Hardening Linuxa pracującego na VMWare - problemy

2011-04-04 12:12

Wirtualizacja jest dobrym sposobem na redukcję kosztów i wygodę w zarządzaniu farmą serwerów - jednak czasami potrafi przysporzyć więcej problemów niż by się to mogło wydawać.

Najlepszym tego przykładem jest próba uruchomienia linuksowego kernela z zainstalowanymi patchami grsecurity. Objawy są dość ciekawe i raczej niespotykane jak na

awarie zdarzające się w kernelu - w momencie przekazywania kontroli do kernela przez bootloader, wirtualny komputer restartuje się, zanim jądro systemu zdoła wyświetlić jakikolwiek komunikat.

Pierwszy powód takiego zachowania może wynikać z błędnie skonfigurowanego kernela - np. ustawienie przed kompilacją niewłaściwej architektury procesora. Niestety problem leży najczęściej w samym patchu grsecurity. Rozwiązań problemu może być kilka:

  1. Nie używać grsecurity - to raczej nie wchodzi w rachubę :)
  2. Spróbować wyłączyć w kernelu opcję CONFIG_PAX_KERNEXEC oraz CONFIG_PAX_MEMORY_UDEREF - system najczęściej powinien ruszyć kosztem mniejszego bezpieczeństwa
  3. Poczekać kilka dni na patcha lub kolejną wersję grsecurity - developerzy niemal codziennie wypuszczają nowe wersje i szybko reagują na zgłoszenia błędów. Warto także spróbować innej wersji (stabilnej lub testowej - zależności od tego jaką używamy obecnie).

Warto wspomnieć, iż podobne problemy spotykają również inne hypervisory - VMWare nie jest tutaj odosobniony, ale ze względu na popularność są duże szanse, iż poprawki pojawią się szybciej niż np. w przypadku VirtualBoxa.

Blog

MS SQL Server 2005 Extended Support kończy się 12 kwietnia

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć ...

2016-03-01 09:00, Czytaj więcej Więcej
Kiedy Flash wyginie?

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część ...

2016-02-11 16:45, Czytaj więcej Więcej
Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane ...

2016-02-01 09:30, Czytaj więcej Więcej
Microsoft ogranicza wsparcie IE tylko do wersji 11

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub ...

2016-01-13 09:00, Czytaj więcej Więcej
SafeNet Day: Szyfrowanie w chmurze - prezentacja

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

2015-10-31 10:00, Czytaj więcej Więcej