Как стать автором
Обновить

Механизмы безопасности в Linux

Информационная безопасность *
В данной статье я проведу краткий экскурс в наиболее распространенные средства, связанные с безопасностью Linux. Информация предоставлена в сжатом виде, и если какое-то средство вас заинтересует, можно пройтись по ссылкам и прочитать более подробно. По заявкам пользователей некоторые механизмы можно будет рассмотреть более подробно в последующих статьях.

Будут рассмотрены следующие средства: POSIX ACL, sudo, chroot, PAM, SELinux, AppArmor, PolicyKit. Виртуализация, хотя и относится в какой-то мере к средствам безопасности, рассматриваться не будет, тем более что это отдельная обширная тема.
Читать дальше →
Всего голосов 107: ↑90 и ↓17 +73
Просмотры 28K
Комментарии 51

Вредоносное ПО для GNU/Linux и борьба с ним

Настройка Linux *
Читаю на хабре вот эту тему:«Trojan.winlock начал распространяться через ЖЖ». В принципе ничего принципиально нового, и конечно, как и всегда, в комментариях полно сообщений типа «А в linux/mac/freebsd/plan9 такого нет, а пользователи Windows ССЗБ», с которых начинаются небольшие холивары. Вот, хочу начать новый холивар поделиться мыслями и узнать кто что думает, узнать насколько возможно в GNU/Linux существование вредоносного ПО и подумать что с этим делать.
Читать дальше →
Всего голосов 89: ↑73 и ↓16 +57
Просмотры 6.7K
Комментарии 109

Введение в SELinux: модификация политики targeted для сторонних веб-приложений

Блог компании Positive Technologies Информационная безопасность *Разработка веб-сайтов *
Привет, коллеги!
Многие из нас занимаются настройкой рабочих серверов для веб-проектов. Я не буду рассказывать о том, как настроить Apache или Nginx: вы знаете об этом больше меня. Но один важный аспект создания frontend-серверов остается неосвещенным: это настройки подсистем безопасности. «Отключите SELinux», — вот стандартная рекомендация большинства любительских руководств. Мне кажется, что это поспешное решение, ибо процесс настройки подсистем безопасности в режиме «мягкой» политики чаще всего весьма тривиален.

Сегодня я расскажу вам о некоторых методах настройки подсистемы безопасности SELinux, применяемой в семействе операционных систем Red Hat (CentOS). В качестве примера мы настроим связку для веб-сервера Apache + mod_wsgi + Django + ZEO на CentOS версии 5.8.

Читать дальше →
Всего голосов 54: ↑49 и ↓5 +44
Просмотры 31K
Комментарии 32

SELinux на практике: DVWA-тест

Блог компании Positive Technologies Информационная безопасность *Разработка веб-сайтов *
После публикации предыдущей статьи про SELinux поступило много предложений «на практике доказать полезность» этой подсистемы безопасности. Мы решили произвести тестирование. Для этого мы создали три уязвимых стенда с типовыми конфигурациями (Damn Vulnerable Web Application на CentOS 5.8). Отличия между ними были лишь в настройках SELinux: на первой виртуальной машине он был отключен, на двух других были применены политики «из коробки» — targeted и strict.

В таком составе стенд виртуальных машин подвергся тестированию на проникновение. Взглянем на результаты?

Читать дальше →
Всего голосов 48: ↑43 и ↓5 +38
Просмотры 17K
Комментарии 24

SELinux – описание и особенности работы с системой. Часть 1

Блог компании King Servers


О SELinux на Хабре уже писали, однако, не так много опубликовано подробных мануалов по данной системе. Сегодня мы публикуем именно такой, подробный мануал по SELinux, начиная от информации по системе, и заканчивая гибкой настройкой политик.
Для того, чтобы не превращать пост в «простыню», сложную для понимания, мы решили разделить мануал на две части. Первая будет рассказывать о самой системе, и некоторых ее особенностях. Вторая – о настройке политик. Сейчас публикуем первую часть, чуть позже будет опубликована и вторая часть.

Читать дальше →
Всего голосов 76: ↑74 и ↓2 +72
Просмотры 228K
Комментарии 13

SELinux — описание и особенности работы с системой. Часть 2

Блог компании King Servers


Коллеги, в первой части статьи о SElinux мы рассмотрели основные особенности работы с системой SELinux. Как и обещано, теперь публикуем вторую часть, в которой основное внимание уделено настройке политик. Что же, приступим.

Читать дальше →
Всего голосов 55: ↑49 и ↓6 +43
Просмотры 38K
Комментарии 7

Как заставить работать Galaxy S4 с магнитолой Pioneer. Переключение selinux в permissive

Разработка под Android *
Из песочницы
Год назад я стал счастливым обладателем магнитолы Pioneer SPH-DA100 AppRadio 2.

image

Покупалась магнитола изначально с целью подключить смартфон, потому что хотелось цивилизованно реализовать навигатор с пробками, проигрывание музыки с телефона и т.д. Но главной целью конечно Яндекс.Навигатор. В то время я был счастливым обладателем Samsung Galaxy S3 I9300. Конечно поставляемое по от пионер сразу отправилось в мусорную корзину и был найден отличный продукт ARLiberator. Эта программка шикарно позволяет управлять телефоном с магнитолы, отображая на себе полноценный экран телефона. К ней в связку был добавлен ScreenStandby, для того чтобы не разряжался телефон. К этому был добавлен mhl адаптер от Samsung Galaxy S4.
Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Просмотры 32K
Комментарии 13

Настройка отправки почтовых уведомлений в Zabbix на CentOS 7

Системное администрирование *
Из песочницы
Вроде бы и задача не самая новая. И статей в гугле воз и маленькая тележка. Но почему то у меня ушла почти неделя на все эксперименты и топтания по всевозможным граблям.

Итак, задача: Сервер CentOS 7, установлен комплект LEMP, установлен сервер Zabbix 2.4.6. Нужно настроить отправку уведомлений админам на почту.

Оговорка — CentOS ставился по методу «секс и еще раз секс» — minimal installations. Ввиду этого некоторые пакеты «должные быть из коробки» не работают, ибо их никто еще не поставил.
Читать дальше →
Всего голосов 16: ↑11 и ↓5 +6
Просмотры 31K
Комментарии 7

Как я читал показания датчиков через SNMP (Python+AgentX+systemd+Raspberry Pi) и соорудил ещё одну мониторилку

Python *Анализ и проектирование систем *Системное программирование *Разработка под Linux *Разработка для интернета вещей *
Всем привет.

image

Лирическое отступление
Статья лежит в черновиках уже пару недель, потому как не было времени таки допилить описываемый объект. Но под натиском товарищей, которые своими статьями уже покрыли половину того, что я сказать хотел, решил последовать принципу «release fast, release early, release crap» и опубликовать то, что есть. Тем более, что разработка на 80% закончена.

С момента публикации статьи про «В меру Универсальное Устройство Управления» прошло немало времени (а если быть точным, больше года). Немало, но недостаточно много, чтобы я таки написал нормальную программную начинку для этого устройства. Ведь не для красоты ж оно есть — оно должно собирать данные с датчиков и делать так, чтобы эти данные оказывались в системе мониторинга (в моём случае Zabbix)
Читать дальше →
Всего голосов 24: ↑24 и ↓0 +24
Просмотры 18K
Комментарии 10

Разработка SELinux-модуля для приложения

Информационная безопасность *Разработка под Linux *
Tutorial

Давным-давно, в далекой-далекой стране


… государственная служба NSA разработала систему безопасности для ядра и окружения Linux, и назвала ее SELinux. И с тех пор люди разделились на две категории: disabled/permissive и enforcing. Сегодня я покажу вам путь Силы и переведу на другую сторону всех желающих.

Предположения


В тексте будет содержаться много технической информации, поэтому автор предполагает, что читатель:

  • Имеет какое-то приложение (демон), которое должно работать с SELinux
  • Просмотрел разницу между DAC, MAC и RBAC
  • Знаком с администрированием Linux
  • Что-то читал про SELinux и может расшифровать user_u:user_r:user_home_t:s0
  • Имеет под рукой CentOS 7
  • На котором установлены пакеты setools-console, policycoreutils-devel, selinux-policy-devel
  • И включен SELinux в режиме permissive с политикой targeted или minimum

Это все про вас? Тогда поехали!
Читать дальше →
Всего голосов 35: ↑35 и ↓0 +35
Просмотры 15K
Комментарии 4

Разработка SELinux-модуля для пользователя

Информационная безопасность *Разработка под Linux *
Tutorial

Это вторая статья из цикла


Сегодня мы поговорим о SELinux-пользователях, их создании, привязке, правам и другим вещам.

Зачем это делать? Есть много причин. Для меня главной причиной было выдать доступ для техподдержки для рутинных операций (таких как ребут, чистка логов, диагностика итд), но без доступа к критичным данным и изменению системных функций.

Предположения


В тексте будет содержаться много технической информации, поэтому автор предполагает, что читатель:

  • Прочитал прошлую статью
  • Имеет под рукой CentOS 7
  • На котором установлены пакеты setools-console, policycoreutils-devel, selinux-policy-devel, policycoreutils-newrole
  • И включен SELinux в режиме enforcing с политикой targeted или minimum

Это все про вас? Тогда поехали!
Читать дальше →
Всего голосов 27: ↑27 и ↓0 +27
Просмотры 11K
Комментарии 20

Настройка окружения SELinux на примере LAMP-сервера

Настройка Linux *Системное администрирование *
Tutorial

Это третья статья из цикла


И сегодня она попала в поток «Администрирование». Сегодня мы не будем писать модули или настраивать RBAC, а пойдем по пути наименьшего сопротивления и просто захарденим обычный LAMP-сервер при помощи готовой политики, включив необходимые настройки.

Если кто забыл, за аббривиатурой LAMP скрывается Linux, Apache, Mysql, PHP, т.е. это большая часть всех VDS, которые покупают люди для хранения своих личных блогов. Надеюсь, что этот поможет всем им стать немного безопаснее :)
Читать дальше →
Всего голосов 36: ↑35 и ↓1 +34
Просмотры 23K
Комментарии 10

Как запихнуть свой сенсор в Android OS

Разработка под Android *
Из песочницы

Как-то раз программисты сидели и писали очередной температурный сенсор и программы с кнопочками. И вдруг оказалось, что этот сенсор хочет себе один небольшой производитель телефонов в будущей модели. Так образовалась задача поддержать I2C/GPIO сенсор на уровне Android OS, так как сенсор обещает быть неотъемлимой частью самого телефона.

Будучи глубоким субподрядом, надежды на быстрый и регулярный отклик от конечного заказчика не было, решили потренироваться на кошках и засунуть нашу железяку в какое-нибудь доступное устройство с Android.
Как оно было
Всего голосов 29: ↑28 и ↓1 +27
Просмотры 19K
Комментарии 10

Темные моменты SELinux

Настройка Linux *Системное администрирование **nix *

В процессе эксплуатации систем с SELinux я выделил несколько интересных кейсов, решения которых вряд-ли описаны в Интернете. Сегодня я решил поделиться с вами своими наблюдениями в надежде, что число сторонников SELinux еще немного возрастет :)

Читать дальше →
Всего голосов 27: ↑25 и ↓2 +23
Просмотры 20K
Комментарии 6

Базовая фортификация Linux: выбираем ежи и учимся рыть траншеи

Блог компании Сервер Молл Настройка Linux *Системное администрирование *Серверное администрирование *


Несмотря на то, что Linux по праву считается более защищенной системой, чем MS Windows, самого по себе этого факта мало.


Поэтому я хочу рассказать про базовую настройку безопасности в семействе Linux. Статья ориентирована на начинающих Linux-администраторов, но возможно и матерые специалисты почерпнут для себя что-нибудь интересное. В тексте не будет пошаговых инструкций – лишь базовое описание технологий и методов, а также несколько личных рекомендаций.

Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 26K
Комментарии 24

Быстрое создания SELinux-модулей с помощью утилиты sepolicy

Блог компании Lesta Studio Настройка Linux *Информационная безопасность *Системное администрирование *
Tutorial
В пакет policycoreutils-devel входит python-утилита sepolicy, которая сильно облегчает написание модуля. В этой статье мы рассмотрим процесс создания модуля для nmap с помощью этой утилиты.


Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 6.9K
Комментарии 0

Дополнительные программные средства безопасности для NAS

Настройка Linux *Информационная безопасность *IT-инфраструктура *Сетевые технологии *DIY или Сделай сам


Цикл статей назван "Построение защищённого NAS". Поэтому в данной статье будет рассматриваться повышение уровня защищённости. Также, будут описаны и те инструменты, которые я не использовал, но возможно применить.

Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры 11K
Комментарии 7

Руководство для начинающих по SELinux

Блог компании OTUS Настройка Linux *Информационная безопасность *
Перевод


Перевод статьи подготовлен для студентов курса «Безопасность Linux»




SELinux или Security Enhanced Linux — это улучшенный механизм управления доступом, разработанный Агентством национальной безопасности США (АНБ США) для предотвращения злонамеренных вторжений. Он реализует принудительную (или мандатную) модель управления доступом (англ. Mandatory Access Control, MAC) поверх существующей дискреционной (или избирательной) модели (англ. Discretionary Access Control, DAC), то есть разрешений на чтение, запись, выполнение.

Читать дальше →
Всего голосов 33: ↑29 и ↓4 +25
Просмотры 24K
Комментарии 2

Шпаргалка для сисадмина по SELinux: 42 ответа на важные вопросы

Блог компании OTUS Настройка Linux *
Перевод
Перевод статьи подготовлен специально для студентов курса «Администратор Linux».




Здесь вы получите ответы на важные вопросы о жизни, вселенной и всем таком в Linux с улучшенной безопасностью.

«Важная истина, что вещи не всегда являются тем, чем кажутся, общеизвестна…»

―Дуглас Адамс, Автостопом по Галактике

Безопасность. Повышение надежности. Соответствие. Политика. Четыре Всадника Апокалипсиса сисадмина. В дополнение к нашим ежедневным задачам — мониторингу, резервному копированию, внедрению, настройке, обновлению и т. д. — мы также отвечаем за безопасность наших систем. Даже тех систем, где сторонний провайдер рекомендует нам отключить усиленную безопасность. Это похоже на работу Этана Ханта из “Миссия невыполнима”.
Читать дальше →
Всего голосов 25: ↑24 и ↓1 +23
Просмотры 24K
Комментарии 3

Сборник полезных ссылок для системного администратора

Блог компании Red Hat Настройка Linux *Open source *Системное администрирование *Учебный процесс в IT


Сборник полезных ссылок для системного администратора, руководства, инструкции, учебные курсы, секреты-советы и многое другое – ниже в нашем еженедельном посте.
Читать дальше: Сборник полезных ссылок для системного администратора
Всего голосов 16: ↑6 и ↓10 -4
Просмотры 16K
Комментарии 10
1