Wprowadzenie do Cassandra NoSQL DB

  • autor: Leszek Miś
  • data dodania: 2014-03-30 22:44:04
  • odsłon: 3038
  • komentarze: 0

Cassandra to szybka i skalowalna baza NoSQL przeznaczona do obsługi dużych ilości (nie)ustrukturyzowanych  danych. Główną zaletą projektu jest odporność na awarię, liniowa skalowalność oraz szybki czas dostępu do danych, a to wszystko dzięki architekturze typu RING clustering z wykorzystaniem standardowego, nie-egzotycznego sprzętu. Architektura bazy opiera się o stwierdzenie, że błędy systemowe jak i awarie sprzętowe mogą i *ZDARZAJĄ się*, a Cassandra jest na nie odporna.

czytaj dalej »

ModSecurity - skuteczna ochrona aplikacji webowych - warsztat techniczy

  • autor: Leszek Mis
  • data dodania: 2013-07-31 22:34:52
  • odsłon: 2113
  • komentarze: 0

Stało się! W końcu udało się zakończyć prace nad materiałami i labami. Z ramienia Linux Polska zapraszam wszystkich zainteresowanych do wzięcia udziału w nowym szkoleniu pt. „ModSecurity - skuteczna ochrona aplikacji webowych".  Polski rynek trochę znam i na ten moment jest to unikalne, jedyne takie szkolenie z analizy możliwości open source'owego WAF-a jakim jest modsecurity w Polsce. A uwierzcie mi, że cuda można z HTTP dzięki niemu wykonać. Jeśli zdecydujesz się na uczestnictwo, podczas procesu rejestracji napisz/powiedz, że jesteś ode mnie, a załatwimy jakiś rabacik:) Więcej informacji znajdziesz tu: http://linuxpolska.pl/szkolenia/bezpieczenstwo/lp-mod01

A poniżej pełna agenda:

czytaj dalej »

Linux Security: SSP, PIE,RELRO i checksec

  • autor: Leszek Mis
  • data dodania: 2013-07-31 22:08:43
  • odsłon: 1710
  • komentarze: 0

1. Stack Smashing Protector (SSP). Oryginalnie projekt nazywał się Propolice. SSP jest dodatkiem do gcc, za pomoca którego kompilator jest w stanie dodać punkty kontrolne wykrywające przepełnienia buforów na stosie, jeszcze przed powrotem funkcji. W sytuacji wykrycia ataku, aplikacja powinna natychmiastowo otrzymać SIGKILL.

 

2. Position Independent Executables (PIE). Binarki skompilowane z obsługą PIE mogą zostać załadowane w dowolne miejsce w pamięci, pozwalając tym samym skorzystać z ASLR. Ciekawostką jest fakt wprowadzenia przez Red Hata obsługi parametru "-pie" dla linkera oraz "-fPIE" dla kompilatora.

czytaj dalej »

Nadpisywanie polityki SELinux

  • autor: Leszek Mis
  • data dodania: 2013-07-31 21:45:36
  • odsłon: 1549
  • komentarze: 0

Jeśli potrzebujesz pozbyć się pewnego "allow-a" z polityki znajdującej się w danym module, należy odładować moduł, zmodyfikować źródełko, skompilować i załadować ponownie. Na ten moment nie ma innej możliwości. Przykładowo, chcąc "obciąć" Skype dostęp do kamerki musimy pozbyć się poniższych regułek:

 

dev_read_sound(skype_t)
# dev_read_video_dev(skype_t)
dev_write_sound(skype_t)
# dev_write_video_dev(skype_t)

 

a następnie wykonać kompilację i ładowanie:

checkmodule -M -m -o myskype.mod myskype.te
semodule_package -o myskype.pp -m myskype.mod
semodule -i myskype.pp

czytaj dalej »

VM guest in VM guest czyli nested KVM

  • autor: Leszek Mis
  • data dodania: 2013-07-31 21:41:34
  • odsłon: 2235
  • komentarze: 0
# cat /sys/module/kvm_intel/parameters/nested
N
# echo “options kvm-intel nested=1″ | sudo tee /etc/modprobe.d/kvm-intel.conf
# reboot
# cat /sys/module/kvm_intel/parameters/nested
Y

 

done!

czytaj dalej »