security

14 maart 2018

Redhat praat over Ansible

Door Marc in Algemeen Tag ansible, automation, automation tool, open source, opensource, puppet, redhat, security

Wat is Ansible

Ansible is een automation tool, een tool dus waarmee je je beheer van je (cloud)servers maar ook fysieke servers op zowel Windows als Linux kan beheren en bijv. applicaties kan installeren. Het werkt zonder agent, dat doet bijv. een andere automation tool zoals Puppet wel. Ansible werkt in principe door het opzetten van een SSH verbinding, voert uit wat het uit moet voeren en verbreekt de verbinding weer. Ansible is OpenSource.

Toepassingen

Ansible kent vele toepassingen, zo kan je er dus bestaande servers in een eigen datacenter en/of in de cloud mee beheren maar ook kan Ansible gebruikt worden om netwerkapparatuur mee te configureren of bepaalde policies gepushed worden. Denk bijv. aan een ACL waarmee toegang geregeld wordt vanaf een beheersLAN.

Playbook

Alles in Anslble draait om zgn. playbooks. Stukken Ansible code waarmee bepaalde zaken worden geregeld. Tijdens de RedHat meeting in Bussum van 14-03-2018 werd uitgelegd hoe belangrijk naamgeving kan zijn. Gebruik bijv. niet "installatie server" maar "Installatie en starten Apache webserver". Als er dan iets mis gaat weet je tenminste in welk playbook het mis gaat en waar. Klinkt simpel maar het zijn vaak dit soort kleine dingen die je in je enthousiasme over het hoofd ziet. Dat je niet zelf het wiel hoeft uit te vinden, klinkt ook nogal logisch en met een git repo (galaxy) van zo'n 15.000 vrij beschikbare playbooks en modules hoeft dat ook niet. Even een bestaand voorbeeld aanpassen is een stuk makkelijker en sneller dan zelf allerlei code en modules bij elkaar rapen.

Een voorbeeldje van een task binnen een playbook:

--

# This task installs and enables apache on webservers
- name: ensure apache is installed
yum: pkg=httpd state=latest
- name: ensure apache is running
service: name=httpd state=running enabled=yes
- name: copy files to document root
copy: src=cloud.png dest=/var/www/html/cloud.png
- name: copy application code to document root
template: src=index.html.j2 dest=/var/www/html/index.html
notify: restart apache

Security

Het begint ein-de-lijk ook bij het bedrijfsleven en overheid door te dringen dat security (app, server, netwerk enz.) niet meer het ondergeschoven kindje kan zijn maar volle aandacht verdiend. Zo kan Ansible worden ingezet om periodiek root-wachtwoorden te wijzigen, security policies te implementeren en als zo'n policy in bijv. in een test omgevinging werkt dan kan dat gemakkelijk naar productie worden doorgezet.

9 april 2014

WordPress komt met belangrijke update

Door Marc in Algemeen, Veiligheid Tag patch, security, update, veiligheid, wordpress

Voor eigenaren van WordPress websites is er een belangrijke update uitgebracht, versie 3.8.2. In deze update zijn een aantal kritieke veiligheidslekken opgelost. Ook LinuxPro maakt gebruik van dit populaire CMS (Content Management Systeem) en is inmiddels geupdate.

Er zijn problemen met pingback, SQL injectie en cross domain scripting opgelost. Meer details

5 december 2013

Two way authorisatie voor SSH

Door Marc in Security Tag authentication, authorisatie, factor, google authenticator, security, ssh, two, two-factor

Google heeft de google-authenticator beschikbaar gesteld. Hiermee kan niet alleen voor Google’s eigen diensten maar ook voor je eigen server twee weg authenticatie ofwel two-way authentication geactiveerd worden. Dit gaat erg eenvoudig maar de toegevoegde security is aanzienlijk. Op je smartfone dien je gratis google-authenticator app te installeren. Die is er voor oa. IOS en Android.

Download of installeer het google-authenticator package (beschikbaar in de epel repository voor RedHat/CentOS ed). Draai als gebruiker waarvoor de two way authenticatie geactiveerd moet worden google-authenticator.

Na een paar vragen wordt een QR code getoond en deze scan je m.b.v. de Google Authenticator APP in.

Configuratie PAM

In /etc/pam.d voeg aan sshd de volgende regel toe aan het einde toe:

    auth required pam_google_authenticator.so

Configuratie SSH daemon

In /etc/ssh/sshd_config moet de volgende regel komen te staan:

    ChallengeResponseAuthentication yes

Hierna moet de ssh daemon worden herstart: systemctl restart sshd

Hierna zal de gebruiker die in wil loggen middels SSH en waar Google Authenticator voor is geconfigureerd eerst de vraag voor zijn password en daarna voor zijn Verification Code. Dit is het getal wat getoond wordt voor de betreffende host in de APP.

   ssh marcw@hyena.linuxpro.nl
   Password: 
   Verification code: 
   
   Last login: .... from xx.xx.xx.xxx
   [marcw@hyena ~]$

Tag op security