I contesti (context) in Selinux

Una parte fondamentale di SELinux è la comprensione e l’utilizzo dei contesti di SELinux. Tutto, sul tuo sistema, contiene un contesto (context) e questi sono usati per determinare quali utenti, applicazioni e servizi hanno accesso a quali file, directory e applicazioni. Anche senza la comprensione della creazione di una politica dettagliata, la maggior parte degli utenti di SELinux possono gestire i loro sistemi attraverso l’uso e l’alterazione dei contexts.

Ci sono tre tipi di context in SELinux, che sono spiegati meglio visualizzando le autorizzazioni SELinux su un file. Per visualizzare il contesto SELinux di una directory, utilizzare il comando ls con un flag -Z. Questo è per la directory /var/www/:

Continua a leggere

Virtualizzazione

Stiamo assistendo alla evoluzione ed implementazione delle tecnologie di virtualizzazione come metodologia di consolidamento dei server dei datacenter. Possiamo considerare però la virtualizzazione anche come un’opportunità per aumentare la sicurezza dei nostri ambienti.

I sistemi di difesa sono sempre stati considerati un’arte sin dagli antichi Romani. Nel medioevo, i manoscritti più preziosi erano protetti da diversi livelli (o in inglese layers) di difesa: erano conservati in castelli che erano sempre posizionati nella collina più alta, circondati da fossati pieni di coccodrilli, nella torre più difficile da raggiungere, e nascosti in una stanza segreta protetta da trappole mortali. Anche se un intruso riesce a penetrare nel primo livello di difesa, più prosegue nel suo attacco, più incontrerà resistenza: in questo modo l’attaccante si stanca e potrebbe non riuscire a superare i livelli di protezione successivi. Anche se i mezzi, gli attaccanti e le cose da proteggere sono cambiate nei secoli, le tecniche di difesa rimangono valide ancora oggi. Continua a leggere

Protezione dei files con SE-Linux

Un sistema ad accesso mandatorio, quale SE-Linux, permette di proteggere in maniera esaustiva un computer contenente files e dati sensibili. La sua gestione è però molto onerosa in quanto è necessario possedere delle solide conoscenze non solo dell’ambiente Linux, ma anche di sicurezza, sistemi mandatori e come funziona al suo interno SE-Linux. Spesso però da un lato non si necessita di tanta sicurezza, dall’altro non si dispone di sufficiente personale altamente specializzato per riuscire a gestire sistemi con dati sensibili. Questo whitepaper, basato su un caso reale, vuole illustrare una metodologia che coniuga alta sicurezza con una gestione di un ambiente unix non differente da quella tradizionale. Il documento si rivolge agli amministratori di sistema che abbiano solide basi di Linux e di sicurezza informatica, con una conoscenza di base di SE-Linux. Continua a leggere

Installare OpenVz su Centos 6

openvz_logo1.Introduzione

OpenVZ è un sistema di virtualizzazione basato sui container di Linux ed è un software gratuito open source, disponibile con licenza GNU GPL. OpenVZ crea dei contenitori  isolati (altrimenti noti come ambienti virtuali o VPS) in un unico server fisico consentendo un miglior utilizzo del server e garantendo che le applicazioni non siano in conflitto. Ogni contenitore svolge ed esegue le attività esattamente come un server autonomo, un contenitore può essere riavviato indipendentemente e avere accesso root, un accesso utente, un proprio indirizzo IP,una memoria, dei processi,dei  file,delle  applicazioni, delle librerie di sistema e dei file di configurazione. Il software  OpenVZ consiste in un kernel Linux personalizzato e degli strumenti da riga di comando (principalmente vzctl).Gli  strumenti OpenVZ sono una solida alternativa agli strumenti LXC.

2.Installazione

Questo documento descrive brevemente i passi necessari per installare OpenVZ su una macchina Centos 6

/vz file system

Si consiglia di usare una partizione separata per i contenitori (di default /vz) e formattarla in ext4.

Continua a leggere