در همایش لینوکس و برنامه نویسی و جشن انتشار اوبونتو 19.10 اراک با ارایه "چه خبر از ردهت؟" خبرهای تازه کمپانی ردهت رو بررسی میکنیم. همچنین ی خبر انگیزشی هم براتون دارم. در حاشیه این ارایه ی مسابقه با جایزه جالبی رو براتون در نظر گرفتم. پس تا دیر نشده برای حضور در این همایش ثبت نام رایگان کنید.
events.ubuntu.ir

کانال شیرازکلود: @shirazcloud

@shirazcloud

آشنایی با SELinux، قسمت اول: Security-Enhanced Linux یک کرنل ماژول امنیتی لینوکس است که با استفاده از کنترل دسترسی(AC) به امنیت سیستم شما کمک می کند. این ماژول برای اولین بار در سال 2000 توسط کمپانی Red Hat و NSA معرفی شد و از RHEL4 به عنوان یک ماژول اصلی در توزیع های ردهت ظهور کرد. یکی از مزایای این ماژول امنیتی بهره گیری از سیستم کنترل دسترسی اجباری یا MAC است که سیستم عامل را مجبور می کند "کاربر یا پردازه"(subject) برای انجام هر عملیاتی(action) روی منابع مانند "فایل، رسانه ها، سوکت و..."(object) بر اساس policy های تعریف شده، امکان انجام عملیات را داشته باشد یا عملیات رد شود. در این مدل هر موجودیتی در سیستم دارای یک type می باشد که بر اساس آن تصمیم گیری در مورد انجام عملیات صورت می پذیرد.

📝 سعید بستان دوست

کانال شیرازکلود: @shirazcloud

@shirazcloud

آشنایی با SELinux، قسمت دوم: در نگاه اول به نظر می رسد SELinux بسیار پیچیده باشد و به همین دلیل اکثر کاربران از آن فراری هستند و پس از نصب سیستم عامل آن را غیرفعال می کنند. این را بارها و بارها در تعداد زیادی سرور production مشاهده کردم! اما با درک عمیق این سیستم معجزه آسا خواهید دید چگونه به امنیت بیشتر سیستم شما کمک می کند. اگر به تصویر بالا توجه کنید، یک پردازه(subject) قصد دارد یک فایل(object) را بخواند(action=read)، در این فرآیند با توجه به فعال بودن لایه MAC درخواست خواندن به سرور امنیتی SELinux ارسال می شود و سرور امنیتی با توجه به پالیسی های موجود در دیتابیس تصمیم می گیرد که این عمل امکان پذیر است یا خیر. به صورت خلاصه سرور SELinux بررسی می کند که آیا subject امکان اجرای action روی object را دارد؟ و در صورت رد شدن درخواست، یک پیام عدم امکان دسترسی در cache ثبت می شود. در این سیستم، تصمیم گیری بر اساس security context مبدا(source-type) و هدف(target-type) صورت می گیرد که به مجموع این رول ها Type Enforcement یا TE گفته می شود.

📝 سعید بستان دوست

کانال شیرازکلود: @shirazcloud

@shirazcloud

همایش لینوکس و برنامه نویسی آزاد
جشن انتشار اوبونتو 19.10
9 آبان 1398، اراک
بازم دورهم جمع میشیم و از دنیای گنو/لینوکس و نرم افزار آزاد صحبت میکنیم.
ثبت نام رایگان: events.ubuntu.ir
کانال همایش: @ufest1910

کانال شیرازکلود: @shirazcloud

@shirazcloud

آسیب پذیری sudo، قسمت اول:
دو روز است که یک آسیب پذیری دور زدن(bypass) با شماره CVE-2019-14287 از پکیج sudo به صورت عمومی منتشر شده و در فضای مجازی بسیار سر و صدا به پا و برای خیلی ها استرس ایجاد کرد! مکانیزم این آسیب پذیری به این صورت است که اگر یک کاربر در sudoers تعریف شده باشد و بتواند تحت هر کاربری بجز root دستوری را اجرا کند با اعلام کاربر هدف با id=-1 یا id=4294967295 می تواند سیستم بررسی امکان دسترسی کاربر مبدا به کاربر هدف را دور زده و با دسترسی روت دستورات را اجرا نماید. علت این روند این است که اجرای فرمان sudo ابتدا با سطح روت اجرا شده و پس از تشخیص کاربر هدف، تغییر کاربری داده و دستور درخواست شده را اجرا می کند که در این نمونه با id های یاد شده این فرآیند دور زده شده و دستور با همان سطح root اجرا خواهد شد.

📝 سعید بستان دوست

کانال شیرازکلود: @shirazcloud

@shirazcloud

آسیب پذیری sudo، قسمت دوم:
از نظر منطقی با این bypass می توان به همه چیز دسترسی داشت! اما اگر کاربر مبدا(اجرا کننده sudo) در گروه های confined شده selinux قرار گرفته باشد، دسترسی به خیلی از بخش ها و فایل های مهم مثل shadow همچنان محدود است! پس اگر شرایط اولیه ایمنی سیستم رو از قبل رعایت کرده باشید جای نگرانی نیست و فقط کافیه sudo رو آپدیت کنید. در غیر اینصورت با فرآیندی فراتر از آپدیت sudo روبرو خواهید بود! جالبه خود گزارش کننده انقدر عجله داشته که یک سوتی هم در CVE داده:

myhost bob = (ALL, !root) /usr/bin/vi
جای bob و myhost رو اشتباه نوشته 😁

seclists.org/oss-sec/2019/q4/18

📝 سعید بستان دوست

کانال شیرازکلود: @shirazcloud

@shirazcloud

در مورد آسیب پذیری فوق تعدادی از دوستان در مورد جلوگیری از حمله در محیط هایی پرسیدن که یا توزیع قدیمی هست و امکان بروزرسانی با توجه به سرویس هایی که درحال ارایه دارن وجود نداره یا دسترسی به اینترنت محدود هست یا کلا ندارن! از این نمونه سرورها کم نداریم مخصوصا تو سازمانها! در این موارد حتما کاربران رو با selinux مدیریت کنید و از حساب unconfined_u خارج و عضو user_u کنید. هرچند این راه حل آسیب پذیری رو از بین نمیبره اما از هیچی بهتره.

📝 سعید بستان دوست

کانال شیرازکلود: @shirazcloud

@shirazcloud

همایش لینوکس و برنامه نویسی آزاد
جشن انتشار اوبونتو 19.10
9 آبان 1398، اراک
برنامه کارگاه امنیت و هاردنینگ لینوکس
ثبت نام رایگان: events.ubuntu.ir
کانال همایش: @ufest1910

کانال شیرازکلود: @shirazcloud

@shirazcloud

کارگاه امنیت و هاردنینگ لینوکس
جشن انتشار اوبونتو 19.10
دانشگاه اراک
یکی از بخش های این کارگاه مجموعه "امنیت لینوکس با سعید" بود که شامل 40 نکته مهم برای افزایش امنیت سیستم های گنو/لینوکس است. طبق قولی که بهتون دادم هرچه سریعتر این مجموعه رو منتشر خواهم کرد.

ویدیو نکته 1 تا 9 روی آپارات قرار گرفت:
aparat.com/v/3VYxZ

کانال شیرازکلود: @shirazcloud

@shirazcloud

در ادامه کارگاه "امنیت لینوکس با سعید" به بررسی نکاتی در مورد حساب های کاربری می پردازیم.

نکته 10 تا 17 روی آپارات قرار گرفت:
http://aparat.com/v/xEbyQ

توضیحی در مورد عکس:
به همراه حسین حیدری، جوان ترین سخنران و ارایه کننده در جشن اوبونتو 19.10، حسین از حرفه ای های گنو/لینوکس و از طلایه داران آینده نرم افزار آزاد هست. براش بهترین هارو آرزو دارم و امیدوارم پیشرفت و موفقیتش رو شاهد باشیم.

کانال شیرازکلود: @shirazcloud

@shirazcloud

در ادامه کارگاه "امنیت لینوکس با سعید" به بررسی نکاتی در مورد امنیت ساختار سلسله مراتبی فایل سیستم لینوکس، پارتیشن ها، فایل سیستم ها، فایل ها و دایرکتوری ها خواهیم پرداخت.

نکته 18 تا 22 روی آپارات قرار گرفت:
http://aparat.com/v/GEgY9

کانال شیرازکلود: @shirazcloud

@shirazcloud

امروز با چند قسمت دیگه از "کارگاه امنیت لینوکس با سعید" در کنارتون هستیم.

نکته 23 تا 29 روی آپارات قرار گرفت:
http://aparat.com/v/sTMHl

کانال شیرازکلود: @shirazcloud

@shirazcloud

در ادامه مجموعه کارگاه "امنیت لینوکس با سعید" به چند نکته کاربردی در شبکه می پردازیم.

نکته 30 تا 36 روی آپارات قرار گرفت:
http://aparat.com/v/qsVD8

کانال شیرازکلود: @shirazcloud

@shirazcloud

در این بخش از کارگاه "امنیت لینوکس با سعید" در مورد امنیت فیزیکی سیستم ها میگم و شاخص سختی یک سیستم امن شده با موارد گفته شده در این دوره رو خواهیم دید. چند نکته ای رو درباره این کارگاه خواهم گفت و پایان.

نکته 37 تا 40 روی آپارات قرار گرفت:
http://aparat.com/v/v2tfb

کانال شیرازکلود: @shirazcloud

@shirazcloud

راه اندازی و توزیع سرویس های وی پی ان و پراکسی ممنوع شد. به گزارش رسیده، شرکت های ارایه خدمات دیتاسنتری متعهد می شوند که کاربران آن ها از راه اندازی سرویس های وی پی ان و پراکسی خودداری نموده و در صورت مشاهده آن ها را مسدود و به مراجع ذیصلاح گزارش نمایند.
ادامه خبر در بی بی سی:
bbc.com/persian/iran-50531178

کانال شیرازکلود: @shirazcloud

@shirazcloud

📉 قطع اینترنت روزانه 2 میلیون دلار به استخراج کننده های بیت کوین ضرر زد!!! 📈
بر اساس پایش صورت گرفته توسط شیرازکلود در مراکز استخراج رمزارز بیت کوین به دلیل قطع اینترنت و عدم توانایی ارتباط با شبکه بیت کوین روزانه حداکثر 2 میلیون دلار به استخراج کننده های این رمزارز در کل کشور ضرر وارد شد. به گزارش تهیه شده از صاحبان چند مزرعه استخراج بیت کوین این اتفاق باعث شد که علاوه بر ضرر ناشی از عدم استخراج، ضرر های دیگری همچون هزینه های برق، کولینگ و نگهداری به مورد بیان شده اضافه شود. این در حالیست که برخی مزرعه ها سیستم یکپارچه برای مدیریت تمام ماینرها نداشته و برای خاموش کردن تمام دستگاه ها به زمان بیشتری نیاز دارند.

کانال شیرازکلود: @shirazcloud

@shirazcloud

🔋 هم افزایی1: چالش اینترنت
🔌 تقریبا در کمتر از دو ساعت بعد از قطع شدن اینترنت به طور کامل و محدود شدن دسترسی به شبکه ملی، دسترسی خودمون رو به اینترنت آزاد بدست آوردیم و طی این چند روز 15 سناریو عملی بجز VPN و Proxy را آزمودیم که نتایج بسیار مثبت و امیدوار کننده ای داشت و این تضمین وجود داره که حتی با اعمال محدودیت های شدیدتر بازهم راهی برای دسترسی خواهیم داشت!
❓ شما چه راه حل هایی رو به کار بردید؟
طرح و راه حل هاتون رو در این هم افزایی با ما به اشتراک بگذارید و در صورت تمایل به نام خودتون در کانال منتشر خواهیم کرد.
سناریوتون رو در یک داکیومنت بنویسید و به @ssbostan بفرستید. به بهترین طرح که راحتتر، کم هزینه تر، سریعتر عملیاتی بشه مبلغ 0.2 رمزارز Monero از طرف شیرازکلود هدیه داده میشه.

کانال شیرازکلود: @shirazcloud

@shirazcloud

امروز 30 نوامبر روز جهانی امنیت سیستم های کامپیوتری هست. پیشینه این روز به سال 1988 زمانی که در 2 نوامبر Morris Worm به عنوان اولین کرم شناخته شده دنیای کامپیوتر 10درصد از سیستم های کامپیوتری متصل به ARPANET رو دان کرد برمیگرده و در نهایت پس از کلی تحقیق و بررسی و شناسایی این کرم تصمیم گرفتند روزی رو جهت بازبینی موارد امنیتی سیستم های کامپیوتری در نظر بگیرند. امروز همون روزه...
سیستم هاتون رو از نظر امنیتی بررسی کنید!
ما که گنو/لینوکسی هستیم کارگاه "امنیت لینوکس با سعید" رو به شما پیشنهاد میدیم:
http://aparat.com/v/3VYxZ

کانال شیرازکلود: @shirazcloud

@shirazcloud

چه دوره ای رو روی آپارات منتشر کنیم؟
anonymous poll

ادامه کارگاه امنیت لینوکس با سعید – 43
👍👍👍👍👍👍👍 50%

کارگاه استورج لینوکس با سعید – 16
👍👍👍 19%

کارگاه مجازی سازی لینوکس با سعید – 14
👍👍 16%

کارگاه فایروال لینوکس با سعید – 13
👍👍 15%

👥 86 people voted so far.

یادش بخیر...
حدود هشت سال پیش...
جوانتر بودم و شور و اشتیاق برنامه نویسیم خیلی بیشتر از امروز بود. علاقه زیادی به توسعه سیستم عامل داشتم و تصمیم گرفتم برای یادگیری بهتر یک سیستم عامل رو از پایه بنویسم. تابستان اون سال استارت پروژه ZagrOS رو زدم و با اسمبلی شروع به کد زدن کردم، یادمه اوایل خیلی سخت بود که مطالب تئوری کتب تننبام و استالینگز رو به کد تبدیل کنم اما کم کم بازی دستم اومد. یکی از موارد خیلی سخت دیباگ کردن سیستم عامل بود! آخه وقتی خود سیستم عامل رو ی تیکه آهن اجرا شده کسی نیست که ببینه چیکار میکنه و کجای کار اشکال داره و دیباگری هم که وجود نداره تا با ماشین Bochs آشنا شدم و تونستم با gdb ماشین اجرا شده توسط اون رو دیباگ کنم. بعضی روزا 18 ساعت یکسره پای سیستم بودم، مطالعه میکردم، کد میزدم، تست میکردم، شکست میخوردم و در نهایت نتیجه میگرفتم. تو ی جشنواره دانشجویی هم شرکت کردم و با تاسف بسیار به دلیل عدم دانش مسولین و داوران حتی ی ماشین حساب رتبه اورد ولی این سیستم عامل کوچک من نه.
و شکست. سکوت. پایان.

امروز کل پروژه رو آپلود کردم:

github.com/ssbostan/ZagrOS

کانال شیرازکلود: @shirazcloud

@shirazcloud