2 Dec
2013
2 Dec
'13
1:29 p.m.
Zdar,
Pre rhel based distra existuje balik yum-autoupdate, dobre v
/etc/sysconfig/yum-autoupdate
zmenit USE_YUMSEC na true nech sa aplikuju automaticky iba security updaty.
Pre centos like je dobre pouzivat glsa-check.
Kludne pridam obsirnejsie do KB, posli link ked budes mat vyrobenu page.
Cheers,
RM
On 11/28/2013 10:26 AM, Jan Pokorný - diginto.cz wrote:
Kdyz uz
jsme u ty bezpecnosti, tak mam par dotazu:
1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo
pracuje? Spouste utokum (zejmena 0day exploity) to dokaze velice
efektivne zabranit. Pripadne jinej bezpecnostni modul (AppArmor, TOMOYO)?
2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32, mport,
pkttype, psd (mozna i ||ipv4options)? Dost uzivatelum by to asi pomohlo.
3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve vyslednym
provozu projevi qos nastaveny uvnitr konternerove virtualizace?
Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych
prostredku serveru, ale pokud se jedna o bezpecnost, tak tam mi prijde
ze obcas OpenVZ hazi klacky pod nohy...
> > > >>
-------------------------
>> <http://www.avast.com/>
> >> Tato zpráva neobsahuje
viry ani jiný škodlivý kód -avast! Antivirus <http://www.avast.com/> je
aktivní.
Ahoj,
klidně to sepíšu pro debian based distribuce s apt*. Pro ostatni bych
to musel
vygooglit, ale taky by se dalo.
Je nějaký přehled o tom, které distribuce na VPS jsou
a pro ktere má
tedy smysl to sepsat ?
Díky Honza
---- On Thu, 28 Nov 2013 10:01:36 +0100 *Pavel Snajdr
<snajpa(a)snajpa.net>*
wrote ----
No, aby me zas nekdo nebral doslovne - ty technologie, co pise
Standa i jini,
maji svoje misto, ale moje pointa je, ze diskuze o nich
nema valnejsiho vyznamu, dokud vsichni nebudou splnovat aspon ta minima :)
Kdo mate na VPS automaticke aktualizace?
Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge
Base? Nabizim
mesic clenstvi gratis, pripadne nejake misto na NASu :)
S pozdravem,
Pavel Snajdr
Odeslano z mobilniho zarizeni.
On 28 Nov 2013, at 09:39, Pavel Snajdr <snajpa(a)snajpa.net
<mailto:snajpa@snajpa.net>> wrote:
> Ahoj,
>
> 3x ne :)
>
> Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja
chapu, ze tyhle technologie maji svoje misto, ale ty hacky, co se nam
deji, jsou zpusobene banalitami a vubec je to cela diskuse na mnohem
primitivnejsi urovni - aktualizujte.
>
> Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti,
vsechno jsou
to trapnosti typu par mesicu neaktualizovany system, slabe
heslo ci propujceny pristup takovym "co s tim linuxem, teda jako taky umi".
>
> Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny
lidi - ti
co neresi bezpecnost vubec a pak ti, kteri to radi prehaneji a
pridelavaji si praci zbytecnou paranoiou :)
> Pritom fakt naprostou vetsinu problemu by
vyresil pristup k veci
nekde mezi tim - dodrzovat zakladni pravidla jako nepoustet,
co
nepotrebuju, aktualizovat, jak casto to jde, nerozdavat pristup k tem
strojum nikomu, kdo nedodrzuje stejna pravidla a pouzivat silna hesla
(hlavne dlouha, kratka random hesla jsou blbost). Dal bych jmenoval
jeste nepoustet pod rootem co vylozene nemusim (hlavne vsemozne weby, to
pustit pod rootem = sebevrazda).
>
> Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat
nazor, ze v
situacich, kde opravdu realne vyzadujes veci jako SELinux,
si stejne nemuzes dovolit byt na sdilenem hardwaru s nekym dalsim,
protoze si nemuzes dovolit, aby ti nekdo videl do pameti - a ze to fakt
neni slozity, teda obzvlast pokud tam mas tak bezny system, jako je
RHEL/debian... Vysvetlit tomu systemu, ze ma spustit novy shell a
podobne ve spravnem selinux kontextu pro tak motivovaneho jedince, ktery
bude mit zajem se tam prolamat, nebude asi az tak problem. A ze
zranitelnosti, jak se vylamat i z KVM uz bylo docela dost, nemuzu to
najit, ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve
virtio vylamali na hypervisora pingem(!).
>
> Teda, abychom byli na stejne strance spolu - absence SELinuxu
vadi i mne,
akorat ne kvuli zabezpeceni proti hrozbam z venku, ale proti
lepsi izolaci procesu v ramci jednoho systemu. Az bude chvili cas,
pokusim se vyuzit nas Parallels OpenVZ maintenance partnership prave na
to, aby se kouknuli po implementaci SELinuxu.
>
> S pozdravem,
>
> Pavel Snajdr
>
> Odeslano z mobilniho zarizeni.
>
> On 27 Nov 2013, at 20:57, Stanislav Petr <glux(a)glux.org
<mailto:glux@glux.org>> wrote:
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
>>
http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
4037
days inactive
4037
days old
community-list@lists.vpsfree.cz
0 comments
1 participants
participants (1)
-
Richard Marko