Chyba yum na CentOS 7 po poslední aktualizaci

Poslední aktualizace yum v CentOS 7 mi způsobila jeho nefunkčnost na všech serverech. Nepotěšilo mě to. Většina serverů a dokonce i cloudových instancí mi o nefunkčnosti modulu yum-cron snaživě referovala do emailu každou hodinu. Řešení naštěstí, není obtížné.

Po aktualizaci serverů s distribucí CentOS 7 jsem zažil nepříjemné překvapení. Začala mi chodit spousta hlášení modulu yum-cron.

Pokračovat ve čtení „Chyba yum na CentOS 7 po poslední aktualizaci“

Generujte bezpečnostní klíče pro WordPress opravdu bezpečně

Při instalaci WordPressu se setkáte s požadavkem na definici osmi náhodných řetězců, 64 znaků dlouhých, v souboru wp-config.php. Generování těchto klíčů na stránce https://api.wordpress.org/secret-key/1.1/salt/ je Bezpečný generátor klíčůprezentováno jako bezpečné. V tomto článku popisuji zásadní bezpečnostní slabinu tohoto postupu. A z odkazu v tomto článku získáte opravdu bezpečný generátor klíčů.

Klíče a iniciační řetězce

Těchto osm řetězců je obvykle nazýváno klíče, anglicky keys. Jsou to ale čtyři klíče (KEYS) a čtyři iniciační řetězce (SALT). Klíč a iniciační řetězec vždy tvoří dvojici, která je používána pro specifický úkol. Detaily o úkolech, které páry klíč + iniciační řetězec plní, najdete v článku (v angličtině) zde.

Pokračovat ve čtení „Generujte bezpečnostní klíče pro WordPress opravdu bezpečně“

Nová verze ebooku „Zabezpečte Linux server v 10 krocích!“

Připravil jsem pro vás novou verzi ebooku Zabezpečte Linux server v 10 krocích
ebook V této nové verzi najdete navíc rozšířenou kapitolu o záznamových serverech jako cloudové službě, a také bonusovou kapitolu o správě serveru více administrátory

[otw_is sidebar=otw-sidebar-1]

Pokud se vám ebook bude líbit, sdílejte jej, prosím, na Facebooku, Google Plus, LinkedIn a dalších sociálních sítí. Za pomoc při šíření informace o eBooku předem děkuji.

V případě, že zvažujete zabezpečení nad rámec těchto deseti kroků, nás kontaktujte.

Virtualizace KVM – řešení budoucnosti

Ve světě odborných médií je virtualizace KVM Popelkou. Píše se o ní mnohem méně, než o řešení společnosti VMware nebo o Hyper-V. Tržní podíl virtualizace KVM společnost IDG odhaduje na pouhá 4%. Protože se však jedná o řešení postavené na svobodném software,  provozovatelé, kteří nekupují komerční podporu společnosti Red Hat, Attachmate (vlastníka SuSE) nebo Oracle, jsou pro tuto statistiku neviditelní. Reálný podíl virtualizace KVM je obtížné odhadnout. Předpokládám, že se v počtu reálných serverů dosahuje trojnásobku až pětinásobku svého oficiálního tržního podílu. Tedy 12 až 20 % fyzických serverů sloužících jako hypervizory. Tento můj relativně střízlivý odhad vychází z informací o prudce stoupajícímu podílu řešení postavených na svobodném software v oblasti cloud computingu.

Pokračovat ve čtení „Virtualizace KVM – řešení budoucnosti“

Připojení CD-ROM virtuálnímu serveru v prostředí KVM

Článek detailně popisuje technický postup připojení mechaniky CD-RVirtualizace KVMOM do virtuálního stroje v prostředí virtualizace KVM z příkazového řádku.

Virtuální stroj bez definované CD-ROM

Velice jednoduchý je tento postup na virtuálním stroji, kde žádná CD-ROM mechanika zatím není definována. U takového virtuálního stroje fyzickou mechaniku na hostiteli připojíme za běhu následujícím příkazem:

# virsh attach-disk WidleSRV12 /dev/sr0 hdc --type cdrom

Pokud již definovaný CD-ROM máte jako zařízení, například /dev/sr0, můžete použít pro nahrazení zařízení soubor s ISO obrazem disku. Například: Pokračovat ve čtení „Připojení CD-ROM virtuálnímu serveru v prostředí KVM“

Stáhněte si eBook „Zabezpečte Linux server v 10 krocích!“

K sepsání eBooku Zabezpečte Linux server v 10 krocích mě vedla zejména vysokáebook četnost bezpečnostních incidentů, které jsme v poslední době řešili. Za první čtyři měsíce roku 2015 jsme s kolegou získali čtyři zakázky na řešení bezpečnostních problémů související s linuxovými servery.

[otw_is sidebar=otw-sidebar-1]

Pokračovat ve čtení „Stáhněte si eBook „Zabezpečte Linux server v 10 krocích!““

Linuxovým administrátorem za tři dny

Stejně jako většině z nás, mi přichází do emailových schránek hromada spamu. Většinu zastaví antispamový filtr, ale občas přece jen nějaký, obvykle dílko českých mozečků, projde. Zrovna včera jsem dostal jeden kousek, který mě zaujal. Nabízel třídenní školení Linuxu pod titulkem: Linuxovým administrátorem za tři dny.

Pod ním následoval obsah, který bylo snad možné za tři dny stručně projít. Rozhodně ale jej nebylo možné naučit někoho, kdo s oblastí nemá předchozí zkušenost.

Pokračovat ve čtení „Linuxovým administrátorem za tři dny“

Linux, virtualizace, počty fyzických procesorů, jader a vláken

Po delší přestávce zaviněné pracovními úkoly pro vás mám krátký článek o tom, jak zjistit v prostředí Linuxu jestli je dostupná hardwarová podpora virtualizace, počet fyzických procesorů, procesorových jader, a zda je zapnutý hyperthreading v BIOSu počítače.

V Linuxu zjistíme informace o procesorech vypsáním souboru /proc/cpuinfo.

Pro zjištění, zda je dostupná podpora hardwarové virtualizace, použijeme příkaz:

Pokračovat ve čtení „Linux, virtualizace, počty fyzických procesorů, jader a vláken“

Používáme OpenSSL – příprava certifikační autority

V tomto článku je podrobně popsán postup zprovoznění certifikační autority s využitím OpenSSL.V článku bezprosstředně následujícím popíšu postup přípravy požadavku na certifikát, vytvoření certifikátu certifikační autoritou a postup jeho odvolání. Pokud již máte funkční certifikační autoritu a pořebujete návod na nahrazení a odvolání certifikátu, čtěte článek Používáme OpenSSL –  příprava a odvolávání certifikátů.

Pokračovat ve čtení „Používáme OpenSSL – příprava certifikační autority“

Jaké certifikáty OpenSSL musíme odvolat?

Aktuálním problémem mnoha administrátorů Linuxu se stala bezpečnostní chyba v OpenSSL známá jako Chyba krvácejícího srdce. Provedli aktualizace software, nahradili a případně i odvolali Heartbleed openssl bug vector shapecertifikáty na webových serverech. Postup ve složitějších případech, jako použití certifikátů v OpenVPN, již není tak jasný. Pokusím se v tomto článku tuto problematiku trochu přiblížit.

 

Vycházím ze stavu, kdy máte OpenSSL již aktualizováno na verzi, která není zranitelná. V tuto chvíli je pro mnohé administrátory Linuxu otázkou, jak přesně postupovat dále.

Pokračovat ve čtení „Jaké certifikáty OpenSSL musíme odvolat?“

Závažná bezpečnostní chyba v OpenSSL

Heartbleed openssl bug vector shapePostižené jsou verze OpenSSL 1.0.1 až po verzi 1.0.1f a 1.0.2beta. Bezpečnostní incident teoreticky umožňuje získání privátních klíčů při použití certifikátů užívaných na systémech se zranitelnými verzemi OpenSSL.

Bezpečnostní chybou je zasažen mimo jiné i RHEL 6 (samozřejmě i CentOS 6). Měl jsem díky tomu poměrně rušný den.

Pokračovat ve čtení „Závažná bezpečnostní chyba v OpenSSL“

Kontrolní skript na operaci Windigo verze 1.0.2

Připravil jsem pro vás novou verzi skriptu pro kontrolu napadení serveru operací Windigo.

Jeho způsob použití se nezměnil od verze 1.0.1. Je popsán v článku Kontrolní skript na operaci Windigo.

Byla vylepšena zejména kontrola knihoven libkeyutils. Dále byly přidány nové signatury napadených verzí webového serveru komponentou Linux/Cdorked. Změny v testování Parl/Calfbor a Linux/Onimiki jsou pouze kosmetické.

Pokračovat ve čtení „Kontrolní skript na operaci Windigo verze 1.0.2“

Další vývoj operace Windigo

Operace Windigo byla odhalena. Ale znamená to její konec? Bohužel, téměř jistě ne. Okolnosti nasvědčují tomu, že o operaci Windigo ještě uslyšíme. V tomto článku se dozvíte, proč mám tento názor.

Nebezpečí operace Windigo stále trvá

Nebezpečnost operace Windigo nelze považovat za zažehnané. Autoři útoku Windigo již v minulosti více než jednou reagovali na odhalení komponenty, a vytvořili její novou verzi, která je proti dříve popsané ochraně odolná. Dokázali takto reagovat v horizontu dvou měsíců. Je velice pravděpodobné, že se pokusí svoji aktuální základnu 10.000 napadených serverů ochránit, a znovu rozšířit pomocí nových verzí škodlivých modulů, pro které stávající detekční postupy nebudou fungovat. Nejspíše na tom již intenzivně pracují.

Pokračovat ve čtení „Další vývoj operace Windigo“

Kontrolní skript na operaci Windigo

Informace o operaci Windigo zasáhla svět Linuxu jako bomba těžkého kalibru.

Včera ráno nám začali volat naši zákazníci a ptali se, jestli jejich servery jsou v pořádku.  Předevčírem jsem řešil spíše problémy daňové, tak jsem si ráno s mírným překvapením přečetl zprávu o operaci Windigo, na jejímž odhalení se významně podílel Eset.

Máme okolo 60 Linux serverů na veřejném adresním prostoru. Bylo mi proto ihned jasné, že kontrolovat je ručně znamená jistou cestu do blázince. Naprostá většina z nich je sice instalovaná tak říkajíc „skoro na tutovku“, ale jak známo, nic není úplně na 100 %.

Pokračovat ve čtení „Kontrolní skript na operaci Windigo“

Jak (ne)poptávat správu Linux serveru

Jako na profesionála v oblasti správy serverů s operačním systémem Linux se na mě až příliš často obracejí potenciální zákazníci s požadavkem, který jako by vypadl z kopírky podle následujícího vzoru: „Máme Linux server, všechno nám tam funguje, jenom …“ Jak začnou takto, už tuším, že se bude jednat o „… jenom“ zakázku, jak ji nazývám. To „… jenom“ je jiný výraz pro „noční můra“.

Pokračovat ve čtení „Jak (ne)poptávat správu Linux serveru“

Přístup pomocí SSH na server za NAT-em

S tímto problémkem jsme se v minulosti utkali již vícekrát. Většinou jsme to řešili port forwardingem na routeru/firewallu (klasika). Alternativou je řešení pomocí OpenVPN. To jsme také několikrát využili.

Výjimečně jsme potřebovali tunelovat SSH. Řešili jsme to tak trochu po svém, než jsem při hledání něčeho jiného (jak už to bývá) narazil na Rootu v Jendově blogu na jednodušší řešení.

Kouzlo je ve spuštění jediného příkazu na serveru za NAT-em:

# ssh -R 0.0.0.0:2222:localhost:22 tunel@xx.xx.xx.xx -n -N 
-o ConnectTimeout=20 ConnectionAttempts=1

Pokračovat ve čtení „Přístup pomocí SSH na server za NAT-em“