Tag: centos

I contesti (context) in Selinux

Lascia un commento

Una parte fondamentale di SELinux è la comprensione e l’utilizzo dei contesti di SELinux. Tutto, sul tuo sistema, contiene un contesto (context) e questi sono usati per determinare quali utenti, applicazioni e servizi hanno accesso a quali file, directory e applicazioni. Anche senza la comprensione della creazione di una politica dettagliata, la maggior parte degli utenti di SELinux possono gestire i loro sistemi attraverso l’uso e l’alterazione dei contexts.

Ci sono tre tipi di context in SELinux, che sono spiegati meglio visualizzando le autorizzazioni SELinux su un file. Per visualizzare il contesto SELinux di una directory, utilizzare il comando ls con un flag -Z. Questo è per la directory /var/www/:

Continua a leggere

La scelta implementativa di SE-linux

Ho voluto realizzare un compromesso tra sicurezza e manutenibilità del sistema. Nei sistemi di derivazione Red Hat, ovvero Fedora, CentOS e Red Hat Enterprise Linux, esistono due tipologie di policy preconfezionate disponibili con la distribuzione: la targeted e la strict. La modalità targeted ha il compito di proteggere e confinare i daemons, lasciando aperto tutto quello che non è esplicitamente confinato (quello che non è esplicitamente confinato è chiamato anche unconfined_t). Nella modalità strict ogni singolo programma e ogni singolo “ambiente” è confinato, dovendo impostare delle regole di abilitazione (si chiamano domain transition).

Sono stato combattuto tra quale delle due modalità utilizzare: sicuramente la prima è più facile da gestire, ma ha dei problemi a “confinare” i system administrators, mentre la seconda offre una sicurezza senza dubbio maggiore a livello militare, ma necessita di una preparazione sistemistica notevole, che normalmente operatori non hanno. Continua a leggere

Antispam con Postfix

postfixSappiamo tutti che lo spam è un problema significativo nei server di posta. Io, come tutti gli amministratori di sistema, modifichiamo giornalmente le configurazioni per contribuire a fermare il flusso di nuove varianti di SPAM. Anche se la nostra infrastruttura prevede Antispam, Professionali o no che siano, ci troviamo in ogni caso ad effettuare tuning manuale per garantire che l’utente finale non riceva mail che possano infastidire il suo operato. Online esistono milioni di guide per implementare prodotti tipo Spamassassin o equivalenti, in questa guida vedremo come utilizzare l’RBL di postfix per prevenire la minaccia prima che l’antispam scansioni il messaggio.

Continua a leggere

1 2