linux, devops, sre, cloud, virtualization, containers, performance tunning, golang…
SELinux - zabezpieczenie serwera WWW
Najpopularniejszą metodą przetestowania działania SELinux jest uruchomienie serwera WWW oraz przeniesienie pliku np. z lokalizacji /tmp do lokalizacji ,,htdocs'' i próba jego otwarcia z poziomu przeglądarki. Okazuje się, że sztuka ta kończy się niepowodzeniem, pomimo nadania odpowiednich uprawnień. Dzieje się tak, gdyż przeniesiony plik posiada inny kontekst zabezpieczeń, do którego dostępu nie ma serwer WWW. Wystarczy nadać odpowiedni kontekst nowo przeniesionemu plików i problem znika, dzisiaj zatem postaram się rozszyfrować co oznacza odpowiedni kontekst zabezpieczeń dla serwera WWW.
Active Directory - informacje o wygasającym haśle
Wymuszenie okresowych zmian haseł często spotyka się ze sprzeciwem użytkowników i pytaniami dlaczego tak często i kiedy przypada następna zmian hasła. Zgodnie z tematem dzisiejszego wpisu przyjrzę się bliżej odpowiedzi na drugie pytanie…
Linux Audit - krótkie omówienie
Informacje z działania sytemu dostarczane chociażby przez syslog’a, stanowią podstawę do określenia co i kiedy miało miejsce w systemie. Podobne zadanie spełnia omawiany w dzisiejszym wpisie auditd, pozwala on kontrolować niskopoziomowe operacje (kernel) wedle ustalonych przez nas reguł.
ESX(i) - monitorowanie ruchu sieciowego maszyn wirtualnych
Korzystając z wirtualizacji zmienia się postrzeganie ruchu sieciowego pomiędzy maszynami wirtualnymi, nie mamy już przecież do czynienia z fizycznymi kabelkami, a monitorować tak czy inaczej musimy. W jaki więc sposób można to osiągnąć ?
SELinux - współpraca z netfilter'em
Kolejny wpis z SELinux’em w tytule, tym razem przybliżę moduł SECMARK dla netfilter’a i jego możliwości w kształtowaniu polityk bezpieczeństwa.
LVM2 - snapshot merge
Efekt przerwy urlopowej wyraźnie wpłynął na częstotliwość pojawiania się nowych wpisów. Na rozłąkę z tą blogową ciszą niech posłuży temat dotyczący LVM i jego usprawnienia w zakresie snapshotów…
SELinux - materiały konferencyjne
Tegoroczna konferencja Red Hat Summit dobiegła końca, pozostał po niej ślad w postaci prezentacji i nagrań wideo dostępnych pod adresem: http://www.redhat.com/promo/summit/2010/presentations/. Tematy, które królowały na konferencji to z pewnością długo oczekiwana wersja RHEL 6 oraz platforma RHEV, jednak nie obyło się też bez omówienia technologii SELinux.
SELinux - confined users
Kolejny wpis z serii SELinux w tytule. Poprzedni wpis koncentrował się na ograniczaniu działania konkretnej aplikacji, tym razem na celownik trafiają użytkownicy.
SELinux - tworzenie własnej polityki
SELinux umożliwia lepszą kontrolę nad aplikacjami, bez ingerencji w kod danej aplikacji – tak najogólniej brzmi jedno z głównych założeń zaimplementowanego w Linux’ie mechanizmu zabezpieczeń. Sposób realizacji owej lepszej kontroli nad aplikacjami opiera się o implementację MAC (Mandatory Access Control). Otóż każdemu obiektowi w systemie (plik, proces, port etc.) jest przypisany do konkretny typ (label) mając tak zdefiniowaną listę możemy napisać polityki, które np. konkretnemu procesowi (dla przeglądarki www firefox_t) dadzą dostęp do zapisu tylko do określonych plików (np. domowe pliki użytkowników user_home_t) bez względu na uprawnienia dostępu DAC (rwx). Postaram się przedstawić sposób tworzenia polityki dla prostego skryptu oraz opisać korzyści płynące z tego tytułu…
Kilka sztuczek konsolowych
Tytułowe sztuczki to efekt poszukiwań wydajniejszych i szybszych metod uporania sie codziennymi zadaniami administracyjnymi.