Tag: linux

grsecurity

grsecurity nie jest softem samo w sobie, jest to zestaw poprawek i zmian, które służą do zwiększenia bezpieczeństwa maszyny do której jest zdalny dostęp z miejsc o niepotwierdzonym statusie bezpieczeństwa np. logowanie do shell’a.

po co mi to wszystko

Zainstalowanie pakietu poprawek zwiększa bezpieczeństwo systemu i jest kolejnym elementem zabezpieczenia przed atakami zarówno z zewnątrz jaki i z wewnątrz systemu.

  • losowo przydzielane: uid, gid i pid
  • zabezpieczenie /proc przed pokazywaniem właścicieli procesów
  • zabezpieczenie symlinków przed wyścigiem/tmp
  • zabezpiczenie FIFO
  • zabezpieczenie dmesg(8)
  • audyty i alerty mogą logować IP atakującego

Użycie tego zestawu do środowiska w którym używamy chroot’ów pozwala na

  • uniemożliwia wyjście z chroota, nawet rootowi
  • zabezpiecza pamięć używaną przez chrooty
  • uniemożliwia killowanie procesów nie należących do chroota
  • uniemożliwia wykonania z zewnątrz chroota poleceń: ptrace, capget, setpgid, getpgid, getsid
  • brak możliwości przeglądania procesów z poza chroota
  • uniemożliwia mount i remount
  • wyłącza komendę pivot_root
  • zabezpiecza przed podwójnym chrootowaniem
  • wyłącz fchdir poza chrootem
  • inne…

instalacja i konfiguracja

Proces instalacji wygląda dość ciekawie, ponieważ nie polega na „zwykłym” instalowaniu pakietów, tylko na przekompilowaniu kernela wraz z poprawkami grsecurity. W tym celu należy ściągnąć grsecurity, gradm oraz niezmodyfikowane, oficjalne źródło kernela. Ważne jest to aby wybrać wersję dokładnie zgodne ze sobą.

Ze względów bezpieczeństwa (chcemy przecież je zwiększyć) należy po ściągnięciu zweryfikować archiwa za pomocą GPG i dostępnych sygnatur. Proces weryfikacji plików jest dokładnie opisany po angielsku i nie ma sensu go przepisywać.

Następnym krokiem jest nałożenie patcha na źródła kernela i skompilowanie go. Mamy do wybory trzy poziomy od niskiego do wysokiego oraz wybór ręczny dla zaawansowanych użytkowników.

Po skompilowaniu najłatwiej użyć nowego jądra na debianowatych, po prostu poprzez stworzenie deb’a i jego instalację, co również opisane jest na wikibooks.

Zrób to SAMo! – kontrowersyjnie

Będzie za chwilę awantura. Sama idea programu Zrób to SAMo! jest dość szczytna, bo każde zapobieganie akceptacji kradzieży oprogramowania, powszechnie i dla niepoznaki zwanego piractwem, jest dobre.

Dlaczego awantura? Ano dlatego, że cała akcja popierana miedzy innymi przez Ministra Pawlaka jest w moim odczuciu stroną REKLAMUJĄCĄ używanie jakiegośtam softu. Wiele, wiele słów, mnóstwo uwagi poświęconej na opisanie zagrożeń i skutków prawnych używania kradzionego softu.

Dobrze że choć wspomnieli o alternatywach, ale chyba tylko dlatego, żeby być w miarę poprawnym, a nie dla naświetlenia tej jakże dobrej alternatywy.

Prawdę mówiąc nabrałem ochoty na sprawdzenie swojego systemu, czy przypadkiem nie zaciągnąłem jakiegoś deba, który ma inną licencję. I co? I dupa. Jedyną możliwością sprawdzenia systemu jest po pierwsze posiadanie Microsoft Windows, więc w moim przypadku:

illi@dagobah:~$ cat /proc/version
Linux version 2.6.24-21-generic (buildd@palmer) (gcc version 4.2.3 (Ubuntu 4.2.3-2ubuntu7))
#1 SMP Tue Oct 21 23:43:45 UTC 2008

Sprawdzenie oprogramowania okazało się nie być możliwe. Nie zauważyłem też, żeby było możliwe sprawdzenie OS X’a.

Dlaczego uważam, że strona to reklamówka? Otóż na stronie są linki do 3 różnych firm, które oferują oprogramowanie do sprawdzania legalności używanego softu. Myk polega na tym, że owo sprawdzanie jest NIEWIELKIM modulikiem w programie do zarządzania komputerami, oprogramowaniem i całą polityką oprogramowania. Programy są PŁATNE. Reklamówka?

No ale BSA może zantować sukces, a rząd pochwalić się walką z piractwem. A jak było tak będzie.

jak zmniejszyc zdjecie 2mb na 0,6 najprostszym sposobem?

Czyli krótko i obrazkowo o convert

$ ls -l
1,7M 01.jpg

illi@dagobah:/tmp/zd$ imgsize *
width="3000" height="2250"

$ convert -size 1000 01.jpg 01-new.jpg

$ ls -la
644K 01-new.jpg
1,7M 01.jpg

$ imgsize *
01-new.jpg: width="1500" height="1125"
01.jpg: width="3000" height="2250"

zmiana nazw wielu plików

Bardzo milusi pakiet do zmian nazwy plików.

Mamy pliki:
test$ ls -l
-rw-r--r-- 1 illi illi 0 2008-03-14 10:26 a
-rw-r--r-- 1 illi illi 0 2008-03-14 10:26 b
-rw-r--r-- 1 illi illi 0 2008-03-14 10:26 c
-rw-r--r-- 1 illi illi 0 2008-03-14 10:26 d
-rw-r--r-- 1 illi illi 0 2008-03-14 10:26 e

wykonujemy qmv i dostajemy na ekran domyślny edytor tekstu w którym możemy zapisać zmianę nazwy, bo pojawia się do edycji coś co zawiera starą nazwę, potem pięć tabulatorów i … nową nazwę.

qmv: ekran edycji nazw

Działanie:

test$ qmv
Plan is valid.
a -> a-nowa-nazwa
b -> b-01
c -> c.txt
e -> e.ps
Regular rename
a -> a-nowa-nazwa
b -> b-01
c -> c.txt
e -> e.ps

Efekt:

/test$ ls -l
-rw-r--r-- 1 illi illi 0 2008-03-14 10:26 a-nowa-nazwa
-rw-r--r-- 1 illi illi 0 2008-03-14 10:26 b-01
-rw-r--r-- 1 illi illi 0 2008-03-14 10:26 c.txt
-rw-r--r-- 1 illi illi 0 2008-03-14 10:26 d
-rw-r--r-- 1 illi illi 0 2008-03-14 10:26 e.ps

Pakiet nazywa się renameutils.

Szybka instalacja dla debianowatych:

sudo apt-get install renameutils

Oparte na WordPress & Theme by Anders Norén