Prelekcja skierowana jest do osób które niedawno zaczęły swoją przygodę z Pythonem i zainteresowane są tym jak działa wewnątrz interpreter Pythona. Podczas wykłady dowiesz się jak interpreter przetwarza pliki .py, co to jest bytecode, czym się różni .pyc od .pyo oraz czy da się uruchomić program i ukryć jego kod źródłowy. Na zakończenie autor wymieni i krótko scharakteryzuje inne implementacje oraz pochodne języka Python.
How to run system administrator recruitment process? By creating platform based on open source parts in just 2 nights! I gave this talk in Poland / Kraków OWASP chapter meeting on 17th Octomber 2013 at our local Google for Entrepreneurs site. It's focused on security and also shows how to create recruitment process in CTF / challenge way.
This story covers mostly security details of this whole platform. There's great chance, that I will give another talk about this system but this time focusing on technical details. Stay tuned ;)
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...PROIDEA
Prelekcja poprzez szybkie nakreślenie architektury platformy Openshift omawia rozwiązania wykorzystane do zabezpieczenia aplikacji działających na kontenerach zarządzanych przez samą platformę. Podczas ich opisu szczególna uwaga zwracana jest na zagadnienia związane z ruchem sieciowym, które mogą mieć istotne znaczenie przy osadzaniu na niej aplikacji usługowych branży telekomunikacyjnej. 1. Wprowadzenie do architektury sieciowej platformy Openshift 2. Wyjaśnienie poprzez jakie mechanizmy architektura Openshift zapewnia bezpieczeństwo oraz integralność aplikacji na niej osadzonych a) separacja na poziomie sieciowym b) separacja na poziomie dostępu do zasobów systemowych oraz dyskowych 3. Sposoby kontroli oraz zabezpieczeń ruchu sieciowego pomiędzy aplikacjami osadzonymi na kontenerach (Istio/Service mesh)
Prelekcja skierowana jest do osób które niedawno zaczęły swoją przygodę z Pythonem i zainteresowane są tym jak działa wewnątrz interpreter Pythona. Podczas wykłady dowiesz się jak interpreter przetwarza pliki .py, co to jest bytecode, czym się różni .pyc od .pyo oraz czy da się uruchomić program i ukryć jego kod źródłowy. Na zakończenie autor wymieni i krótko scharakteryzuje inne implementacje oraz pochodne języka Python.
How to run system administrator recruitment process? By creating platform based on open source parts in just 2 nights! I gave this talk in Poland / Kraków OWASP chapter meeting on 17th Octomber 2013 at our local Google for Entrepreneurs site. It's focused on security and also shows how to create recruitment process in CTF / challenge way.
This story covers mostly security details of this whole platform. There's great chance, that I will give another talk about this system but this time focusing on technical details. Stay tuned ;)
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...PROIDEA
Prelekcja poprzez szybkie nakreślenie architektury platformy Openshift omawia rozwiązania wykorzystane do zabezpieczenia aplikacji działających na kontenerach zarządzanych przez samą platformę. Podczas ich opisu szczególna uwaga zwracana jest na zagadnienia związane z ruchem sieciowym, które mogą mieć istotne znaczenie przy osadzaniu na niej aplikacji usługowych branży telekomunikacyjnej. 1. Wprowadzenie do architektury sieciowej platformy Openshift 2. Wyjaśnienie poprzez jakie mechanizmy architektura Openshift zapewnia bezpieczeństwo oraz integralność aplikacji na niej osadzonych a) separacja na poziomie sieciowym b) separacja na poziomie dostępu do zasobów systemowych oraz dyskowych 3. Sposoby kontroli oraz zabezpieczeń ruchu sieciowego pomiędzy aplikacjami osadzonymi na kontenerach (Istio/Service mesh)
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
W dobie rozwijającego się w szybkim tempie rynku sprzedaży exploitów typu 0-day i wszechobecnych backdoorów w tzw. „drogich zabawkach”, coraz trudniejszym staje się utworzenie i utrzymanie bezpiecznej infrastruktury krytycznej. Aktualizacje oprogramowania jak i tzw. „old-schoolowe” triki utwardzające systemy i urządzenia sieciowe nadal uznawane są za poprawne, ale zdecydowanie nie są wystarczające. Potrzebujemy mechanizmów profilowania zachowania zarówno sieci, systemów jak i administratorów i użytkowników końcowych. Potrzebujemy więcej dedykowanych, „szytych na miarę” defensywnych konfiguracji oraz przede wszystkim izolacji na poszczególnych warstwach infrastruktury. Jednocześnie zdobywanie przez kadrę techniczną aktualnej, niepowiązanej z żadnym vendorem wiedzy z zakresu „offensive vs defensive” staje się kluczową kwestią w rozwoju technologicznym zespołów IT/ITSec.
Podczas prezentacji, na bazie wieloletniej obserwacji „podwórka IT Security” postaram się przedstawić możliwości, jakie drzemią w rozwiniętych rozwiązaniach Open Source dedykowanych utwardzaniu, profilowaniu i monitorowaniu systemów i sieci. Na bazie rzeczywistych przypadków omówione zostaną wybrane sposoby ochrony i wykrywania zdarzeń wykorzystując:
– izolację (Apparmor, SELinux, Docker/LXC, chroot/jail) celem utrudnienia eskalacji uprawnień
– filtrowanie i profilowanie (seccomp, systemtap, sysdig, GRR, Volatility, modsecurity/naxsi)
– aktywną i pasywną analizę ruchu sieciowego celem wczesnego wykrywania zagrożeń
– hardening jądra systemowego i przestrzeni użytkownika
– centralne miejsce składowania logów i korelacji zdarzeń (Elastic, Logstash, Kibana)
Prezentacja jest swego rodzaju drogowskazem do zbudowania własnej „fortecy” w sposób odmienny od tego, jaki prezentują liderzy komercyjnego rynku. Zastrzyk merytoryki gwarantowany!
“Dziesięć serwerów poproszę!“, czyli co może Ci zaoferować definiowanie infra...The Software House
Niezależnie od tego, czy jesteście developerami, sysadminami, czy też DevOps Engineers – prawie na pewno mieliście doświadczenie z webowymi panelami dostawców usług infrastrukturalnych takich jak AWS, GCP czy też OVH. Z poziomu tych paneli da się “wyklikać” wszystko, czego potrzeba, ale… czy aby na pewno tędy droga? Środowiskiem bardziej naturalnym dla każdego inżyniera jest wszakże edytor tekstu (czy też IDE) oraz różnorakie polecenia wydawane komputerowi w formie skryptów. Czemu by więc z tego nie skorzystać? Jeśli od klikania bez możliwości pomyłki boli Was ręka, zainwestuj w podkładkę pod mysz… ale przede wszystkim wpadnij na prelekcję Piotra, na której to opowie o założeniach podejścia IaC, jego zaletach oraz przedstawi najpopularniejsze narzędzia.
Poznaj narzędzia i techniki w zabezpieczeniach systemów linuksowych
Zabezpieczanie systemu komputerowego to proces złożony. Nie trzeba jednak od razu wprowadzać złożonych mechanizmów ochrony systemu. Znajomość podstawowych procedur pomaga dostatecznie zwiększyć poziom bezpieczeństwa. Czy chcesz szybko dowiedzieć się, jak wysyłać zaszyfrowane listy elektroniczne z programu Emacs? Jak ograniczyć dostęp do usług sieciowych w określonych porach dnia? Jak zabezpieczyć serwer WWW zaporą sieciową? Skonfigurować uwierzytelnianie z użyciem klucza publicznego przez SSH?
Książka "Linux. Bezpieczeństwo. Przewodnik encyklopedyczny" nauczy Cię, jakie polecenia należy wykonać i co wpisać w plikach konfiguracyjnych, by poprawić bezpieczeństwo Twojego systemu. Nie jest to klasyczny podręcznik; nie znajdziesz tu teorii, lecz rozwiązania konkretnych problemów i sposoby łatania typowych luk w zabezpieczeniach. Dzięki książce nie będziesz tracić cennego czasu, poszukując właściwej składni poleceń. Przeznaczona jest dla średnio zaawansowanych użytkowników i administratorów systemów Linux.
* Kontrola dostępu do systemu na różnych poziomach - od zapory sieciowej aż po poszczególne usługi; programy: iptables, ipchains, xinetd, inetd i wiele innych.
* Monitorowanie sieci programami: ethereal, dsniff, netstat i innymi.
* Ochrona połączeń sieciowych technologiami SSH i SSL.
* Wykrywanie włamań programami: tripwire, snort, tcpdump, logwatch i innymi.
* Zabezpieczanie uwierzytelniania za pomocą kluczy kryptograficznych, technologii Kerberos, oprogramowania PAM; autoryzacja przywilejów administratora programem sudo.
* Szyfrowanie plików i wiadomości e-mail oprogramowaniem GnuPG.
* Sondowanie zabezpieczeń własnego systemu programami do łamania haseł, narzędziem nmap i skryptami pomocniczymi.
Jeśli administrujesz systemami linuksowymi, receptury przedstawione w niniejszej książce pozwolą zwiększyć wydajność Twojej pracy: osiągniesz więcej poświęcając mniej czasu. Zdobędziesz pewność, że zastosujesz właściwe rozwiązania gdy pojawiają się konkretne zagrożenia.
Docker jest wspaniałą technologią. Przy pomocy Dockera w prosty sposób możemy rozwiązać jeden problem, a na jego miejsce stworzyć dwa inne, nowe, bardziej skomplikowane... Co jest powodem takiego stanu rzeczy? Czy przyczyną jest architektura Dockera? Brak zrozumienia? A może coś więcej?
Kompletny przewodnik po systemie Fedora Core
* Zainstaluj system i poprawnie nim administruj
* Skonfiguruj serwer WWW, FTP, poczty elektronicznej i plików
* Przekompiluj jądro systemu
* Wykorzystaj mechanizmy bezpieczeństwa do ochrony danych i użytkowników
Fedora Core to najnowsza, bezpłatna i otwarta kontynuacja linii systemu Red Hat Linux, najpopularniejszej dystrybucji systemu Linux na świecie. Jej poprzednik -- Red Hat Linux -- zyskał zasłużoną sławę i popularność nie tylko wśród komputerowych guru, ale także "zwykłych" użytkowników. Docenili jego stabilność, łatwość obsługi i ogromny wybór różnego rodzaju aplikacji, dostępnych nieodpłatnie, podobnie jak sam system. Fedora Core posiada te same zalety. Można zainstalować ten system nie tylko na komputerze PC, ale także na serwerach sieciowych, urządzeniach PDA i komputerach klasy mainframe.
"Fedora Core 2. Księga eksperta" to kompendium wiedzy na temat systemu Fedora Core 2 Linux. Zawiera szczegółowe informacje na temat jego instalacji, używania i administrowania nim. Opisuje sposoby konfigurowania systemu oraz korzystania z niego zarówno na stacjach roboczych, jak i na serwerach sieciowych. Przedstawia zasady używania środowiska tekstowego i graficznego, konfigurowania usług systemowych, zarządzania kontami użytkowników i wiele innych informacji cennych zarówno dla użytkownika, jak i dla administratora.
* Instalacja i konfigurowanie systemu
* System plików, logowanie i przydzielanie praw użytkownikom
* Korzystanie ze środowiska X Window
* Zarządzanie usługami systemowymi
* Instalowanie oprogramowania
* Administrowanie kontami użytkowników i systemem plików
* Tworzenie kopii bezpieczeństwa
* Konfiguracja sieci i drukarek
* Instalacja i konfigurowanie serwera DNS, WWW, FTP i poczty elektronicznej
* Usługi baz danych
* Tworzenie skryptów powłoki oraz oprogramowania w językach C++ oraz Perl
* Konfigurowanie jądra systemu
* Aplikacje biurowe, multimedialne i emulatory innych systemów operacyjnych
Poznaj wszystkie możliwości najpopularniejszej dystrybucji systemu Linux.
Przewodnik po zabezpieczeniach z użyciem narzędzi open source
Książka ta pokazuje doświadczonym administratorom systemów, w jaki sposób używać narzędzi typu open source w trzech kluczowych obszarach: zabezpieczanie serwera, zabezpieczanie sieci komputerowych oraz zabezpieczanie granic sieci komputerowych. Dostarczy Ci praktycznych umiejętności, pozwalających na uszczelnienie sieci komputerowej, zabezpieczenie i monitorowanie systemu operacyjnego oraz sprawdzanie słabych punktów zarówno w sieciach lokalnych, jak i rozległych. Poznasz również sposób utrzymywania i sprawdzania zapory ogniowej oraz rejestrowania zachodzących w niej zdarzeń, pozwalający na utworzenie funkcjonalnej bariery pomiędzy Twoją siecią a światem zewnętrznym.
* Powstrzymaj hakera, myśląc dokładnie tak jak on
Opanuj czynności potrzebne do włamania się do używanego przez Ciebie systemu operacyjnego oraz przewiduj różnorodne rodzaje ataków.
* Zwiększ bezpieczeństwo swojego serwera
Dowiedz się, jak zabezpieczyć serwer oparty na Linuksie przy użyciu prostych "ręcznych" poprawek oraz rozwiązań typu open source.
* Naucz się używać narzędzi sprawdzających system
Pełny opis narzędzi skanujących, w tym programów: AntiVir, Zombie Zapper oraz Nmap.
* Podstawy systemów wykrywających włamania (IDS)
Dowiedz się o usługach dostarczanych przez systemy IDS, jak również o różnych aplikacjach tego typu i ich charakterystykach.
* Przechwyć ruch przesyłany w sieci komputerowej
Użyj programów przechwytujących pakiety sieciowe w celu rozwiązania problemów z siecią komputerową oraz potwierdzenia ataków przeprowadzonych przez hakerów.
* Zminimalizuj możliwość niewłaściwego wykorzystania narzędzi służących do przechwytywania pakietów
Dowiedz się, w jaki sposób wykorzystać rozwiązania używające haseł jednorazowych, system Kerberos v5 oraz szyfrowanie.
* Wprowadź bezpieczną autoryzację oraz szyfrowanie na poziomie warstwy sieci
Zabezpiecz sieć poprzez użycie Wirtualnych Sieci Prywatnych (VPN).
* Ustanów bezpieczną granicę sieci komputerowej
Skonfiguruj oraz utrzymuj zaporę sieciową zabezpieczającą Twoją sieć komputerową.
* Płyta CD dołączona do książki
Dołączona płyta CD dostarcza narzędzia open source oraz kod źródłowy zawarty w książce.
Częścią pracy każdego z nas jest wrzucanie aplikacji na jeden lub więcej serwerów produkcyjnych
Podczas prezentacji poruszony zostanie temat procesu deploymentu pewnej aplikacji na przestrzeni wielu lat. Omówione zostaną zalety oraz wady każdej iteracji procesu, a także problemy jakie napotkaliśmy w trakcie korzystania z danej konfiguracji.
Prezentacja dotycząca wydajnego przetwarzania ruchu IP na PC wygłoszona podczas IT Conference na WAT (http://itacademicday.azurewebsites.net/), listopad 2015.
(Polish only) Talk regarding effective IP traffic processing on x86 platforms, given at IT Academic Day / Military University of Technology in Warsaw, November 2015.
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
W dobie rozwijającego się w szybkim tempie rynku sprzedaży exploitów typu 0-day i wszechobecnych backdoorów w tzw. „drogich zabawkach”, coraz trudniejszym staje się utworzenie i utrzymanie bezpiecznej infrastruktury krytycznej. Aktualizacje oprogramowania jak i tzw. „old-schoolowe” triki utwardzające systemy i urządzenia sieciowe nadal uznawane są za poprawne, ale zdecydowanie nie są wystarczające. Potrzebujemy mechanizmów profilowania zachowania zarówno sieci, systemów jak i administratorów i użytkowników końcowych. Potrzebujemy więcej dedykowanych, „szytych na miarę” defensywnych konfiguracji oraz przede wszystkim izolacji na poszczególnych warstwach infrastruktury. Jednocześnie zdobywanie przez kadrę techniczną aktualnej, niepowiązanej z żadnym vendorem wiedzy z zakresu „offensive vs defensive” staje się kluczową kwestią w rozwoju technologicznym zespołów IT/ITSec.
Podczas prezentacji, na bazie wieloletniej obserwacji „podwórka IT Security” postaram się przedstawić możliwości, jakie drzemią w rozwiniętych rozwiązaniach Open Source dedykowanych utwardzaniu, profilowaniu i monitorowaniu systemów i sieci. Na bazie rzeczywistych przypadków omówione zostaną wybrane sposoby ochrony i wykrywania zdarzeń wykorzystując:
– izolację (Apparmor, SELinux, Docker/LXC, chroot/jail) celem utrudnienia eskalacji uprawnień
– filtrowanie i profilowanie (seccomp, systemtap, sysdig, GRR, Volatility, modsecurity/naxsi)
– aktywną i pasywną analizę ruchu sieciowego celem wczesnego wykrywania zagrożeń
– hardening jądra systemowego i przestrzeni użytkownika
– centralne miejsce składowania logów i korelacji zdarzeń (Elastic, Logstash, Kibana)
Prezentacja jest swego rodzaju drogowskazem do zbudowania własnej „fortecy” w sposób odmienny od tego, jaki prezentują liderzy komercyjnego rynku. Zastrzyk merytoryki gwarantowany!
“Dziesięć serwerów poproszę!“, czyli co może Ci zaoferować definiowanie infra...The Software House
Niezależnie od tego, czy jesteście developerami, sysadminami, czy też DevOps Engineers – prawie na pewno mieliście doświadczenie z webowymi panelami dostawców usług infrastrukturalnych takich jak AWS, GCP czy też OVH. Z poziomu tych paneli da się “wyklikać” wszystko, czego potrzeba, ale… czy aby na pewno tędy droga? Środowiskiem bardziej naturalnym dla każdego inżyniera jest wszakże edytor tekstu (czy też IDE) oraz różnorakie polecenia wydawane komputerowi w formie skryptów. Czemu by więc z tego nie skorzystać? Jeśli od klikania bez możliwości pomyłki boli Was ręka, zainwestuj w podkładkę pod mysz… ale przede wszystkim wpadnij na prelekcję Piotra, na której to opowie o założeniach podejścia IaC, jego zaletach oraz przedstawi najpopularniejsze narzędzia.
Poznaj narzędzia i techniki w zabezpieczeniach systemów linuksowych
Zabezpieczanie systemu komputerowego to proces złożony. Nie trzeba jednak od razu wprowadzać złożonych mechanizmów ochrony systemu. Znajomość podstawowych procedur pomaga dostatecznie zwiększyć poziom bezpieczeństwa. Czy chcesz szybko dowiedzieć się, jak wysyłać zaszyfrowane listy elektroniczne z programu Emacs? Jak ograniczyć dostęp do usług sieciowych w określonych porach dnia? Jak zabezpieczyć serwer WWW zaporą sieciową? Skonfigurować uwierzytelnianie z użyciem klucza publicznego przez SSH?
Książka "Linux. Bezpieczeństwo. Przewodnik encyklopedyczny" nauczy Cię, jakie polecenia należy wykonać i co wpisać w plikach konfiguracyjnych, by poprawić bezpieczeństwo Twojego systemu. Nie jest to klasyczny podręcznik; nie znajdziesz tu teorii, lecz rozwiązania konkretnych problemów i sposoby łatania typowych luk w zabezpieczeniach. Dzięki książce nie będziesz tracić cennego czasu, poszukując właściwej składni poleceń. Przeznaczona jest dla średnio zaawansowanych użytkowników i administratorów systemów Linux.
* Kontrola dostępu do systemu na różnych poziomach - od zapory sieciowej aż po poszczególne usługi; programy: iptables, ipchains, xinetd, inetd i wiele innych.
* Monitorowanie sieci programami: ethereal, dsniff, netstat i innymi.
* Ochrona połączeń sieciowych technologiami SSH i SSL.
* Wykrywanie włamań programami: tripwire, snort, tcpdump, logwatch i innymi.
* Zabezpieczanie uwierzytelniania za pomocą kluczy kryptograficznych, technologii Kerberos, oprogramowania PAM; autoryzacja przywilejów administratora programem sudo.
* Szyfrowanie plików i wiadomości e-mail oprogramowaniem GnuPG.
* Sondowanie zabezpieczeń własnego systemu programami do łamania haseł, narzędziem nmap i skryptami pomocniczymi.
Jeśli administrujesz systemami linuksowymi, receptury przedstawione w niniejszej książce pozwolą zwiększyć wydajność Twojej pracy: osiągniesz więcej poświęcając mniej czasu. Zdobędziesz pewność, że zastosujesz właściwe rozwiązania gdy pojawiają się konkretne zagrożenia.
Docker jest wspaniałą technologią. Przy pomocy Dockera w prosty sposób możemy rozwiązać jeden problem, a na jego miejsce stworzyć dwa inne, nowe, bardziej skomplikowane... Co jest powodem takiego stanu rzeczy? Czy przyczyną jest architektura Dockera? Brak zrozumienia? A może coś więcej?
Kompletny przewodnik po systemie Fedora Core
* Zainstaluj system i poprawnie nim administruj
* Skonfiguruj serwer WWW, FTP, poczty elektronicznej i plików
* Przekompiluj jądro systemu
* Wykorzystaj mechanizmy bezpieczeństwa do ochrony danych i użytkowników
Fedora Core to najnowsza, bezpłatna i otwarta kontynuacja linii systemu Red Hat Linux, najpopularniejszej dystrybucji systemu Linux na świecie. Jej poprzednik -- Red Hat Linux -- zyskał zasłużoną sławę i popularność nie tylko wśród komputerowych guru, ale także "zwykłych" użytkowników. Docenili jego stabilność, łatwość obsługi i ogromny wybór różnego rodzaju aplikacji, dostępnych nieodpłatnie, podobnie jak sam system. Fedora Core posiada te same zalety. Można zainstalować ten system nie tylko na komputerze PC, ale także na serwerach sieciowych, urządzeniach PDA i komputerach klasy mainframe.
"Fedora Core 2. Księga eksperta" to kompendium wiedzy na temat systemu Fedora Core 2 Linux. Zawiera szczegółowe informacje na temat jego instalacji, używania i administrowania nim. Opisuje sposoby konfigurowania systemu oraz korzystania z niego zarówno na stacjach roboczych, jak i na serwerach sieciowych. Przedstawia zasady używania środowiska tekstowego i graficznego, konfigurowania usług systemowych, zarządzania kontami użytkowników i wiele innych informacji cennych zarówno dla użytkownika, jak i dla administratora.
* Instalacja i konfigurowanie systemu
* System plików, logowanie i przydzielanie praw użytkownikom
* Korzystanie ze środowiska X Window
* Zarządzanie usługami systemowymi
* Instalowanie oprogramowania
* Administrowanie kontami użytkowników i systemem plików
* Tworzenie kopii bezpieczeństwa
* Konfiguracja sieci i drukarek
* Instalacja i konfigurowanie serwera DNS, WWW, FTP i poczty elektronicznej
* Usługi baz danych
* Tworzenie skryptów powłoki oraz oprogramowania w językach C++ oraz Perl
* Konfigurowanie jądra systemu
* Aplikacje biurowe, multimedialne i emulatory innych systemów operacyjnych
Poznaj wszystkie możliwości najpopularniejszej dystrybucji systemu Linux.
Przewodnik po zabezpieczeniach z użyciem narzędzi open source
Książka ta pokazuje doświadczonym administratorom systemów, w jaki sposób używać narzędzi typu open source w trzech kluczowych obszarach: zabezpieczanie serwera, zabezpieczanie sieci komputerowych oraz zabezpieczanie granic sieci komputerowych. Dostarczy Ci praktycznych umiejętności, pozwalających na uszczelnienie sieci komputerowej, zabezpieczenie i monitorowanie systemu operacyjnego oraz sprawdzanie słabych punktów zarówno w sieciach lokalnych, jak i rozległych. Poznasz również sposób utrzymywania i sprawdzania zapory ogniowej oraz rejestrowania zachodzących w niej zdarzeń, pozwalający na utworzenie funkcjonalnej bariery pomiędzy Twoją siecią a światem zewnętrznym.
* Powstrzymaj hakera, myśląc dokładnie tak jak on
Opanuj czynności potrzebne do włamania się do używanego przez Ciebie systemu operacyjnego oraz przewiduj różnorodne rodzaje ataków.
* Zwiększ bezpieczeństwo swojego serwera
Dowiedz się, jak zabezpieczyć serwer oparty na Linuksie przy użyciu prostych "ręcznych" poprawek oraz rozwiązań typu open source.
* Naucz się używać narzędzi sprawdzających system
Pełny opis narzędzi skanujących, w tym programów: AntiVir, Zombie Zapper oraz Nmap.
* Podstawy systemów wykrywających włamania (IDS)
Dowiedz się o usługach dostarczanych przez systemy IDS, jak również o różnych aplikacjach tego typu i ich charakterystykach.
* Przechwyć ruch przesyłany w sieci komputerowej
Użyj programów przechwytujących pakiety sieciowe w celu rozwiązania problemów z siecią komputerową oraz potwierdzenia ataków przeprowadzonych przez hakerów.
* Zminimalizuj możliwość niewłaściwego wykorzystania narzędzi służących do przechwytywania pakietów
Dowiedz się, w jaki sposób wykorzystać rozwiązania używające haseł jednorazowych, system Kerberos v5 oraz szyfrowanie.
* Wprowadź bezpieczną autoryzację oraz szyfrowanie na poziomie warstwy sieci
Zabezpiecz sieć poprzez użycie Wirtualnych Sieci Prywatnych (VPN).
* Ustanów bezpieczną granicę sieci komputerowej
Skonfiguruj oraz utrzymuj zaporę sieciową zabezpieczającą Twoją sieć komputerową.
* Płyta CD dołączona do książki
Dołączona płyta CD dostarcza narzędzia open source oraz kod źródłowy zawarty w książce.
Częścią pracy każdego z nas jest wrzucanie aplikacji na jeden lub więcej serwerów produkcyjnych
Podczas prezentacji poruszony zostanie temat procesu deploymentu pewnej aplikacji na przestrzeni wielu lat. Omówione zostaną zalety oraz wady każdej iteracji procesu, a także problemy jakie napotkaliśmy w trakcie korzystania z danej konfiguracji.
Prezentacja dotycząca wydajnego przetwarzania ruchu IP na PC wygłoszona podczas IT Conference na WAT (http://itacademicday.azurewebsites.net/), listopad 2015.
(Polish only) Talk regarding effective IP traffic processing on x86 platforms, given at IT Academic Day / Military University of Technology in Warsaw, November 2015.
PLNOG 8: Jacek Skowyra - Zabezpieczenie routerów Juniper przed światem zewnę...
SELinux, czyli zero-zero-day exploits - DWO 2013
1. SELinux, czyli zero-zero-day
exploits
Praktyczne wykorzystanie SELinuksa II
Bielsko 2013
Adam Przybyła <adam@ertel.com.pl>
(Creative Commons cc-by-nd)
2. SELinux
● Security-Enhanced Linux
● Mandatory Access Control
● Projekt na zlecenie U.S. Department of
Defense
● Przy współpracy NSA (National Security
Agency)
● SELinux dla androida, KNOX
3. Tradycyjne metody
zabezpieczenia
● DAC – prawa dostępu do plików
● Firewall - iptables
● Szyfrowanie – SSL
● IDS/IPS
● mod_security – firewall aplikacyjny
4. Czy to SELinux?
[root@synergia ~]# setenforce 0
[root@synergia ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted
[root@synergia ~]# setenforce 1
[root@synergia ~]#
5. [adam@synergia ~]$ python
Python 2.6.6 (r266:84292, Sep 11 2012, 08:34:23)
[GCC 4.4.6 20120305 (Red Hat 4.4.6-4)] on linux2
Type "help", "copyright", "credits" or "license" for more
information.
>>>
>>> import selinux
>>>
>>> selinux.getcon()
[0, 'unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023']
>>> selinux.getpidcon(1)
[0, 'system_u:system_r:init_t:s0']
6. Porządki na początek
[root@synergia ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
[root@synergia ~]# touch /.autorelabel
[root@synergia ~]# reboot
7. Dostęp poprzez bibliotekę
adam@synergia ~]$ python
Python 2.6.6 (r266:84292, Sep 11 2012, 08:34:23)
[GCC 4.4.6 20120305 (Red Hat 4.4.6-4)] on linux2
Type "help", "copyright", "credits" or "license" for more
information.
>>>
>>> import selinux
>>>
>>> selinux.getcon()
[0, 'unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023']
>>> selinux.getpidcon(1)
[0, 'system_u:system_r:init_t:s0']
9. Składniki polityki SELinuksa
● Plik fc – definiuje kontekst bezpieczeństwa
plików
● Plik if – plik interface'u
● Plik te - reguły dostępu dla domeny
selinuksa
10. Zarządzanie selinuksem
● Semanage
– zmiany kontekstu plików
– zmiany kontekstu użytkowników
– przypisania kontekstu do portów
● Setenforce
– Wyłaczenie selinuksa
● getsebool/setsebool
– Zmiany parametrów polityki
● sestatus
● /etc/selinux/config
– Konfiguracja SELinuksa
11. Serwer HTTP z SELinuksem
● Ustawienie parametrów za pomocą
zmiennych
● Sprawdzenie domenty demona
● Sprawdzenie atrybutów plików
● Własne reguły
12. [root@malenstwo ~]# getsebool -a|grep http
allow_httpd_anon_write --> off
allow_httpd_mod_auth_ntlm_winbind --> off
allow_httpd_mod_auth_pam --> off
allow_httpd_sys_script_anon_write --> off
httpd_builtin_scripting --> on
httpd_can_network_connect --> on
httpd_can_network_connect_db --> on
httpd_can_network_relay --> off
httpd_can_sendmail --> off
httpd_dbus_avahi --> on
httpd_enable_cgi --> on
httpd_enable_ftp_server --> off
httpd_enable_homedirs --> on
httpd_execmem --> off
httpd_read_user_content --> off
httpd_ssi_exec --> off
httpd_tmp_exec --> off
httpd_tty_comm --> on
httpd_unified --> on
httpd_use_cifs --> off
[root@malenstwo ~]#