SELinux - zabezpieczenie serwera WWW

Tue 09 November 2010 by admin

Najpopularniejszą metodą przetestowania działania SELinux jest uruchomienie serwera WWW oraz przeniesienie pliku np. z lokalizacji /tmp do lokalizacji ,,htdocs'' i próba jego otwarcia z poziomu przeglądarki. Okazuje się, że sztuka ta kończy się niepowodzeniem, pomimo nadania odpowiednich uprawnień. Dzieje się tak, gdyż przeniesiony plik posiada inny kontekst zabezpieczeń, do którego ...

read more

Active Directory - informacje o wygasającym haśle

Sun 17 October 2010 by admin

Wymuszenie okresowych zmian haseł często spotyka się ze sprzeciwem użytkowników i pytaniami dlaczego tak często i kiedy przypada następna zmian hasła. Zgodnie z tematem dzisiejszego wpisu przyjrzę się bliżej odpowiedzi na drugie pytanie...

Informację o dokładnym terminie wygasania hasła możemy uzyskać na dwa sposoby (tyle znam):

​1. rejestrując bibliotekę  acctinfo ...

read more

Linux Audit - krótkie omówienie

Sun 03 October 2010 by admin

Informacje z działania sytemu dostarczane chociażby przez syslog'a, stanowią podstawę do określenia co i kiedy miało miejsce w systemie. Podobne zadanie spełnia omawiany w dzisiejszym wpisie auditd, pozwala on kontrolować niskopoziomowe operacje (kernel) wedle ustalonych przez nas reguł.

System audit dla Linux'a pozwala śledzić zmiany plików, katalogów oraz ...

read more

ESX(i) - monitorowanie ruchu sieciowego maszyn wirtualnych

Wed 15 September 2010 by admin

Korzystając z wirtualizacji zmienia się postrzeganie ruchu sieciowego pomiędzy maszynami wirtualnymi, nie mamy  już przecież do czynienia z fizycznymi kabelkami, a monitorować tak czy inaczej musimy. W jaki więc sposób można to osiągnąć ?

W przypadku rozwiązania VMware Vsphere 4.0 i nowsze, producent oferuje nam wirtualny switch Cisco Nexus 1000V ...

read more

SELinux - współpraca z netfilter'em

Mon 06 September 2010 by admin

Kolejny wpis z SELinux'em w tytule, tym razem przybliżę moduł SECMARK dla netfilter'a i jego możliwości w kształtowaniu polityk bezpieczeństwa.

Projektując naszą aplikację sieciową nie sposób przejść obojętnie obok zagadnień filtracji ruchu sieciowego jaki do niej trafia. Realizować to można na wiele sposobów, najprościej podejściem czysto ,,administracyjnym'' TCP ...

read more

LVM2 - snapshot merge

Sun 15 August 2010 by admin

Efekt przerwy urlopowej wyraźnie wpłynął na częstotliwość pojawiania się nowych wpisów. Na rozłąkę z tą blogową ciszą niech posłuży temat dotyczący LVM i jego usprawnienia w zakresie snapshotów...

Często na łamach bloga nawiązywałem do systemu ZFS, w którym to snapshoty i ich zapisywalne odpowiedniki czyli clone'y były szybkie i ...

read more

SELinux - materiały konferencyjne

Thu 08 July 2010 by admin

Tegoroczna konferencja Red Hat Summit dobiegła końca, pozostał po niej ślad w postaci prezentacji i nagrań wideo dostępnych pod adresem: http://www.redhat.com/promo/summit/2010/presentations/. Tematy, które królowały na konferencji to z pewnością długo oczekiwana wersja RHEL 6 oraz platforma RHEV, jednak nie obyło się też bez ...

read more

SELinux - confined users

Sat 26 June 2010 by admin

Kolejny wpis z serii SELinux w tytule. Poprzedni wpis koncentrował się na ograniczaniu działania konkretnej aplikacji, tym razem na celownik trafiają użytkownicy.

Począwszy od Fedory 9 mamy do czynienia z pojęciem confined users, są to użytkownicy, którzy przypisani mają konkretne role, a one z kolei są ściśle kontrolowane przez SELinux ...

read more

SELinux - tworzenie własnej polityki

Fri 18 June 2010 by admin

SELinux umożliwia lepszą kontrolę nad aplikacjami, bez ingerencji w kod danej aplikacji – tak najogólniej brzmi jedno z głównych założeń zaimplementowanego w Linux’ie mechanizmu zabezpieczeń. Sposób realizacji owej lepszej kontroli nad aplikacjami opiera się o implementację MAC (Mandatory Access Control). Otóż każdemu obiektowi w systemie (plik, proces, port etc.) jest ...

read more

Kilka sztuczek konsolowych

Sun 30 May 2010 by admin

Tytułowe sztuczki to efekt poszukiwań wydajniejszych i szybszych metod uporania sie codziennymi zadaniami  administracyjnymi.

Pierwszy problem to jak przy pomocy jednolinijkowca a w zasadzie jednego polecenia porównać dwa katalogi:

diff -q -r /dir1 /dir2

owszem to samo zadanie można wykonać przy pomocy chociażby rsync'a lub skorzystać z systemów IDS ...

read more