziem, które potrafi przenieść istniejący proces na inny terminal. Jeśli uruchomiliśmy przez „czyste” SSH dowolny proces, który okazał się bardzo czasochłonny, a nie możemy go przerwać – wystarczy w nowym terminalu uruchomić screen i użyć reptyr do jego przeniesienia na terminal z odpalonym screen-em.
[ czytaj całość… ]

Strona 1 z 212