linux, devops, sre, cloud, virtualization, containers, performance tunning, golang…
Active Directory - informacje o wygasającym haśle
Wymuszenie okresowych zmian haseł często spotyka się ze sprzeciwem użytkowników i pytaniami dlaczego tak często i kiedy przypada następna zmian hasła. Zgodnie z tematem dzisiejszego wpisu przyjrzę się bliżej odpowiedzi na drugie pytanie…
Linux Audit - krótkie omówienie
Informacje z działania sytemu dostarczane chociażby przez syslog’a, stanowią podstawę do określenia co i kiedy miało miejsce w systemie. Podobne zadanie spełnia omawiany w dzisiejszym wpisie auditd, pozwala on kontrolować niskopoziomowe operacje (kernel) wedle ustalonych przez nas reguł.
ESX(i) - monitorowanie ruchu sieciowego maszyn wirtualnych
Korzystając z wirtualizacji zmienia się postrzeganie ruchu sieciowego pomiędzy maszynami wirtualnymi, nie mamy już przecież do czynienia z fizycznymi kabelkami, a monitorować tak czy inaczej musimy. W jaki więc sposób można to osiągnąć ?
SELinux - współpraca z netfilter'em
Kolejny wpis z SELinux’em w tytule, tym razem przybliżę moduł SECMARK dla netfilter’a i jego możliwości w kształtowaniu polityk bezpieczeństwa.
LVM2 - snapshot merge
Efekt przerwy urlopowej wyraźnie wpłynął na częstotliwość pojawiania się nowych wpisów. Na rozłąkę z tą blogową ciszą niech posłuży temat dotyczący LVM i jego usprawnienia w zakresie snapshotów…
SELinux - materiały konferencyjne
Tegoroczna konferencja Red Hat Summit dobiegła końca, pozostał po niej ślad w postaci prezentacji i nagrań wideo dostępnych pod adresem: http://www.redhat.com/promo/summit/2010/presentations/. Tematy, które królowały na konferencji to z pewnością długo oczekiwana wersja RHEL 6 oraz platforma RHEV, jednak nie obyło się też bez omówienia technologii SELinux.
SELinux - confined users
Kolejny wpis z serii SELinux w tytule. Poprzedni wpis koncentrował się na ograniczaniu działania konkretnej aplikacji, tym razem na celownik trafiają użytkownicy.
SELinux - tworzenie własnej polityki
SELinux umożliwia lepszą kontrolę nad aplikacjami, bez ingerencji w kod danej aplikacji – tak najogólniej brzmi jedno z głównych założeń zaimplementowanego w Linux’ie mechanizmu zabezpieczeń. Sposób realizacji owej lepszej kontroli nad aplikacjami opiera się o implementację MAC (Mandatory Access Control). Otóż każdemu obiektowi w systemie (plik, proces, port etc.) jest przypisany do konkretny typ (label) mając tak zdefiniowaną listę możemy napisać polityki, które np. konkretnemu procesowi (dla przeglądarki www firefox_t) dadzą dostęp do zapisu tylko do określonych plików (np. domowe pliki użytkowników user_home_t) bez względu na uprawnienia dostępu DAC (rwx). Postaram się przedstawić sposób tworzenia polityki dla prostego skryptu oraz opisać korzyści płynące z tego tytułu…
Kilka sztuczek konsolowych
Tytułowe sztuczki to efekt poszukiwań wydajniejszych i szybszych metod uporania sie codziennymi zadaniami administracyjnymi.
Apache plus mod_security w wersji chroot
Jednym ze sposobów ochrony systemów jest wyizolowanie konkretnej usługi sieciowej, która w przypadku zdyskredytowania daje potencjalnemu napastnikowi niewielkie pole działania do przejęcia kontroli nad systemem. Owo wyizolowanie określane mianem chroot, jail w przypadku serwera Apache możemy wykonać przy pomocy modułu mod_security kojarzonego z firewall’em protokołu HTTP.