Německé ministerstvo vnitra publikovalo studii , která se zabývá digitální suverenitou. Doporučuje přechod na svobodný software za účelem omezení závislosti na jediném dodavateli a sběru dat třetími stranami. Komentář v angličtině zde.
Generujte bezpečnostní klíče pro WordPress opravdu bezpečně
Při instalaci WordPressu se setkáte s požadavkem na definici osmi náhodných řetězců, 64 znaků dlouhých, v souboru wp-config.php. Generování těchto klíčů na stránce https://api.wordpress.org/secret-key/1.1/salt/ je 
prezentováno jako bezpečné. V tomto článku popisuji zásadní bezpečnostní slabinu tohoto postupu. A z odkazu v tomto článku získáte opravdu bezpečný generátor klíčů.
Klíče a iniciační řetězce
Těchto osm řetězců je obvykle nazýváno klíče, anglicky keys. Jsou to ale čtyři klíče (KEYS) a čtyři iniciační řetězce (SALT). Klíč a iniciační řetězec vždy tvoří dvojici, která je používána pro specifický úkol. Detaily o úkolech, které páry klíč + iniciační řetězec plní, najdete v článku (v angličtině) zde.
Pokračovat ve čtení „Generujte bezpečnostní klíče pro WordPress opravdu bezpečně“
Cloud computing v malých a středních společnostech
Cloud computing v malých a středních společnostech je v Česku využíván výrazně méne, než například v USA. Nezávisle na tom, o jakém cloud computingu vlastně mluvíme (IaaS, PaaS, BPaaS, XaaS aj.). V tomto článku vycházím ze svých zkušeností a informací získaných od této oblasti od partnerů a zákazníků z České republiky.
Cloud computing
je dnes často zmiňovaným fenoménem. Veze se na módní vlně, pokud to tak mohu nazvat. V odborných periodikách se o něm stále píše, jeho přednosti jsou vychvalovány. Slabiny, jako je například problematika definice smluv z hlediska práva a vymezení odpovědnosti, jsou na přetřesu také.
Téma cloud computingu je poměrně komplikované. Problém začíná již na úrovni terminologie. Pod pojmem cloud computing si každý představí něco jiného. Jako cloudovou službu je možné nazvat email na Google, ale také virtuální serverovou instanci od Amazonu.
Pokračovat ve čtení „Cloud computing v malých a středních společnostech“
Virtualizace KVM – řešení budoucnosti
Ve světě odborných médií je virtualizace KVM Popelkou. Píše se o ní mnohem méně, než o řešení společnosti VMware nebo o Hyper-V. Tržní podíl virtualizace KVM společnost IDG odhaduje na pouhá 4%. Protože se však jedná o řešení postavené na svobodném software, provozovatelé, kteří nekupují komerční podporu společnosti Red Hat, Attachmate (vlastníka SuSE) nebo Oracle, jsou pro tuto statistiku neviditelní. Reálný podíl virtualizace KVM je obtížné odhadnout. Předpokládám, že se v počtu reálných serverů dosahuje trojnásobku až pětinásobku svého oficiálního tržního podílu. Tedy 12 až 20 % fyzických serverů sloužících jako hypervizory. Tento můj relativně střízlivý odhad vychází z informací o prudce stoupajícímu podílu řešení postavených na svobodném software v oblasti cloud computingu.
Linux, virtualizace, počty fyzických procesorů, jader a vláken
Po delší přestávce zaviněné pracovními úkoly pro vás mám krátký článek o tom, jak zjistit v prostředí Linuxu jestli je dostupná hardwarová podpora virtualizace, počet fyzických procesorů, procesorových jader, a zda je zapnutý hyperthreading v BIOSu počítače.
V Linuxu zjistíme informace o procesorech vypsáním souboru /proc/cpuinfo.
Pro zjištění, zda je dostupná podpora hardwarové virtualizace, použijeme příkaz:
Pokračovat ve čtení „Linux, virtualizace, počty fyzických procesorů, jader a vláken“
Kdo na mě útočí a využívá chybu v OpenSSL známou jako Heartbleed?
Způsobů detekce útoku na OpenSSL je k dispozici, samozřejmě, daleko více. Tento je ale velice jednoduše realizovatelný i na běžném serveru s operačním systémem Linux. Nepotřebujete žádné IPS/IDS. Jestli se tedy chcete trochu morbidně pobavit, čtěte dále. 🙂
Pokračovat ve čtení „Kdo na mě útočí a využívá chybu v OpenSSL známou jako Heartbleed?“
Používáme OpenSSL – příprava a odvolávání certifikátů
Článek popisuje postup práce s OpenSSL při přípravě požadavku na certifikát, práci s certifikační autoritou a postup při odvolávání kompromitovaného certifikátu. Napadlo mě, že po odhalení bezpečnostní chyby v OpenSSL se návod na generování a revokaci certifikátů mnohým z vás může hodit. Pokud ještě nemáte připravenu certifikační autoritu, přečtěte si nejprve článek Používáme OpenSSL – příprava certifikační autority.
Pokračovat ve čtení „Používáme OpenSSL – příprava a odvolávání certifikátů“
Používáme OpenSSL – příprava certifikační autority
V tomto článku je podrobně popsán postup zprovoznění certifikační autority s využitím OpenSSL.V článku bezprosstředně následujícím popíšu postup přípravy požadavku na certifikát, vytvoření certifikátu certifikační autoritou a postup jeho odvolání. Pokud již máte funkční certifikační autoritu a pořebujete návod na nahrazení a odvolání certifikátu, čtěte článek Používáme OpenSSL – příprava a odvolávání certifikátů.
Pokračovat ve čtení „Používáme OpenSSL – příprava certifikační autority“
Závažná bezpečnostní chyba v OpenSSL
Postižené jsou verze OpenSSL 1.0.1 až po verzi 1.0.1f a 1.0.2beta. Bezpečnostní incident teoreticky umožňuje získání privátních klíčů při použití certifikátů užívaných na systémech se zranitelnými verzemi OpenSSL.
Bezpečnostní chybou je zasažen mimo jiné i RHEL 6 (samozřejmě i CentOS 6). Měl jsem díky tomu poměrně rušný den.
Kontrolní skript na operaci Windigo
Informace o operaci Windigo zasáhla svět Linuxu jako bomba těžkého kalibru.
Včera ráno nám začali volat naši zákazníci a ptali se, jestli jejich servery jsou v pořádku. Předevčírem jsem řešil spíše problémy daňové, tak jsem si ráno s mírným překvapením přečetl zprávu o operaci Windigo, na jejímž odhalení se významně podílel Eset.
Máme okolo 60 Linux serverů na veřejném adresním prostoru. Bylo mi proto ihned jasné, že kontrolovat je ručně znamená jistou cestu do blázince. Naprostá většina z nich je sice instalovaná tak říkajíc „skoro na tutovku“, ale jak známo, nic není úplně na 100 %.
Použití programu GPG
V článku jsou vysvětleny základní příkazy potřebné pro používání programu GPG v prostředí příkazového řádku operačního systému Linux. Napsáním tohoto článku nechci nahrazovat manuálové stránky nebo snad kompletní dokumentaci programu GPG. Jsem praktik, sepisuji pro vás proto jen základní úkony, které každý administrátor Linuxu občas potřebuje. Dokumentace k programu GPG je natolik rozsáhlá, že nastudování těchto parametrů, a jejich opětovné vyhledávání po nějakém čase, kdy jsem již přesnou syntaxi příkazů zapomněl, mě samotného stála dost času. Snad vám tento článek čas ušetří.
Při praktickém používání programu GPG nejčastěji využíváme následující příkazy.
Pro získání veřejnho klíče z výchozího keyserveru:
$ gpg –recv-keys ID_klíče
SELinux na RHEL a CentOS prakticky IV.
Ve čtvrtém díle našeho seriálu se budeme věnovat podrobněji na příkazy využívající logy daemona auditd
Auditd a pokročilé nástroje SELinuxu
Tyto nástroje mohou vyřešit i problémy se SELinuxem, které nejsou řešitelné pomocí booleans ani změnou bezpečnostních kontextů příkazem semanage.
Daemon auditd implicitně generuje log /var/log/audit/audit.log a s ním budeme pracovat.
Příkazy audit2allow a audit2why
Audit2why je vlastně alias k příkazu audit2allow s parametrem -w. Příkaz:
# audit2allow -w -a
vám parsuje soubor audit.log a upozorňuje na potřebné akce.
Příkaz audit2allow má ale mnohem širší využití. Příkaz : Pokračovat ve čtení „SELinux na RHEL a CentOS prakticky IV.“
SELinux na RHEL a CentOS prakticky III.
Ve třetím díle seiálu o SELinuxu se podíváme podrobněji na příkaz semanage.
Syntaxe je:
semanage {login|user|port|interface|fcontext} -l [-n]
semanage login -{a|d|m} [-sr] login_name
semanage user -{a|d|m} [-LrRP] selinux_name
semanage port -{a|d|m} [-tr] [-p protocol] port | port_range
semanage interface -{a|d|m} [-tr] interface_spec
semanage fcontext -{a|d|m} [-frst] file_spec
Jak vidíte, prvním parametrem příkazu je právě jeden z následujích parametrů – login, user, port, interface, fcontext. Pokračovat ve čtení „SELinux na RHEL a CentOS prakticky III.“
SELinux na RHEL a CentOS prakticky II.
Pokračujeme druhým dílen na téma SELinux z rodiny RHEL, Fedora a CentOS.
Přehled základních příkazů SELinuxu
sestatus, getenforce, setenforce, seinfo, getsebool, setsebool
Příkaz sestatus
Příkaz vypíše základní informace o SELinuxu. Výpis vypadá nějak takto:
$ sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 21 Policy from config file: targeted $
Pokračovat ve čtení „SELinux na RHEL a CentOS prakticky II.“
SELinux na RHEL a CentOS prakticky I.
Tyto články jsou určeny všem správcům serverů s instalovaným RHEL nebo CentOS, kteří vypínají SELinux. A raději by jej využili než vypínali.
Trochu jinak řečeno, ještě jsme (za 5 roků činnosti naší společnosti!) nepřebírali do správy server, který by měl SELinux zapnutý! Ale asi není důvod příliš hloubat nad tím, co je příčinou. Stačí se pokusit prostudovat 180 stránek oficiální dokumentace k SELinuxu od Red Hatu pro aktuální RHEL. A se zapnutým SELinuxem vám ledacos prostě nechodí. Když zrovna nejste na SELinux guru a přitom potřebujete problém produktivně vyřešit. Oficiální dokumentace je v této situaci naprosto strašidelné počtení.