Pull to refresh

Механизмы безопасности в Linux

Information Security *
В данной статье я проведу краткий экскурс в наиболее распространенные средства, связанные с безопасностью Linux. Информация предоставлена в сжатом виде, и если какое-то средство вас заинтересует, можно пройтись по ссылкам и прочитать более подробно. По заявкам пользователей некоторые механизмы можно будет рассмотреть более подробно в последующих статьях.

Будут рассмотрены следующие средства: POSIX ACL, sudo, chroot, PAM, SELinux, AppArmor, PolicyKit. Виртуализация, хотя и относится в какой-то мере к средствам безопасности, рассматриваться не будет, тем более что это отдельная обширная тема.
Читать дальше →
Total votes 107: ↑90 and ↓17 +73
Views 28K
Comments 51

Вредоносное ПО для GNU/Linux и борьба с ним

Configuring Linux *
Читаю на хабре вот эту тему:«Trojan.winlock начал распространяться через ЖЖ». В принципе ничего принципиально нового, и конечно, как и всегда, в комментариях полно сообщений типа «А в linux/mac/freebsd/plan9 такого нет, а пользователи Windows ССЗБ», с которых начинаются небольшие холивары. Вот, хочу начать новый холивар поделиться мыслями и узнать кто что думает, узнать насколько возможно в GNU/Linux существование вредоносного ПО и подумать что с этим делать.
Читать дальше →
Total votes 89: ↑73 and ↓16 +57
Views 6.7K
Comments 109

Введение в SELinux: модификация политики targeted для сторонних веб-приложений

Positive Technologies corporate blog Information Security *Website development *
Привет, коллеги!
Многие из нас занимаются настройкой рабочих серверов для веб-проектов. Я не буду рассказывать о том, как настроить Apache или Nginx: вы знаете об этом больше меня. Но один важный аспект создания frontend-серверов остается неосвещенным: это настройки подсистем безопасности. «Отключите SELinux», — вот стандартная рекомендация большинства любительских руководств. Мне кажется, что это поспешное решение, ибо процесс настройки подсистем безопасности в режиме «мягкой» политики чаще всего весьма тривиален.

Сегодня я расскажу вам о некоторых методах настройки подсистемы безопасности SELinux, применяемой в семействе операционных систем Red Hat (CentOS). В качестве примера мы настроим связку для веб-сервера Apache + mod_wsgi + Django + ZEO на CentOS версии 5.8.

Читать дальше →
Total votes 54: ↑49 and ↓5 +44
Views 31K
Comments 32

SELinux на практике: DVWA-тест

Positive Technologies corporate blog Information Security *Website development *
После публикации предыдущей статьи про SELinux поступило много предложений «на практике доказать полезность» этой подсистемы безопасности. Мы решили произвести тестирование. Для этого мы создали три уязвимых стенда с типовыми конфигурациями (Damn Vulnerable Web Application на CentOS 5.8). Отличия между ними были лишь в настройках SELinux: на первой виртуальной машине он был отключен, на двух других были применены политики «из коробки» — targeted и strict.

В таком составе стенд виртуальных машин подвергся тестированию на проникновение. Взглянем на результаты?

Читать дальше →
Total votes 48: ↑43 and ↓5 +38
Views 17K
Comments 24

SELinux – описание и особенности работы с системой. Часть 1

King Servers corporate blog


О SELinux на Хабре уже писали, однако, не так много опубликовано подробных мануалов по данной системе. Сегодня мы публикуем именно такой, подробный мануал по SELinux, начиная от информации по системе, и заканчивая гибкой настройкой политик.
Для того, чтобы не превращать пост в «простыню», сложную для понимания, мы решили разделить мануал на две части. Первая будет рассказывать о самой системе, и некоторых ее особенностях. Вторая – о настройке политик. Сейчас публикуем первую часть, чуть позже будет опубликована и вторая часть.

Читать дальше →
Total votes 76: ↑74 and ↓2 +72
Views 223K
Comments 13

SELinux — описание и особенности работы с системой. Часть 2

King Servers corporate blog


Коллеги, в первой части статьи о SElinux мы рассмотрели основные особенности работы с системой SELinux. Как и обещано, теперь публикуем вторую часть, в которой основное внимание уделено настройке политик. Что же, приступим.

Читать дальше →
Total votes 55: ↑49 and ↓6 +43
Views 37K
Comments 7

Как заставить работать Galaxy S4 с магнитолой Pioneer. Переключение selinux в permissive

Development for Android *
Sandbox
Год назад я стал счастливым обладателем магнитолы Pioneer SPH-DA100 AppRadio 2.

image

Покупалась магнитола изначально с целью подключить смартфон, потому что хотелось цивилизованно реализовать навигатор с пробками, проигрывание музыки с телефона и т.д. Но главной целью конечно Яндекс.Навигатор. В то время я был счастливым обладателем Samsung Galaxy S3 I9300. Конечно поставляемое по от пионер сразу отправилось в мусорную корзину и был найден отличный продукт ARLiberator. Эта программка шикарно позволяет управлять телефоном с магнитолы, отображая на себе полноценный экран телефона. К ней в связку был добавлен ScreenStandby, для того чтобы не разряжался телефон. К этому был добавлен mhl адаптер от Samsung Galaxy S4.
Читать дальше →
Total votes 12: ↑9 and ↓3 +6
Views 23K
Comments 13

Настройка отправки почтовых уведомлений в Zabbix на CentOS 7

System administration *
Sandbox
Вроде бы и задача не самая новая. И статей в гугле воз и маленькая тележка. Но почему то у меня ушла почти неделя на все эксперименты и топтания по всевозможным граблям.

Итак, задача: Сервер CentOS 7, установлен комплект LEMP, установлен сервер Zabbix 2.4.6. Нужно настроить отправку уведомлений админам на почту.

Оговорка — CentOS ставился по методу «секс и еще раз секс» — minimal installations. Ввиду этого некоторые пакеты «должные быть из коробки» не работают, ибо их никто еще не поставил.
Читать дальше →
Total votes 16: ↑11 and ↓5 +6
Views 31K
Comments 7

Как я читал показания датчиков через SNMP (Python+AgentX+systemd+Raspberry Pi) и соорудил ещё одну мониторилку

Python *System Analysis and Design *System Programming *Development for Linux *Development for IOT *
Всем привет.

image

Лирическое отступление
Статья лежит в черновиках уже пару недель, потому как не было времени таки допилить описываемый объект. Но под натиском товарищей, которые своими статьями уже покрыли половину того, что я сказать хотел, решил последовать принципу «release fast, release early, release crap» и опубликовать то, что есть. Тем более, что разработка на 80% закончена.

С момента публикации статьи про «В меру Универсальное Устройство Управления» прошло немало времени (а если быть точным, больше года). Немало, но недостаточно много, чтобы я таки написал нормальную программную начинку для этого устройства. Ведь не для красоты ж оно есть — оно должно собирать данные с датчиков и делать так, чтобы эти данные оказывались в системе мониторинга (в моём случае Zabbix)
Читать дальше →
Total votes 24: ↑24 and ↓0 +24
Views 18K
Comments 10

Разработка SELinux-модуля для приложения

Information Security *Development for Linux *
Tutorial

Давным-давно, в далекой-далекой стране


… государственная служба NSA разработала систему безопасности для ядра и окружения Linux, и назвала ее SELinux. И с тех пор люди разделились на две категории: disabled/permissive и enforcing. Сегодня я покажу вам путь Силы и переведу на другую сторону всех желающих.

Предположения


В тексте будет содержаться много технической информации, поэтому автор предполагает, что читатель:

  • Имеет какое-то приложение (демон), которое должно работать с SELinux
  • Просмотрел разницу между DAC, MAC и RBAC
  • Знаком с администрированием Linux
  • Что-то читал про SELinux и может расшифровать user_u:user_r:user_home_t:s0
  • Имеет под рукой CentOS 7
  • На котором установлены пакеты setools-console, policycoreutils-devel, selinux-policy-devel
  • И включен SELinux в режиме permissive с политикой targeted или minimum

Это все про вас? Тогда поехали!
Читать дальше →
Total votes 35: ↑35 and ↓0 +35
Views 14K
Comments 4

Разработка SELinux-модуля для пользователя

Information Security *Development for Linux *
Tutorial

Это вторая статья из цикла


Сегодня мы поговорим о SELinux-пользователях, их создании, привязке, правам и другим вещам.

Зачем это делать? Есть много причин. Для меня главной причиной было выдать доступ для техподдержки для рутинных операций (таких как ребут, чистка логов, диагностика итд), но без доступа к критичным данным и изменению системных функций.

Предположения


В тексте будет содержаться много технической информации, поэтому автор предполагает, что читатель:

  • Прочитал прошлую статью
  • Имеет под рукой CentOS 7
  • На котором установлены пакеты setools-console, policycoreutils-devel, selinux-policy-devel, policycoreutils-newrole
  • И включен SELinux в режиме enforcing с политикой targeted или minimum

Это все про вас? Тогда поехали!
Читать дальше →
Total votes 27: ↑27 and ↓0 +27
Views 11K
Comments 20

Настройка окружения SELinux на примере LAMP-сервера

Configuring Linux *System administration *
Tutorial

Это третья статья из цикла


И сегодня она попала в поток «Администрирование». Сегодня мы не будем писать модули или настраивать RBAC, а пойдем по пути наименьшего сопротивления и просто захарденим обычный LAMP-сервер при помощи готовой политики, включив необходимые настройки.

Если кто забыл, за аббривиатурой LAMP скрывается Linux, Apache, Mysql, PHP, т.е. это большая часть всех VDS, которые покупают люди для хранения своих личных блогов. Надеюсь, что этот поможет всем им стать немного безопаснее :)
Читать дальше →
Total votes 36: ↑35 and ↓1 +34
Views 23K
Comments 10

Как запихнуть свой сенсор в Android OS

Development for Android *
Sandbox

Как-то раз программисты сидели и писали очередной температурный сенсор и программы с кнопочками. И вдруг оказалось, что этот сенсор хочет себе один небольшой производитель телефонов в будущей модели. Так образовалась задача поддержать I2C/GPIO сенсор на уровне Android OS, так как сенсор обещает быть неотъемлимой частью самого телефона.

Будучи глубоким субподрядом, надежды на быстрый и регулярный отклик от конечного заказчика не было, решили потренироваться на кошках и засунуть нашу железяку в какое-нибудь доступное устройство с Android.
Как оно было
Total votes 29: ↑28 and ↓1 +27
Views 19K
Comments 10

Темные моменты SELinux

Configuring Linux *System administration **nix *

В процессе эксплуатации систем с SELinux я выделил несколько интересных кейсов, решения которых вряд-ли описаны в Интернете. Сегодня я решил поделиться с вами своими наблюдениями в надежде, что число сторонников SELinux еще немного возрастет :)

Читать дальше →
Total votes 27: ↑25 and ↓2 +23
Views 20K
Comments 6

Базовая фортификация Linux: выбираем ежи и учимся рыть траншеи

Сервер Молл corporate blog Configuring Linux *System administration *Server Administration *


Несмотря на то, что Linux по праву считается более защищенной системой, чем MS Windows, самого по себе этого факта мало.


Поэтому я хочу рассказать про базовую настройку безопасности в семействе Linux. Статья ориентирована на начинающих Linux-администраторов, но возможно и матерые специалисты почерпнут для себя что-нибудь интересное. В тексте не будет пошаговых инструкций – лишь базовое описание технологий и методов, а также несколько личных рекомендаций.

Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Views 25K
Comments 24

Быстрое создания SELinux-модулей с помощью утилиты sepolicy

Lesta Studio corporate blog Configuring Linux *Information Security *System administration *
Tutorial
В пакет policycoreutils-devel входит python-утилита sepolicy, которая сильно облегчает написание модуля. В этой статье мы рассмотрим процесс создания модуля для nmap с помощью этой утилиты.


Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 6.8K
Comments 0

Дополнительные программные средства безопасности для NAS

Configuring Linux *Information Security *IT Infrastructure *Network technologies *DIY


Цикл статей назван "Построение защищённого NAS". Поэтому в данной статье будет рассматриваться повышение уровня защищённости. Также, будут описаны и те инструменты, которые я не использовал, но возможно применить.

Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views 11K
Comments 7

Руководство для начинающих по SELinux

OTUS corporate blog Configuring Linux *Information Security *
Translation


Перевод статьи подготовлен для студентов курса «Безопасность Linux»




SELinux или Security Enhanced Linux — это улучшенный механизм управления доступом, разработанный Агентством национальной безопасности США (АНБ США) для предотвращения злонамеренных вторжений. Он реализует принудительную (или мандатную) модель управления доступом (англ. Mandatory Access Control, MAC) поверх существующей дискреционной (или избирательной) модели (англ. Discretionary Access Control, DAC), то есть разрешений на чтение, запись, выполнение.

Читать дальше →
Total votes 33: ↑29 and ↓4 +25
Views 23K
Comments 2

Шпаргалка для сисадмина по SELinux: 42 ответа на важные вопросы

OTUS corporate blog Configuring Linux *
Translation
Перевод статьи подготовлен специально для студентов курса «Администратор Linux».




Здесь вы получите ответы на важные вопросы о жизни, вселенной и всем таком в Linux с улучшенной безопасностью.

«Важная истина, что вещи не всегда являются тем, чем кажутся, общеизвестна…»

―Дуглас Адамс, Автостопом по Галактике

Безопасность. Повышение надежности. Соответствие. Политика. Четыре Всадника Апокалипсиса сисадмина. В дополнение к нашим ежедневным задачам — мониторингу, резервному копированию, внедрению, настройке, обновлению и т. д. — мы также отвечаем за безопасность наших систем. Даже тех систем, где сторонний провайдер рекомендует нам отключить усиленную безопасность. Это похоже на работу Этана Ханта из “Миссия невыполнима”.
Читать дальше →
Total votes 25: ↑24 and ↓1 +23
Views 23K
Comments 3

Сборник полезных ссылок для системного администратора

Red Hat corporate blog Configuring Linux *Open source *System administration *Studying in IT


Сборник полезных ссылок для системного администратора, руководства, инструкции, учебные курсы, секреты-советы и многое другое – ниже в нашем еженедельном посте.
Читать дальше: Сборник полезных ссылок для системного администратора
Total votes 16: ↑6 and ↓10 -4
Views 16K
Comments 10
1