Archive for the 'bezpieczeństwo' Category

Kosovo ni je Srbija?

Monday, September 8th, 2008

***
Napisałem to w marcu 2008 i jakoś się przeleżało w brudnopisie. Obecna wojna w Gruzji jest w pewnym sensie kontynuacją sprawy Kosowa…
***

Nie wiem wiele o historii Serbii. A o Albanii jeszcze mniej. Pogłoski i strzępki emocji, najbardziej chyba ukształtował moje poglądy Underground Kusturicy i jakieś przebitki z historii powszechnej, mniej prawdziwa wiedza.

Ale parzę swoimi oczami, z pozycji Polaka, mieszkańca tej części Europy a nie innej, z taką a nie inną historią. I także przez pryzmat tej historii postrzegam tamte kraje.

Czy naprawdę musieliśmy się w to mieszać, uznając niepodległość Kosowa? Czemu?

Bo wszyscy tak samo? OK, może i dobre podejście ale nie zaspokaja pragnienia odpowiedzi na tytułowe pytanie.

Bo wiemy lepiej, komu należy się kawał ziemi między słowiańskim, prawosławnym obszarem centralnych Bałkanów, a sunnickim obszarem nieco dalej, skrawkiem byłego imperium otomańskiego, zamieszkanym przez lud słowiańskim raczej nie będący?

Bo mamy w dupie decyzję ONZ, ustanawiającą wyraźnie protektorat a nie - bagatela - oddzielne państwo?

Bo są na świecie jeszcze jacyś prawosławni, którzy nas nie nienawidzą? No to teraz na pewno zaczną, bo zabrać im Kosowo, to tak jakby Polsce sieknąć Jasną Górę z Częstochową i kawałkiem ziemi - no powiedzmy tak do Ojcowa.

Bo obszar kulturowy muzułmański jest nam chwilowo bliższy z racji krótkoterminowych interesów USA?

Bo wolimy radosny step od jakichś tam klasztorów, miasteczek, dróg których nie wiedzieć czemu tyle nabudowali tam Serbowie?

Bo tak zajebiście dużo zawdzięczamy Albanii? Co przepraszam, radio Tirana?

Bo - co najlepsze - uznajemy prawo ludności do pokojowego samostanowienia? W kolejce już czeka Kraj Basków, Naddniestrze, Katalonia, Cypr turecki, inni, dopiero daleko, na samym końcu, po Kaszubach, Pomorzu, Śląsku i Łemkach - Czeczenia.

No dobra. Tak jak mówię to raczej emocje niż stuprocentowe argumenty.

Być może - i taką możliwość dopuszczam - z perspektywy długofalowego, strategicznego interesu Polski jest to uzasadnione.

Ale nich żadne dzieciaki ogłupione propagandą nie wmawiają mi że to jest sprawiedliwe. Sprawiedliwe to są bierki i niektóre gry planszowe.

Posted in bezpieczeństwo, polityka | 2 Comments »

remote integrity checker

Monday, September 18th, 2006

Problem:
Chcemy monitorować zdalnego hosta, tak aby uniknąć nieautoryzowanych zmian w filesystemie.

Rozwiązaniem jest oprogramowanie typu “system integrity checker”. najbardziej znany był chyba Tripwire, w tej chwili jest tego mnóstwo ale ja wybrałem AIDE.

Aby uniknąć dodatkowego ryzyka oraz umozliwić centralizację, program skanujący oraz jego bazy sygnatur przechowujemy na dedykowanym, bezpiecznym serwerze. Na skanowane hosty kopiujemy tylko na czas skanowania plik wykonywalny (zlinkowany statycznie aby uniknąć zatrutych bibliotek).

Oczywiście takie skanowanie nie jest doskonałe. Włamywacz mógł zatruć samo jądro nadpisując funkcje stat, fopen itd tak ze ukrywają wprowadzone przez niego zmiany.

Najlepiej utworzyć wzorcową bazę w momencie instalacji monitorowanego hosta, a potem cyklicznie ją porównywać z bieżącą. Zautoryzowane zmiany można potwierdzać poprzez commit (patrz skrypt aide.sh )

Instalacja krok po kroku

  1. Pobieramy AIDE i instalujemy lokalnie, np.

    ./configure --prefix=/usr && make
    su
    checkinstall || make install
  2. Na każdym monitorowanym (zdalnym) hoście musi być zainstalowane ssh oraz sudo.
  3. Ustawiamy sobie bezhasłowy dostęp do zdalnego hosta za pomocą ssh (autoryzacja za pomocą kluczy)
  4. Poprzez visudo dodajemy następującą linię:
    filip ALL = NOPASSWD: /var/tmp/aide
    Uwaga: mozna zmienić ścieżkę /var/tmp/ na inną, ale ze względu na ograniczenia sudo musi być ona bezwzględna, więc niestety ./ odpada.
  5. zakładamy lokalnie katalog aide, w którym będziemy trzymać wszystkie dane dotyczące hostów zdalnych
  6. umieszczamy w nim dla każdego monitorowanego hosta plik konfiguracyjny o nazwie aide_HOST.conf.
    # man aide.conf(5)
    database=stdin
    database_out=stdout
    report_url=stderr
    #
    /bin R
    /boot R
    /dev L
    /etc R
    /lib R
    /root R
    /sbin R
    /usr R
  7. umieszczamy w nim skrypt aide.sh
  8. chmod +x aide.sh
  9. Inicjalizujemy bazę sygnatur: ./aide.sh HOST init
  10. dopisujemy do swojego crontaba:
    0 6 * * * ( cd $HOME/aide && ./aide.sh HOST scan )
  11. należy upewnić się że odbieramy maile które wysyła do nas cron.

Posted in bezpieczeństwo, sieci, unix | No Comments »