das Böse aus dem Erdgeschoss

Die Leiden des kleinen Admins

Spicker2.0 [1]

Oh je es ist sicher schon 17/18 Jahre her als ich meinen letzten Spicker geschrieben haben und nun am heutigen Tag und weil ich morgen die Prüfung wieder hole, entdecke ich das alte Lernmittel neu…Spicker2.0 so zusagen. 😀 Worum geht es in der Prüfung? SE-Linux, dass ist so kein Geheimnis. Nun sammele hier mal die Tipps und Tricks für dieses Thema, ohne dass dies einen Bezug auf die Prüfung hat. Letztlich wird es eine Sammlung von Dateien und Befehlen werden, die im Umgang mit SELinux unter RHEL5.x sehr wichtig sein könnten. Ich unterliege dem NDA. Also ist dies letztlich nur eine Prüfungsvorbereitung ohne Garantie das etwas/alles/nichts davon prüfungsrelevant ist/sein könnte. Auch ist es nur bedingt auf Fedora und Co. verwendbar, da gerade das Team der ReferencePolicy, viele/alle vom Planet SELinux und das SELinux Team um Chefentwickler Dan Walsh schon viel weiter an der Vereinfachung und Benutzbarkeit der Policy gearbeitet haben. Ja die RHEL 5 Policy ist nutzbar und sicher, aber auch noch etwas kantiger und komplizierter. Den Spicker habe ich noch nicht öffentlich, kommt aber nur will ich sicher sein das ich hier keine vertraglichen Probleme bekomme.

Freitag, 3.04.2009 02:50 Posted by | RHEL, SELinux | , , , | Hinterlasse einen Kommentar

Geschützt: Spicker2.0[2]

Dieser Inhalt ist passwortgeschützt. Um ihn anzuschauen, gib dein Passwort bitte unten ein:

Donnerstag, 2.04.2009 21:41 Posted by | Linux, RHEL, SELinux, Sicherheit | , , , , | Um die Kommentare zu sehen, musst du dein Passwort eingeben.

ein bisschen SELinux?

„Kahs e bissl wenger sei?“ Würden wir zu hause sagen. 😀

So oder eher doch englisch muss es in den Mailboxen vom Fedora SELinux Team geheisen haben. Jedenfalls berichtet heute Dan Walsh, dass SELinux nun auf Diät gesetzt wurde.

Ich halte es als Spielwiese für eine geniale Idee, dass man mit einer nackten Policy anfängt und nun kann man spielen/test/probieren was auch immer.

Nachdem ich aber über diesen Eintrag nachdachte, fiehl mir auf, dass es durch aus mehr als die von Dan Walsh genannten Aspekte gibt, diese Policy einzusetzen. Mal davon ausgegangen, dass wir Admins VMs, Ressourcen und alles Andere ohne Begrenzung hätten. Wir würden natürlich 😀 ala „best practice“ und auch aus Sicherheitsbedenken heraus jeden Dienst/Service auf eine Kiste/VM packen. So bleibt es eindeutig.  Mit dieser Annahme kommen wir soweit, dass die minimal-policy durch aus im targeted modus laufen und der eine Dienst wird „targeted“ und alles andere könnt schön „confined“ laufen und die Welt wäre in Ordnung. Nur leider ist diese Welt nicht so perfekt und die Sparkrümmler packen immer noch einen Dienst auf den bestehenden Server obendrauf. Letztlich wäre es nur schön gewesen und deshalb läuft am Ende wieder die Standard Policy. 😦

Freitag, 20.02.2009 06:07 Posted by | Linux, SELinux, Sicherheit | , | Hinterlasse einen Kommentar

Bestanden

Ja, es war eine harte Prüfung und auch sicher die zweit schwerste. Mehr verbietet mir das NDA darüber zu reden.
Aber ich habe es geschafft. Nun bin ich dem RHCA bzw. dem RHCSS ein ganzes Stückchen näher.
Die Frage ist nun, wenn jemand über Sicherheit reden will, sollte er dann gleichwertig sein?

Hier mein Zertifikat:

Montag, 18.08.2008 08:00 Posted by | Linux, RHEL | , , , | Hinterlasse einen Kommentar

Prüfung

mal wieder.

und ja ich habe es selbst so gewollt.

Nun sitze ich hier im Hotel, außer 2 Kaffe ging beim doch gutem Hotelfrühstück recht wenig. Mein Magen hängt noch auf quer. Die Nacht wer warm und elend kurz.

Um 8 Uhr macht man uns die Türe auf, dass ist 1 Stunde früher als normal. Ja in Stuttgart wo sonst keiner vor 9 Uhr zu sehen ist. 😉

Es ist die Security Prüfung, RHEX333, die derzeit zweischwerste Prüfung. Schlimmer ist die Monitoring/Tunning rhex423, und die habe ich noch nicht geschafft. Ich wage mich also in dieses Abenteuer. Wohlweislich, dass mir die liebe Internetfamilie und allen voran Tante google dabei schmerzlich fehlen werden.

Ja ich wußte dies alles vorher und habe mich trotzdem dafür entschieden, auch um meine internen und externem Kunden zukünftig noch besser quälen schützen zu können. 😀

Drückt mir mal die Daumen, in 14 Tagen weiß ich dann auch ob ich bestanden habe.

Freitag, 8.08.2008 06:24 Posted by | Linux, RHEL | , , | 2 Kommentare

hat die Paranoia erst mal Pause?

Ich hatte ja bereits vor laaaanger Zeit erwähnt, dass ich  dabei wäre ein RHEL 5.1 nach NSA Vorgaben etwas abzudichten. Ich bin mir nicht ganz sicher ob diese Paranoia erst dadurch entstanden oder schon vorher da war und nur angesammelt wurde, um diese Projekt auch hin zu bekommen.

Wenn man ein Linux sicher machen will, muss man schlecht von allen denken, grundsätzlich ist jeder (selbst ich?) dem System, dass du gerade in den Händen hast, feindlich gesonnen. Alle wollen es kaputt machen, zerstören oder gar missbrauchen. Aber es gibt eine winzige Gruppe, die müssen auch Rechte bekommen die sonst keiner hat. Weil irgendwas muss dieses Linux letztlich tun und dazu gibt es Benutzer und Admins die die Aufgaben zuweisen und überwachen. Damit die aber auch wirklich auf jeden Fall genau nur das tun, dafür mache ich die ganze Sch… hier.

Okay ein gewisser Teil Herausforderung ist dabei und Fehlschläge gab es genug:

  • 3 mal so ausgesperrt, dass die DVD samst „linux rescue“ nur noch helfen konnte
  • Die Filesysteme so verbogen, dass SELinux mal wieder gar keinen ran lassen wollte
  • Die Passwortpolicy so hart gemacht, dass selbst mir kein Passwort mehr einfiel das noch unter „merkbar“ lief.
  • Die bash bekam immer genau dann einen timeout, wenn ich weiter machen wollte, 3 mal habe ich ihr sogar beim schliessen zusehen müssen.
  • Und weitere Nicklichkeiten mit dem Kernel/SELinux und Co, die mich zwar nervten, aber die ich mit den Betroffenen letztlich kompromisslos regelte.
  • Das die Wiki Seite dazu schon ein Inhaltsverzeichnis hat, dass schon gescrollt werden muss. Dabei habe ich sehr viel noch auf Zusatzseiten (oder rote wikiwörter ^^) ausgelagert.

Letztlich muss ich aber sagen, wer böse von anderen denkt oder denken will und eine zwanghafte Leidenschaft zum friggeln mitbringt, finden hier in so einer Aufgabe gerade zu ein Paradies.

Und die Freude ist dann richtig groß, wenn das Baby dann ca. 2 Monate später fertig ist, okay ich konnte nicht Vollzeit daran arbeiten und habe live im Wiki mit dokumentiert, aber 3 Wochen sollte man rechnen. Auch wenn ich mit dem Wiki eine Leidenschaft zum Dokumentieren entwickle, wer sowas wie das hier anfängt, sollte sich echt Notizen machen. Denn wenn auf halber Strecke plötzlich ein lebenswichtiger Dienst versagt, benötigt man sehr schnell ein:

was habe ich eigentlich zuletzt gemacht, nach dem sichergestellten Zeitpunkt an dem der Dienst noch lief.

Mal sehen was der Herr, der offiziel noch Hackertools benutzen darf, dazu sagt.

Freitag, 13.06.2008 03:57 Posted by | Linux, RHEL | , , , , , | 1 Kommentar

Sicherheit

Es ist mal wieder so weit. Wir haben bislang nur RHEL3 und 4 in aller (Updates) Farben in unseren „sichereren“ Bereichen. Nun haben wir RHEL 5.1 (außer Cluster) erfolgreich auf unseren Systemen evaluiert und nun geht es ans Härten.
Also SELinux war mit RHEL4 gekommen. Mit RHEL 5 ist es so schon ganz nutzbar. Da erinnert mich mein Kollege, dass da doch ein Weihnachtsgeschenk der NSA war. Also beginnen wir doch mal mit den Studien…
Okay das Template wird wirklich hart. Hoffen wir mal das danach noch das geht, was die Maschinen eingentlich aus macht.
Ich bin aber guter Hoffnung, schlieslich ist RHEL ja nach CC EAL 4.0+ zertifiziert. Somit sollte es so was von härtbar sein. Im August mache ich dann den RHCSS also den Sicherheitskurs zu RHEL, somit kann ich jetzt schon mal üben.

Dienstag, 8.04.2008 18:57 Posted by | Linux, RHEL | , , , , , | 1 Kommentar