Це третя стаття з циклу

І сьогодні вона потрапила в потік «Адміністрування». Сьогодні ми не будемо писати модулі або налаштовувати RBAC, а підемо по шляху найменшого опору і просто захарденим звичайний LAMP-сервер за допомогою готової політики, включивши необхідні налаштування.
Якщо хто забув, за аббривиатурой LAMP ховається Linux, Apache, Mysql, PHP, тобто це велика частина всіх VDS, які купують люди для зберігання своїх особистих блогів. Сподіваюся, що це допоможе їм стати трохи безпечніше :)

Читати далі →

Це друга стаття з циклу

Сьогодні ми поговоримо про SELinux-користувачів, їх створенні, прив'язці, прав і іншим речам.
Навіщо це робити? Є багато причин. Для мене головною причиною було видати доступ для техпідтримки для рутинних операцій ( таких як ребут, чистка логів, діагностика ітд ), але без доступу до критичним даними і зміни системних функцій.

Припущення
У тексті буде міститися багато технічної інформації, тому автор припускає, що читач:
  • Прочитав минулу статтю
  • Має під рукою CentOS 7
  • На якому встановлені пакети setools-console, policycoreutils-devel, selinux-policy-devel, policycoreutils-newrole
  • І включений SELinux в режимі enforcing з політикою targeted або minimum
Це все про вас? Тоді поїхали!
Читати далі →

Розробка SELinux-модуля для програми

Давним-давно, у далекій-далекій країні
… державна служба NSA розробила систему безпеки для ядра і оточення Linux, і назвала її SELinux. І з тих пір люди розділилися на дві категорії: disabled/permissive і enforcing. Сьогодні я покажу вам шлях Сили і переведу на іншу сторону всіх бажаючих.

Припущення
У тексті буде міститися багато технічної інформації, тому автор припускає, що читач:

  • Має якесь додаток (демон), який має працювати з SELinux
  • Переглянув різницю між DAC, MAC і RBAC
  • Знайомий з адмініструванням Linux
  • щось читав про SELinux і може розшифрувати user_u:user_r:user_home_t:s0
  • Має під рукою CentOS 7
  • На якому встановлені пакети setools-console, policycoreutils-devel, selinux-policy-devel
  • І включений SELinux в режимі permissive з політикою targeted або minimum
Це все про вас? Тоді поїхали!
Читати далі →

Як я читав показання датчиків через SNMP (Python+AgentX+systemd+Raspberry Pi) і спорудив ще одну мониторилку

Всім привіт.

image

Ліричний відступСтаття лежить в чернетках вже пару тижнів, бо не було часу таки допилити описуваний об'єкт. Але під натиском товаришів, які своїми статтями вже покрили половину того, що я хотів сказати, вирішив піти за принципом «release fast, release early, release crap» опублікувати те, що є. Тим більше, що розробка на 80% закінчена.
З моменту публікації статті про «В міру Універсальний Пристрій Управління» минуло чимало часу (а якщо бути точним, більше року). Чимало, але недостатньо, щоб я таки написав нормальну програмну начинку для цього пристрою. Адже не для краси ж воно є — воно повинно збирати дані з датчиків і робити так, щоб ці дані виявлялися в системі моніторингу (в моєму випадку Zabbix)

Читати далі →

Як змусити працювати Galaxy S4 з магнітолою Pioneer. Перемикання selinux в permissive

Рік тому я став щасливим власником магнітоли Pioneer SPH-DA100 AppRadio 2.
 
 image
 
Купувалася магнітола спочатку з метою підключити смартфон, бо хотілося цивілізовано реалізувати навігатор з пробками, програвання музики з телефону і т.д. Але головною метою звичайно Яндекс.Навігатор. У той час я був щасливим володарем Samsung Galaxy S3 I9300. Звичайно постачається за від піонер відразу вирушило в сміттєву корзину і був знайдений відмінний продукт ARLiberator . Ця програмка шикарно дозволяє керувати телефоном з магнітоли, відображаючи на собі повноцінний екран телефону. До неї в в'язку був доданий ScreenStandby , для того щоб не розряджався телефон. До цього був доданий mhl адаптер від Samsung Galaxy S4.
 
Читати далі →