Se vi ricordate, uno dei problemi principali era il fatto di non poter concedere attraverso sudo tutti i privilegi di root, perchè il super user poteva disabilitare le protezioni SE-Linux tramite il comando setenforce oppure disabilitare l’audit tramite il comando auditctl.

Dopo alcune prove, ho scoperto che posso proteggere auditctl e setenforce in una maniera analoga a come avevo protetto la directory dei documenti /documents, ovvero l’uso degli stessi MLS. Nel mio caso, ho creato un secondo livello MLS che ho chiamato Serights e l’ho inserito in /etc/selinux/targeted/setrans.conf:

s0:c4=Serights

Poi, tramite chcat, ho protetto i due comandi:

chcat +Serights /usr/sbin/setenforce

chcat +Serights /sbin/auditctl

Ho reso permanenti questi files ad un relabel inserendo nel file “docsecret.fc” le seguenti righe:

/usr/sbin/setenforce        gen_context(system_u:object_r:sbin_t,s0,c4)

/sbin/auditctl              gen_context(system_u:object_r:auditctl_exec_t,s0,c4)

Ho poi permesso ad un utente, es: l’utente secofr (=security officer), di poter abilitare/disabilitare selinux con:

chcat -l +Serights secofr

Ovviamente, sempre da quello descritto nel paper, l’utente secofr è stato aggiunto nel gruppo wheel. In questo modo solo collegandosi come secofr e poi facendo “su -” si potrà disabilitare selinux, oppure collegandosi a root da console.
Tanto per essere un po’ piu’ paranoici …

Tratto dall’esperienza di un caso reale, il documento descrive come proteggere alcuni files sensibili (nel caso in questione dei PDF) da accessi non autorizzati utilizzando i sistemi ad accesso mandatorio (MAC) tipicamente utilizzati in ambienti militari.

La particolarità di questo documento è la metodolgia utilizzata in quanto i sistemi MAC sono tipicamente difficili da amministrare. Sono riuscito a trovare una formula per coniugare la necessità di riservatezza di files, proteggendoli anche dalle utenze di amministrazione, senza però introdurre troppe complicazioni di gestione. Un sistema protetto da SE-Linux è molto difficile da amministrare, ed è raro trovare competenze in questo ambito, ad esempio io sono l’unico in Europa per Red Hat. Attraverso la personalizzazione di SE-Linux e di alcune configurazioni del sistema operativo, sono riuscito ad ottenere un ottimo compromesso tra sicurezza/riservatezza e gestione.

Potete scaricarlo gratuitamente dalla sezione pubblicazioni. L’annuncio ufficiale con la press release è disponibile qui.

Buona lettura e buone vacanze a tutti!

Dice che è perche -con me- c’è un “alieno” in casa: tutto nasce da quando -più di un anno fa- ho cominciato a fare gli esperimenti con VoIP e facevo le telefonate provando audio feedback e codecs. In quel momento mi ha chiesto se cercavo gli alieni …. e allora me ne ha portato uno! Subito è diventata la mia mascotte!! Lo chiamo affettuosamente “Ciao Mondo” (ovvero “hello world”), perchè nelle varie telefonate VoIP rispondeva la voce di Asterisk con “Ciao Mondo”.

Ho lavorato a questo progetto per quasi un anno, in cui ho studiato interamente l’architettura, la realizzazione, lo stress test e la messa in opera del back-end della centrale telefonica, sia sul sito di test/integrazione che portandola in produzione a Roma.

Si tratta di un’architettura LDAP ad altissime prestazioni acceduta da due principali “blocchi”: da un lato il customer care che carica le utenze telefoniche, dall’altro la Internet Station che si registra alla centrale telefonica via degli SBCs e va a richiedere le autorizzazioni e le informazioni sui sistemi LDAP. L’architettura è capace di reggere 22.000 queries al secondo con un average service time di 14ms a singola richiesta.

La foto a lato è stata scattata il giorno della messa in esercizio della piattaforma VoIP di Vodafone nel sito di Roma, con Arialdo e Domenico.

Potete scaricare le slides qui, oppure scaricare le slides con le note qui. In alternativa, sono disponibili nella pagina Pubblicazioni, nella sezione “Presentazioni ed interviste”

L’incontro fissato per il 13 Giugno verrà cancellato a causa dell’esiguo numero di persone, ma sono ben lieto di partecipare a vostri incontri e discuterne insieme i contenuti.

Prendendo spunto dal recente rilascio del Red Hat Certificate System, abbiamo rivolto qualche domanda a Giuseppe Paternò (Gippa) architetto senior e referente sicurezza Emea di Red Hat sulle novità del “cappello rosso”: Project Dogtag e FreeIPA

L’intervista completa è disponibile qui.

Ho completato i test sulle smartcard riuscendo a fare logon sul sistema con una smartcard e usando VPN, Mail e Web. Visto le crescenti esigenze di sicurezza delle aziende che curo, sentivo la necessità di capire la maturità del mercato ed esplorare le tecnologie attualmente disponibili. Sto attualmente rielaborando i risultati della ricerca e appena posso pubblicherò un whitepaper.

http://f6fvy.free.fr/qthLocator/fullScreen.php