SELinux - zabezpieczenie serwera WWW

Tue 09 November 2010 by admin

Najpopularniejszą metodą przetestowania działania SELinux jest uruchomienie serwera WWW oraz przeniesienie pliku np. z lokalizacji /tmp do lokalizacji ,,htdocs'' i próba jego otwarcia z poziomu przeglądarki. Okazuje się, że sztuka ta kończy się niepowodzeniem, pomimo nadania odpowiednich uprawnień. Dzieje się tak, gdyż przeniesiony plik posiada inny kontekst zabezpieczeń, do którego ...

read more

Linux Audit - krótkie omówienie

Sun 03 October 2010 by admin

Informacje z działania sytemu dostarczane chociażby przez syslog'a, stanowią podstawę do określenia co i kiedy miało miejsce w systemie. Podobne zadanie spełnia omawiany w dzisiejszym wpisie auditd, pozwala on kontrolować niskopoziomowe operacje (kernel) wedle ustalonych przez nas reguł.

System audit dla Linux'a pozwala śledzić zmiany plików, katalogów oraz ...

read more

SELinux - współpraca z netfilter'em

Mon 06 September 2010 by admin

Kolejny wpis z SELinux'em w tytule, tym razem przybliżę moduł SECMARK dla netfilter'a i jego możliwości w kształtowaniu polityk bezpieczeństwa.

Projektując naszą aplikację sieciową nie sposób przejść obojętnie obok zagadnień filtracji ruchu sieciowego jaki do niej trafia. Realizować to można na wiele sposobów, najprościej podejściem czysto ,,administracyjnym'' TCP ...

read more

LVM2 - snapshot merge

Sun 15 August 2010 by admin

Efekt przerwy urlopowej wyraźnie wpłynął na częstotliwość pojawiania się nowych wpisów. Na rozłąkę z tą blogową ciszą niech posłuży temat dotyczący LVM i jego usprawnienia w zakresie snapshotów...

Często na łamach bloga nawiązywałem do systemu ZFS, w którym to snapshoty i ich zapisywalne odpowiedniki czyli clone'y były szybkie i ...

read more

SELinux - materiały konferencyjne

Thu 08 July 2010 by admin

Tegoroczna konferencja Red Hat Summit dobiegła końca, pozostał po niej ślad w postaci prezentacji i nagrań wideo dostępnych pod adresem: http://www.redhat.com/promo/summit/2010/presentations/. Tematy, które królowały na konferencji to z pewnością długo oczekiwana wersja RHEL 6 oraz platforma RHEV, jednak nie obyło się też bez ...

read more

SELinux - confined users

Sat 26 June 2010 by admin

Kolejny wpis z serii SELinux w tytule. Poprzedni wpis koncentrował się na ograniczaniu działania konkretnej aplikacji, tym razem na celownik trafiają użytkownicy.

Począwszy od Fedory 9 mamy do czynienia z pojęciem confined users, są to użytkownicy, którzy przypisani mają konkretne role, a one z kolei są ściśle kontrolowane przez SELinux ...

read more

SELinux - tworzenie własnej polityki

Fri 18 June 2010 by admin

SELinux umożliwia lepszą kontrolę nad aplikacjami, bez ingerencji w kod danej aplikacji – tak najogólniej brzmi jedno z głównych założeń zaimplementowanego w Linux’ie mechanizmu zabezpieczeń. Sposób realizacji owej lepszej kontroli nad aplikacjami opiera się o implementację MAC (Mandatory Access Control). Otóż każdemu obiektowi w systemie (plik, proces, port etc.) jest ...

read more

Konsola szeregowa poprzez sieć

Fri 09 April 2010 by admin

Kilka dni temu natrafiłem na ciekawy artykuł opisujący krok po kroku jak udostępnić po sieci konsolę szeregową, która posłużyć nam może do np. zdiagnozowania problemów z niestartującym serwerem. Do rozwiązania problemu autor posłużył się bezprzewodowym routerem oraz zainstalowanym na nim systemie spod znaku openwrt. Koszta zaproponowanego rozwiązania przedstawiają się bardzo ...

read more

Monitorowanie I/O w Linux'ie

Sun 27 December 2009 by admin

Na wzrost parametru load average w systemie Linux wpływ nie tylko ma obciążenie procesora lecz również procesy oczekujące operacje dyskowe I/O. Na pytanie co generuje duże obciążenie I/O i w jakim stopniu postaram się odpowiedzieć na łamach tego wpisu...

Wcześniej wspomniany parametr load average możemy określić chociażby korzystając ...

read more

NILFS2 - wersjonowany system plików

Sun 01 November 2009 by admin

Z pojęciem wersjonowania plików i ich implementacji w systemach takich jak chociażby svn,cvs,git pewnie wielu z was miało okazję się zetknać. Wszystkie ww. systemy operują w przestrzeni użytkownika. Co by powiedzieć na rozwiązanie działające na poziomie samego kernela, które implementuje funkcję wersjonowania odpowiedzią na nasze wymagania może być ...

read more