L’aggiornamento del sistema operativo, kernel compreso, senza riavvio


Se c’è una cosa che i sistemi GNU/Linux erano decenni avanti rispetto alla controparte Windows è la gestione del patching.
Un sistemista Windows passava nottate intere a fare il cosidetto WSUS, ossia l’applicazione delle patch di sicurezza e funzionalità, di Windows; senza contare che ogni tot numero di patch installate si doveva riavviare il sistema.

Organizzandosi in una pianificazione trimestrale o semestrale, si finiva per installare oltre la decina di aggiornamenti alla volta riguardanti solo il software Microsoft: Office, Silverlight, .Net Framework, SQL server, Exchange e ovviamente anche quelli relativi il sistema operativo. Poi rimanevano i programmi di terze parti come Adobe, Java. Un incubo.

Con le distribuzioni GNU/Linux tutto è molto più semplice, l’operazione di upgrade è molto rapida: potendo utilizzare un repository software interno, la discriminante la fa la CPU del server e la velocità del disco rigido. Un tempo sicuramente inferiore a quello del patching di Windows a parità di hardware.
Quindi il sistemista Linux rispetto a quello Windows specialmente per sistemi critici da presidiare, lavora meno ore.

L’unica cosa che probabilmente era migliorabile nelle distribuzioni del pinguino era la necessità di dover riavviare la macchina dopo l’installazione di un nuovo kernel.
Un unico riavvio, a fonte dei multipli riavvii necessari a Windows, che però era migliorabile ed eliminabile con un po’ di sforzo; tutto questo per portare l’uptime dei sistemi verso quell’agognato 99,99% su base annua che significa un downtime complessivo di poco inferiore ai 53 minuti all’anno. Possibile?

Oggi, nel 2019, installare le patch di sicurezza e di funzionalità in sistemi GNU/Linux è possibile anche senza riavvio, pur aggiornando il kernel.

Storicamente la prima soluzione, nata circa 10 anni fa, che consente di aggiornare il kernel di un server Linux senza interrompere i processi del sistema e senza riavvio, è Ksplice.
La tecnologia Ksplice fu acquisita da Oracle nel 2011 e implementata, a pagamento, sulla distribuzione Oracle Linux, derivata da Red Hat. Questo ha fatto sì che i maggiori produttori di distribuzioni Linux commerciali Red Hat e SuSE si mettessero in corsa per trovare una loro soluzione. Così sono nati Kpatch (di Red Hat) e Kgraph (di SuSE).
Dalle due soluzioni, ovviamente opensource, come sintesi nel 2016 è nata la versione di Canonical Ubuntu chiamata Livepatch.
Livepatch è gratuita per uso personale fino a 3 sistemi ed è attivabile tramite registrazione sul sito di Ubuntu: https://auth.livepatch.canonical.com/. In seguito è arrivata KernelCare di CloudLinux che ha permesso di attivare la tecnologia su CentOS, Debian e altre distribuzioni.

Certificati SSL


Secondo una definizione più pratica che teorica, i certificati SSL sono dei file che contengono delle informazioni utili per garantire l’integrità dei dati, una comunicazione sicura e l’identità degli interlocutori di una connessione Internet.

Quando ci si connette ad un sito di commercio elettronico tipicamente i nostri dati vengono cifrati al fine di evitare che qualcuno possa leggere ad esempio il numero della nostra carta di credito che consente, per chi non lo sapesse ancora, di prelevare il denaro senza possedere fisicamente il pezzo di plastica della carta di credito. Continua a leggere

Cracking WEP


Le reti wireless non sono molto utilizzate solo nelle grandi città  ma anche nei paesi più piccoli è possibile trovarne parecchie. Basta un semplice cellulare che supporti il WIFI per scoprire che passeggiando per una via sono visibili un discreto numero di reti wireless. I dati viaggiano su onde radio che sono in grado di attraversare i muri di uffici o abitazioni e raggiungere anche un centinaio di metri di distanza dall’access point. Continua a leggere

ModSecurity 2 per Debian Lenny


Per una serie di vicissitudini legate alla licenza di distribuzione, il modulo ModSecurity 2 non è stato incluso nei repository ufficiali di Debian Lenny.
Mod-Security è il componente di Apache dedicato alla sicurezza più conosciuto, tuttavia con grande dispiacere non è possibile trovarlo in forma pacchetizzata ufficiale.  Nonostante tutto, non bisogna scaricare i sorgenti per poter adoperare ModSecurity 2 su Lenny.

Continua a leggere

Sniffare le password wireless


phpTpDLhYA volte ci si preoccupa poco della protezione dei propri dati personali, una delle minacce più insidiose è il furto delle credenziali di accesso a un servizio. Se un malintenzionato riesce a rubare la coppia username e password può facilmente accedere agli account sui siti Internet, questo è particolarmente pericoloso quando si accede ad Internet usando una connessione wifi (wireless) non protetta. Come fanno i cracker a ottenere tali informazioni?

Continua a leggere

Sicurezza nelle virtual machine


sicurezza su macchina virtualeIn materia di sicurezza, le virtual machine dovrebbero essere trattate come se fossero dei sistemi fisici, pertanto il software installato andrà mantenuto aggiornato e dovranno essere applicate le varie ed eventuali patch che correggono bug di sicurezza. In più, la scelta dei programmi da eseguire sulla macchina virtuale è da farsi tra una rosa di servizi o applicazioni conosciuti come robusti (poco afflitte da bachi).

Continua a leggere

PhpBB3 hardening


Come si fa a rendere più sicuro un forum phpbb3? Quali sono le modifiche per farlo resistere agli spam bot o agli attacchi che certi utenti provano a sferrargli?

teschioFrequentemente è necessario aumentare le difese di un sito poiché gli spam bot lo hanno preso di mira. Per rafforzare phpbb3 e renderlo più sicuro non servono molte conoscenze, già modificando qualche impostazione nel pannello dell’amministratore è possibile arrivare a livelli di sicurezza eccellenti.

Ecco la guida: phpBB3 hardening