Filesystem snapshots w systemie Linux

Fri 11 November 2011 by admin

Skojarzenie snapshot w systemie Linux przed długi czas wiązało mi się tylko z LVM'em. Jakie  mamy pozostałe możliwości wykonania migawki systemu plików ?

  • od dłuższego czasu już anonsowany system plików btrfs (brak działającego fsck sukcesywanie spowalnia jego szybką adaptację) wspiera dzięki mechanizmowi COW szybkie i lekkie snapshoty
  • hot copy (hcp ...
read more

SELinux AVC denials - powiadomienia

Fri 17 June 2011 by admin

Dla administratora wiedzieć wcześniej to poważny atut, stąd się też bierze istnienie całego mnóstwa narzędzi wykrywających incydenty w działających systemach. W przypadku stosowania SELinux a w szczególności dozbrajania go własnymi politykami  trafiamy na problem niewystarczająco dobrze opisanych zależności  zabezpieczeń. Efekty widzimy w postać tzw. AVC denials im wcześniej je zlokalizujemy ...

read more

SELinux sandboxing

Sun 15 May 2011 by admin

SELinux oferuje nam kompleksową odpowiedź na wymagania stawiane polityce MAC. Dostarczane polityki bezpieczeństwa dostosowane są do aplikacji standardowo dołączanych do konkretnej dystrybucji. Co jednak gdy zamierzamy uruchomić nieznaną aplikację dla której nieokreślono jeszcze kontekstu bezpieczeństwa, pierwsza rzecz jaka się nasuwa to uzupełnienie takiej polityki bezpieczeństwa. Jest to jednak zadanie dość ...

read more

Sposoby na szybki reboot

Fri 15 April 2011 by admin

Update nowego kernela wiąże się najczęściej z wykonaniem restartu danej maszyny, co w przypadku serwerów nie jest szczególnie pożądane. Istnieją jednak metody, które łagodzą lub eliminują proces restartu...

Pierwsza z metod używa polecenia kexec, który umożliwia uruchomienie nowego kernela z poziomu starego-działającego. W tym wypadku pomijany jest proces pełnego restartu ...

read more

SELinux - netfilter SECMARK cd.

Thu 17 March 2011 by admin

Kilka miesięcy temu w cyklu o SELinux poruszyłem temat oznaczania pakietów w systemie netfilter i wiązania ich z polityką bezpieczeństwa:

http://blog.witalis.net/?p=460

Dobrym uzupełnieniem i rozszerzeniem tej tematyki jest artykuł Dana Walsh'a (osoba odpowiedzialna za rozwój SELinux'a w firmie RedHat):

http://www.linux.com ...

read more

Linux i ZFS

Wed 19 January 2011 by admin

Po wersji zfs-fuse w systemie Linux, pojawiła się obsługa ZFS w postaci modułu kernela. Rozwiązanie firmy KQStore jest kompletne implementujące warstwę ZVOL jak i ZFS Posix, w przeciwieństwie do wersji opublikowanej na http://zfsonlinux.org/. Dodatkowo dostępną mamy aktualną wersję zpool ver. 28 z implementacją m.in. deduplikacji. Po wstępnych ...

read more

Jak przyśpieszyć resync programowej macierzy MD ?

Sun 16 January 2011 by admin

Dodanie i usunięcie urządzenia z macierzy programowej MD w systemie Linux skutkuje najczęściej ponowną synchronizacją całości bez względu na to jak aktualne dane były w usuwanym urządzeniu. Istnieje jednak sposób, aby tą czynność zdecydowanie przyśpieszyć...

Dodanie opcji --bitmap do zsynchronizowanej i ,,zdrowej'' macierzy:

mdadm --grow --bitmap=internal /dev/mdX

sprawi ...

read more

SELinux - zabezpieczenie serwera WWW

Tue 09 November 2010 by admin

Najpopularniejszą metodą przetestowania działania SELinux jest uruchomienie serwera WWW oraz przeniesienie pliku np. z lokalizacji /tmp do lokalizacji ,,htdocs'' i próba jego otwarcia z poziomu przeglądarki. Okazuje się, że sztuka ta kończy się niepowodzeniem, pomimo nadania odpowiednich uprawnień. Dzieje się tak, gdyż przeniesiony plik posiada inny kontekst zabezpieczeń, do którego ...

read more

Linux Audit - krótkie omówienie

Sun 03 October 2010 by admin

Informacje z działania sytemu dostarczane chociażby przez syslog'a, stanowią podstawę do określenia co i kiedy miało miejsce w systemie. Podobne zadanie spełnia omawiany w dzisiejszym wpisie auditd, pozwala on kontrolować niskopoziomowe operacje (kernel) wedle ustalonych przez nas reguł.

System audit dla Linux'a pozwala śledzić zmiany plików, katalogów oraz ...

read more

SELinux - współpraca z netfilter'em

Mon 06 September 2010 by admin

Kolejny wpis z SELinux'em w tytule, tym razem przybliżę moduł SECMARK dla netfilter'a i jego możliwości w kształtowaniu polityk bezpieczeństwa.

Projektując naszą aplikację sieciową nie sposób przejść obojętnie obok zagadnień filtracji ruchu sieciowego jaki do niej trafia. Realizować to można na wiele sposobów, najprościej podejściem czysto ,,administracyjnym'' TCP ...

read more