Linux, bezpečnost, virtualizace, cloud computing a programování
Stejně jako většině z nás, mi přichází do emailových schránek hromada spamu. Většinu zastaví antispamový filtr, ale občas přece jen nějaký, obvykle dílko českých mozečků, projde. Zrovna včera jsem dostal jeden kousek, který mě zaujal. Nabízel třídenní školení Linuxu pod titulkem: Linuxovým administrátorem za tři dny.
Pod ním následoval obsah, který bylo snad možné za tři dny stručně projít. Rozhodně ale jej nebylo možné naučit někoho, kdo s oblastí nemá předchozí zkušenost.
Systém MS Windows Server umožňuje instalaci jazykových balíčků – v předchozích verzích Windows Server to byl MUI (Multilangual User Interface). Ve verzi 2012 a 2012 R2 je instalace mírně odlišná, proto si nyní krok za krokem ukážeme, jak na instalaci jazykového balíčku a změnu prostředí:
Po delší přestávce zaviněné pracovními úkoly pro vás mám krátký článek o tom, jak zjistit v prostředí Linuxu jestli je dostupná hardwarová podpora virtualizace, počet fyzických procesorů, procesorových jader, a zda je zapnutý hyperthreading v BIOSu počítače.
V Linuxu zjistíme informace o procesorech vypsáním souboru /proc/cpuinfo.
Pro zjištění, zda je dostupná podpora hardwarové virtualizace, použijeme příkaz:
Pokračovat ve čtení „Linux, virtualizace, počty fyzických procesorů, jader a vláken“
Článek popisuje důvody pro přípravu písemné formy poptávek. Je určen všem, kteří chtějí po nás nějakou v podstatě maličkost. Třeba jen webové stránky. A když po nich chceme písemné zadání úkolu, argumentují například způsobem: „Já nevím, jaké stránky chci, vy jste na to odborníci, to máte přece vědět vy.“ V takévém případě jako alternativu nabízíme přípravu vstupní analýzy projektu. Její součástí je i návrh poptávaného řešení.
Nad tématem tohoto příspěvku jsem docela dlouho váhal. Je to přeci jen trochu „off-topic“ téma pro technický blog. Nakonec jsem jej zde publikoval. Techničtí nerdi jej přece číst nemusí. 🙂 A já budu moci místo vysvětlování již jen posílat odkazy.
Pokračovat ve čtení „Proč vyžadujeme písemné zadání poptávky od našich zákazníků?“
Tento úvodní článek seriálu o operaci Windigo popisuje způsob jakým útok funguje. Upozorňuje na nebezpečnost jeho tvůrců, kteří na odhalení budou prakticky určitě reagovat. Většina informací zde uvedených vychází z dokumentu v anglickém jazyce na webu welivesecurity.com, Operation Windigo. Můžete se ale také těšit na mé vlastní závěry z publikovaných faktů. A to zejména v dalších dílech, které se budou zabývat technickými podrobnostmi. Seriál navazuje volně na můj článek Kontrolní skript na operaci Windigo 1.0.2 a Další vývoj operace Windigo.
Samotná operace Windigo je velice propracovaný a velice dobře navržený i provedený útok. Jeho rozsah, schopnost zůstat skrytý ve své komplexnosti po mnoho měsíců i roků, široká přenositelnost kódu, i profesionalita provedení je zcela bezprecedentní.
Způsobů detekce útoku na OpenSSL je k dispozici, samozřejmě, daleko více. Tento je ale velice jednoduše realizovatelný i na běžném serveru s operačním systémem Linux. Nepotřebujete žádné IPS/IDS. Jestli se tedy chcete trochu morbidně pobavit, čtěte dále. 🙂
Pokračovat ve čtení „Kdo na mě útočí a využívá chybu v OpenSSL známou jako Heartbleed?“
Článek popisuje postup práce s OpenSSL při přípravě požadavku na certifikát, práci s certifikační autoritou a postup při odvolávání kompromitovaného certifikátu. Napadlo mě, že po odhalení bezpečnostní chyby v OpenSSL se návod na generování a revokaci certifikátů mnohým z vás může hodit. Pokud ještě nemáte připravenu certifikační autoritu, přečtěte si nejprve článek Používáme OpenSSL – příprava certifikační autority.
Pokračovat ve čtení „Používáme OpenSSL – příprava a odvolávání certifikátů“
V tomto článku je podrobně popsán postup zprovoznění certifikační autority s využitím OpenSSL.V článku bezprosstředně následujícím popíšu postup přípravy požadavku na certifikát, vytvoření certifikátu certifikační autoritou a postup jeho odvolání. Pokud již máte funkční certifikační autoritu a pořebujete návod na nahrazení a odvolání certifikátu, čtěte článek Používáme OpenSSL – příprava a odvolávání certifikátů.
Pokračovat ve čtení „Používáme OpenSSL – příprava certifikační autority“
Aktuálním problémem mnoha administrátorů Linuxu se stala bezpečnostní chyba v OpenSSL známá jako Chyba krvácejícího srdce. Provedli aktualizace software, nahradili a případně i odvolali certifikáty na webových serverech. Postup ve složitějších případech, jako použití certifikátů v OpenVPN, již není tak jasný. Pokusím se v tomto článku tuto problematiku trochu přiblížit.
Vycházím ze stavu, kdy máte OpenSSL již aktualizováno na verzi, která není zranitelná. V tuto chvíli je pro mnohé administrátory Linuxu otázkou, jak přesně postupovat dále.
Pokračovat ve čtení „Jaké certifikáty OpenSSL musíme odvolat?“
Postižené jsou verze OpenSSL 1.0.1 až po verzi 1.0.1f a 1.0.2beta. Bezpečnostní incident teoreticky umožňuje získání privátních klíčů při použití certifikátů užívaných na systémech se zranitelnými verzemi OpenSSL.
Bezpečnostní chybou je zasažen mimo jiné i RHEL 6 (samozřejmě i CentOS 6). Měl jsem díky tomu poměrně rušný den.
Připravil jsem pro vás novou verzi skriptu pro kontrolu napadení serveru operací Windigo.
Jeho způsob použití se nezměnil od verze 1.0.1. Je popsán v článku Kontrolní skript na operaci Windigo.
Byla vylepšena zejména kontrola knihoven libkeyutils. Dále byly přidány nové signatury napadených verzí webového serveru komponentou Linux/Cdorked. Změny v testování Parl/Calfbor a Linux/Onimiki jsou pouze kosmetické.
Pokračovat ve čtení „Kontrolní skript na operaci Windigo verze 1.0.2“
Operace Windigo byla odhalena. Ale znamená to její konec? Bohužel, téměř jistě ne. Okolnosti nasvědčují tomu, že o operaci Windigo ještě uslyšíme. V tomto článku se dozvíte, proč mám tento názor.
Nebezpečnost operace Windigo nelze považovat za zažehnané. Autoři útoku Windigo již v minulosti více než jednou reagovali na odhalení komponenty, a vytvořili její novou verzi, která je proti dříve popsané ochraně odolná. Dokázali takto reagovat v horizontu dvou měsíců. Je velice pravděpodobné, že se pokusí svoji aktuální základnu 10.000 napadených serverů ochránit, a znovu rozšířit pomocí nových verzí škodlivých modulů, pro které stávající detekční postupy nebudou fungovat. Nejspíše na tom již intenzivně pracují.
Informace o operaci Windigo zasáhla svět Linuxu jako bomba těžkého kalibru.
Včera ráno nám začali volat naši zákazníci a ptali se, jestli jejich servery jsou v pořádku. Předevčírem jsem řešil spíše problémy daňové, tak jsem si ráno s mírným překvapením přečetl zprávu o operaci Windigo, na jejímž odhalení se významně podílel Eset.
Máme okolo 60 Linux serverů na veřejném adresním prostoru. Bylo mi proto ihned jasné, že kontrolovat je ručně znamená jistou cestu do blázince. Naprostá většina z nich je sice instalovaná tak říkajíc „skoro na tutovku“, ale jak známo, nic není úplně na 100 %.
Někdy se můžete setkat s požadavkem na automatické vkládání informací do odesílaných zpráv – nejčastěji právní informace k odesílanému textu či vkládání podpisu nebo loga firmy. Ukážeme si na jednoduchém příkladu jak na to.
Pokud nechceme, aby vkládané informace ovlivňoval uživatel, tak použijeme pravidel v „Transport Rules“ na Exchange serveru následovně:
Pokračovat ve čtení „MS Exchange: 2010: Automatické vkládání patičky do zpráv.“
Začátkem roku jsme ve spolupráci s našimi partnery zahájili projekt STARTUP.
Je určen začínajícím podnikatelům, kteří potřebují dát pevnou oporu svému novému projektu pomocí informačních technologií, a zároveň mají nedostatek financí.
Podpoříme váš projekt nepřímo i finančně, protože zpočátku budete mít naše služby zcela zdarma.
Pomůžeme vám vybudovat vaše podnikání také tím, že vám navrhneme nízkonákladová řešení z oblasti informačních technologií. Tato řešení, přirozeně, podpoří vaši konkurenceschopnost.
Více informací o projektu STARTUP a možnost, jak se jej zúčastnit najdete na našich podnikových stránkách.
Jako na profesionála v oblasti správy serverů s operačním systémem Linux se na mě až příliš často obracejí potenciální zákazníci s požadavkem, který jako by vypadl z kopírky podle následujícího vzoru: „Máme Linux server, všechno nám tam funguje, jenom …“ Jak začnou takto, už tuším, že se bude jednat o „… jenom“ zakázku, jak ji nazývám. To „… jenom“ je jiný výraz pro „noční můra“.
V článku jsou vysvětleny základní příkazy potřebné pro používání programu GPG v prostředí příkazového řádku operačního systému Linux. Napsáním tohoto článku nechci nahrazovat manuálové stránky nebo snad kompletní dokumentaci programu GPG. Jsem praktik, sepisuji pro vás proto jen základní úkony, které každý administrátor Linuxu občas potřebuje. Dokumentace k programu GPG je natolik rozsáhlá, že nastudování těchto parametrů, a jejich opětovné vyhledávání po nějakém čase, kdy jsem již přesnou syntaxi příkazů zapomněl, mě samotného stála dost času. Snad vám tento článek čas ušetří.
Při praktickém používání programu GPG nejčastěji využíváme následující příkazy.
Pro získání veřejnho klíče z výchozího keyserveru:
$ gpg –recv-keys ID_klíče
Postup je velice jednoduchý. Potřebujeme však k jeho realizaci superuživatelská práva k operačnímu systému. Zabezpečení databáze MySQL potom obejdeme následujícím postupem:
1) Zastavíme MySQL server
# /etc/init.d/mysqld stop
nebo
# service mysqld stop
Nejprve je třeba nainstalovat klienta OpenVPN s grafickým rozhraním. Verze instalace je závislá na operačním systému: Po jejím nainstalování se zobrazí vpravo dole na liště nová ikona – OpenVPN GUI.
Na straně serveru je ve webovém rozhraní přiraven konfigurační balíček. Takto fungují distribuce IPCop, IPFire a možná i další, se kterými nemáme zkušenost. Postup správce firewallu není předmětem tohoto návodu.
Nastavit OpenVPN server takovým způsobem, aby u klienta mohl být využit tento standardní postup, je přirozeně možné i v prostředí jiných distribucí. Pokračovat ve čtení „Nastavení OpenVPN na straně klienta“
Na Britských listech vyšel článek Google: „Uživatelé Gmailu nemohou očekávat soukromí“
Článek popisuje aktuální stav, kdy obsah emailů ovlivňuje zobrazovaný obsah reklam. stanovisko společnosti Google je v článku Firma Google v tiskovém prohlášení potvrzuje, že “ informace v Gmailu mohou být použity různými způsoby“
Pro odbornou veřejnost tato fakta již dlouhou dobu nejsou tajemstvím. Několik let mám zprávy z různých zdrojů o spolupráci Google a velkých mezinárodních společností působících jako telefonní operátoři i u nás. Pokračovat ve čtení „Soukromí na účtech Gmailu“