Virtualizace KVM – řešení budoucnosti

Ve světě odborných médií je virtualizace KVM Popelkou. Píše se o ní mnohem méně, než o řešení společnosti VMware (c) nebo o Hyper-V (c). Tržní podíl virtualizace KVM společnost IDG odhaduje na pouhá 4%. Protože se však jedná o řešení postavené na svobodném software,  provozovatelé, kteří nekupují komerční podporu společnosti Red Hat, Attachmate (vlastníka SuSE) nebo Oracle jsou pro tuto statistiku neviditelní. Reálný podíl virtualizace KVM je obtížné odhadnout. Předpokládám, že se v počtu reálných serverů dosahuje trojnásobku až pětinásobku svého oficiálního tržního podílu. Tedy 12 až 20 % fyzických serverů sloužících jako hypervizory. Tento můj relativně střízlivý odhad vychází z informací o prudce stoupajícímu podílu řešení postavených na svobodném software v oblasti cloud computingu.

Celý příspěvek

Sociální sítě a jejich bezpečnost z pohledu běžného občana

Social Media

 

Článek se zaměřuje na bezpečnost sociálních sítí z pohledu běžného občana. Jaká bezpečnostní rizika mu při jejich použití hrozí? Jsou tato nebezpečí podceňována? Jaká doporučujeme opatření?

Bezpečnost uživatelů sociálních sítí

Soukromé osoby bezpečnostní problematiku v oblasti výpočetní techniky obvykle téměř neřeší. Maximem je instalovaný antivirový systém, personální firewall na počítači a firewall na routeru užívaný k přístupu na internet.

Kdo si ale myslí, že tyto uživatele za tento přístup budu kárat, se velice mýlí. Pro soukromé použití je takovéto zajištění prozatím dostatečné.

Co však tito uživatelé standardně podceňují, je sdílení privátních informací na sociálních sítích. Takto sdílené informace opravdu není dobré podceňovat. Zejména děti prozradí prakticky všechno. Minimálně do 15 let doporučuji dohled rodiče nad jejich aktivitami v této oblasti. Chápu, že u věkové kategorie 11 až 15 roků (puberťáci) bude toto doporučení velice nepopulární, ale oni prostě ještě nedokáží posoudit, co je citlivá informace a co není. (Někdy to tedy nedokáží posoudit ani jejich rodiče. Sorry.)

Celý příspěvek

Připojení CD-ROM virtuálnímu serveru v prostředí KVM

Článek detailně popisuje technický postup připojení mechaniky CD-RVirtualizace KVMOM do virtuálního stroje v prostředí virtualizace KVM z příkazového řádku.

Virtuální stroj bez definované CD-ROM

Velice jednoduchý je tento postup na virtuálním stroji, kde žádná CD-ROM mechanika zatím není definována. U takového virtuálního stroje fyzickou mechaniku na hostiteli připojíme za běhu následujícím příkazem:

# virsh attach-disk WidleSRV12 /dev/sr0 hdc --type cdrom

Pokud již definovaný CD-ROM máte jako zařízení, například /dev/sr0, můžete použít pro nahrazení zařízení soubor s ISO obrazem disku. Například: Celý příspěvek

Plný Comware na switchích HP 1910, 1920 a 1950?

Switche HP řady 1910 a nově s nástupcem 1920 se staly oblíbené pro nasazení v malých a středních sítích. Není se čemu divit – příznivá cena, do 24 portů ve variantě non-PoE pouze s pasivním chlazením, s doživotní zárukou HP Limited Lifetime Warranty 2.0 rozšířenou o opravu výměnou následující pracovní den včetně tříleté podpory 24×7, výběr 8 – 48 portů non-PoE i PoE varianty, podporou až 4 SFP portů a hlavně jsou vybaveny funkcemi, které jsou běžné u switchů vyšších řad. Přesto se jim zkušení síťaři vyhýbali, i když např. HP 1910,1920 a 1950 podporují IMC a dají se centrálně spravovat se switchi, které se běžně používají spíše na páteři či v datových centrech, jako například modely HP 5130 a vyšší. Celý příspěvek

Certifikáty bezpečné a nebezpečné

Certifikáty bezpečné a nebezpečné.Na první pohled je vše jasné; Náš webový prohlížeč nám přece nahlásí, když certifikát navštíveného serveru z nějakého důvodu není bezpečný. Ale jak je to s bezpečností certifikátu doopravdy? To se dozvíte v tomto článku.

Jak je to s bezpečností certifikátů?

Připojujete se k internetovému bankovnictví. V adresním řádku webového prohlížeče se objeví zeleně podbarvený název vaší banky. Kliknete na něj a dozvíte se podrobnosti o vlastníkovi webu, ke kterému se připojujete, a která certifikační autorita ověřila jeho identitu. Je to pro vás velice užitečná informace. Víte (téměř) určitě, že nejste na podvodné stránce. Že jste opravdu na stránce vaší banky.

Celý příspěvek

Import veřejných klíčů u distribucí typu Debian Linux

U operačních systému Linux z rodiny Debianu občas potřebujeme přidat klíče do aptu, Debian, import veřených klíčůkteré jsou vyžadovány po nějaké aktualizaci nebo přidání repozitáře.

Pokud máte příslušný veřejný klíč uložený v souboru verejny_klic.txt, použijte následující příkaz:

Celý příspěvek

Stáhněte si eBook „Zabezpečte Linux server v 10 krocích!“

K sepsání eBooku Zabezpečte Linux server v 10 krocích mě vedla zejména vysokáebook četnost bezpečnostních incidentů, které jsme v poslední době řešili. Za první čtyři měsíce roku 2015 jsme s kolegou získali čtyři zakázky na řešení bezpečnostních problémů související s linuxovými servery.

Celý příspěvek

Linuxovým administrátorem za tři dny

Stejně jako většině z nás, mi přichází do emailových schránek hromada spamu. Většinu zastaví antispamový filtr, ale občas přece jen nějaký, obvykle dílko českých mozečků, projde. Zrovna včera jsem dostal jeden kousek, který mě zaujal. Nabízel třídenní školení Linuxu pod titulkem: Linuxovým administrátorem za tři dny.

Pod ním následoval obsah, který bylo snad možné za tři dny stručně projít. Rozhodně ale jej nebylo možné naučit někoho, kdo s oblastí nemá předchozí zkušenost.

Celý příspěvek

MS Windows 2012 / 2012 R2 – instalace jazykových balíčků a změna jazyka prostředí

Systém MS Windows Server umožňuje instalaci jazykových balíčků – v předchozích verzích Windows Server to byl MUI (Multilangual User Interface). Ve verzi 2012 a 2012 R2 je instalace mírně odlišná, proto si nyní krok za krokem ukážeme, jak na instalaci jazykového balíčku a změnu prostředí:

Celý příspěvek

Linux, virtualizace, počty fyzických procesorů, jader a vláken

Po delší přestávce zaviněné pracovními úkoly pro vás mám krátký článek o tom, jak zjistit v prostředí Linuxu jestli je dostupná hardwarová podpora virtualizace, počet fyzických procesorů, procesorových jader, a zda je zapnutý hyperthreading v BIOSu počítače.

V Linuxu zjistíme informace o procesorech vypsáním souboru /proc/cpuinfo.

Pro zjištění, zda je dostupná podpora hardwarové virtualizace, použijeme příkaz:

Celý příspěvek

Proč vyžadujeme písemné zadání poptávky od našich zákazníků?

Článek popisuje důvody pro přípravu písemné formy poptávek. Je určen všem, kteří chtějí po nás nějakou v podstatě maličkost. Třeba jen webové stránky. A když po nich chceme písemné zadání úkolu, argumentují například způsobem: „Já nevím, jaké stránky chci, vy jste na to odborníci, to máte přece vědět vy.“ V takévém případě jako alternativu nabízíme přípravu vstupní analýzy projektu. Její součástí je i návrh poptávaného řešení.

Nad tématem tohoto příspěvku jsem docela dlouho váhal. Je to přeci jen trochu „off-topic“ téma pro technický blog. Nakonec jsem jej zde publikoval. Techničtí nerdi jej přece číst nemusí. 🙂 A já budu moci místo vysvětlování již jen posílat odkazy.

Celý příspěvek

Principy fungování operace Windigo

Tento úvodní článek seriálu o operaci Windigo popisuje způsob jakým útok funguje. Upozorňuje na nebezpečnost jeho tvůrců, kteří na odhalení budou prakticky určitě reagovat. Většina informací zde uvedených vychází z dokumentu v anglickém jazyce na webu welivesecurity.com, Operation Windigo. Můžete se ale také těšit na mé vlastní závěry z publikovaných faktů, a to zejména v dalších dílech, které se budou zabývat technickými podrobnostmi. Seriál navazuje volně na moje článek Kontrolní skript na operaci Windigo 1.0.2 a Další vývoj operace Windigo.

Samotná operace Windigo je velice propracovaný a velice dobře navržený i provedený útok. Jeho rozsah, schopnost zůstat skrytý ve své komplexnosti po mnoho měsíců i roků, široká přenositelnost kódu, i profesionalita provedení je zcela bezprecedentní.

Celý příspěvek

Kdo na mě útočí a využívá chybu v OpenSSL známou jako Heartbleed?

Způsobů detekce útoku na OpenSSL je k dispozici, samozřejmě, daleko více. Heartbleed openssl bug vector shapeTento je ale velice jednoduše realizovatelný i na běžném serveru s operačním systémem Linux. Nepotřebujete žádné IPS/IDS. Jestli se tedy chcete trochu morbidně pobavit, čtěte dále. 🙂

Celý příspěvek

Používáme OpenSSL – příprava a odvolávání certifikátů

Článek popisuje postup práce s OpenSSL při přípravě požadavku na certifikát, práci s certifikační autoritou a postup při odvolávání kompromitovaného certifikátu. Napadlo mě, že po odhalení bezpečnostní chyby v OpenSSL se návod na generování a revokaci certifikátů mnohým z vás může hodit. Pokud ještě nemáte připravenu certifikační autoritu, přečtěte si nejprve článek Používáme OpenSSL – příprava certifikační autority.

Celý příspěvek

Používáme OpenSSL – příprava certifikační autority

V tomto článku je podrobně popsán postup zprovoznění certifikační autority s využitím OpenSSL.V článku bezprosstředně následujícím popíšu postup přípravy požadavku na certifikát, vytvoření certifikátu certifikační autoritou a postup jeho odvolání. Pokud již máte funkční certifikační autoritu a pořebujete návod na nahrazení a odvolání certifikátu, čtěte článek Používáme OpenSSL –  příprava a odvolávání certifikátů.

Celý příspěvek

Jaké certifikáty OpenSSL musíme odvolat?

Aktuálním problémem mnoha administrátorů Linuxu se stala bezpečnostní chyba v OpenSSL známá jako Chyba krvácejícího srdce. Provedli aktualizace software, nahradili a případně i odvolali Heartbleed openssl bug vector shapecertifikáty na webových serverech. Postup ve složitějších případech, jako použití certifikátů v OpenVPN, již není tak jasný. Pokusím se v tomto článku tuto problematiku trochu přiblížit.

 

Vycházím ze stavu, kdy máte OpenSSL již aktualizováno na verzi, která není zranitelná. V tuto chvíli je pro mnohé administrátory Linuxu otázkou, jak přesně postupovat dále.

Celý příspěvek

Závažná bezpečnostní chyba v OpenSSL

Heartbleed openssl bug vector shapePostižené jsou verze OpenSSL 1.0.1 až po verzi 1.0.1f a 1.0.2beta. Bezpečnostní incident teoreticky umožňuje získání privátních klíčů při použití certifikátů užívaných na systémech se zranitelnými verzemi OpenSSL.

Bezpečnostní chybou je zasažen mimo jiné i RHEL 6 (samozřejmě i CentOS 6). Měl jsem díky tomu poměrně rušný den.

Celý příspěvek

Kontrolní skript na operaci Windigo verze 1.0.2

Připravil jsem pro vás novou verzi skriptu pro kontrolu napadení serveru operací Windigo.

Jeho způsob použití se nezměnil od verze 1.0.1. Je popsán v článku Kontrolní skript na operaci Windigo.

Byla vylepšena zejména kontrola knihoven libkeyutils. Dále byly přidány nové signatury napadených verzí webového serveru komponentou Linux/Cdorked. Změny v testování Parl/Calfbor a Linux/Onimiki jsou pouze kosmetické.

Celý příspěvek

Další vývoj operace Windigo

Operace Windigo byla odhalena. Ale znamená to její konec? Bohužel, téměř jistě ne. Okolnosti nasvědčují tomu, že o operaci Windigo ještě uslyšíme. V tomto článku se dozvíte, proč mám tento názor.

Nebezpečí operace Windigo stále trvá

Nebezpečnost operace Windigo nelze považovat za zažehnané. Autoři útoku Windigo již v minulosti více než jednou reagovali na odhalení komponenty, a vytvořili její novou verzi, která je proti dříve popsané ochraně odolná. Dokázali takto reagovat v horizontu dvou měsíců. Je velice pravděpodobné, že se pokusí svoji aktuální základnu 10.000 napadených serverů ochránit, a znovu rozšířit pomocí nových verzí škodlivých modulů, pro které stávající detekční postupy nebudou fungovat. Nejspíše na tom již intenzivně pracují.

Celý příspěvek