Trusted Path Execution - TPE

Il meccanisco del trusted path è uno standard di sicurezza a livello di sistema operativo. Tecnicamente il trusted path permette a un utente di accedere a un software considerato sicuro senza compromettere altri processi o utente e facendo in modo che il software funzioni come ci si aspetti e in modo corretto. Con questa tecnica si impedisce quindi l'esecuzione di codice arbitrario da parte di qualsiasi utente.

Tutto questo si chiama Trusted Path Execution, disponibile per Linux e per i sistemi UNIX in generale.

Il Trusted Path Execution si basa essenzialmente su tre fattori: Trusted Path, Trusted ACL, Rules.

Trusted Path è il percorso sicuro, così com'è chiamato; la directory padre deve essere di root e non avere permessi in scrittura per gruppo e tutti.

Trusted ACL è semplicemente la lista di utenti considerati sicuri

Rule è esattamente la regola che decide se un file con permessi di esecuzione può essere eseguito in base al percorso e all'ACL.

Il LIDS - Linux Intrusion Detection System è una versione avanzata del concetto di Trusted Path Execution. Infatti tecnicamente il TPE non protegge nativamente da attacchi con LD_PRELOAD/LD_LIBRARY_PATH e attacchi del tipo '/lib/ld-linux.so.X ' e questa grave limitazione può comunque mettere seriamente a rischio un sistema. Il LIDS invece protegge anche dalle esecuzione delle librerie, quindi in questo senso risulta decisamente più sicuro.

Comunque, usare un sistema TPE o LIDS può avere le sue controindicazioni. Ad esempio applicazioni che cercano di scrivere nella /tmp ed eseguire il codice scritto non funzioneranno. Inoltre, è meglio non usarlo su un ambiente di sviluppo. LIDS infatti applicherebbe troppe limitazioni al sistema.

Tuning apache2 + php4

Una cosa che sta a cuore a molti è il tuning di un webserver con apache2 e php4. Spesso si pensa che il tuning sia sempre colpa e compito di un sistemista, ma a mio parere forse è il caso di partire dalle applicazioni. Puoi avere il server più veloce e performante de mondo, ma se hai delle applicazioni scritte male non c'è molto da fare.

Io ho letto questo ottimo HOWTO su PHPLens.

Ora sto anche cercando di testare Apache2 con mpm-worker e php4 in versione multithreaded. Vediamo come si combinano...

Sicurezza? Una nuova chimera...

Da tempo c'è attiva la categoria sicurezza sul mio blog e io in effetti mi scontro col problema della security (sia essa di un sistema, un server, un applicazione) quasi quotidianamento. Ammetto che ormai tutti parlano di sicurezza, o security che fa più scena, ma in realtà ben poche persone sanno a cosa si riferisco, e il problema della security è tutt'altro che sentito all'interno delle imprese. Di sicurezza infatti si sarebbe dovuto parlare da sempre, o almeno da diversi anni, ma in realtà in molte aziende, anche grandi, ci si sta avvicinando lentamente adesso. Ma cosa significa sicurezza?

Wikipedia, alla voce Sicurezza Informatica scrive:

La Sicurezza informatica è quella branca dell'informatica che si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati. I principali aspetti di protezione del dato sono la confidenzialità, l'integrità e la disponibilità.

E poi prosegue:

La protezione dagli attacchi informatici viene ottenuta agendo su più livelli: innanzitutto a livello fisico e materiale, ponendo i server in luoghi il più possibile sicuri, dotati di sorveglianza e/o di controllo degli accessi; anche se questo accorgimento fa parte della sicurezza normale e non della "sicurezza informatica" è sempre il caso di far notare come spesso il fatto di adottare le tecniche più sofisticate generi un falso senso di sicurezza che può portare a trascurare quelle semplici. Il secondo livello è normalmente quello logico che prevede l'autenticazione e l'autorizzazione di un entità che rappresenta l'utente nel sistema. Successivamente al processo di autenticazione, le operazioni effettuate dall'utente sono tracciate in file di log. Questo processo di monitoraggio delle attività è detto audit o accountability.

Sul proseguimento sono d'accordo, ma ci si pone una domanda: esiste la sicurezza?

Penso di no. La sicurezza è una forma alla quale si può tendere, alla quale si può aspirare, ma che non è di fatto raggiungibile. La perfezione, a parte quelle della natura, è un'aspirazione (qui entriamo nel campo filosofico). Chi definisce le proprie macchine sicure è un pazzo. Diciamo che possono essere sicure al 99,999%, un po' come si definisce la garanzia della banda in uno SLA di connettività, ma non definiamo niente sicuro. A mio avviso, una qualsiasi macchina accesa è di fatto insicura. Se poi è collegata in internet ancora di più. Casomai, la sicurezza, o perlomeno la tutela dalle invasioni esterne, la si acquista con i dati contenuti su un sistema. Un sistema che non interessa a nessuno è di fatto più sicuro, poichè non c'è nessuno che ha intenzione di violarlo; come il principio di domanda - offerta. Se non c'è domanda, l'offerta non serve a niente.

Trenitalia - "Siamo sull'orlo del fallimento"

Ahia, marca male:

Il vertice delle Ferrovie lancia l'allarme "Siamo sull'orlo del fallimento"

Io vorrei sapere, in tutta onestà, quanto comunque abbiamo contribuito noi italiani a questo fallimento. Contribuito lamentandoci delle ferrovie, chiedendo più treni e servizi e non usandoli, rovinando e imbrattando i treni, lamentandoci sempre dei prezzi (si questa è cattiva, è vero che bisogna avere un ottimo servizio per giustificare dei prezzi alti, ma è anche vero che bisogna avere innumerevoli risorse finanziare per dare un ottimo servizio...e per chi ha usato il treno all'estero, sa che in Italia non sono per niente cari)....

Speriamo bene...

E alla fine...

E alla fine ho reinstallato HP OpenView Network Node Manager... eh si. Beh devo dire, BMC Visualis ha di bello il disegno 3d delle reti, ma tecnicamente, HP OpenView è molto più avanzato, forse esteticamente più brutto, ma si sa, questi software non badano certo al fattore estetico. Se avrò la possibilità darò un buon occhio al modulo Extended Topology che è in grado facilmente di mappare le rotte utilizzando il protocolo OSPF.

La neutralità della rete - Come?

Sia Quintarelli che Alfonso Fuggetta hanno parlato in questi giorni della Neutralità della rete e dei costi. Ma rete potrebbe o dovrebbe essere neutrale?

Il mio è un parere facile e poco filosofico. Si la rete deve essere neutrale e i suoi costi di accesso devono essere in grado di sopperire banalmente lo sviluppo e il mantenimento della rete stessa. Un po' come nel piccolo fa a Milano il MIX o gli altri punti neutrali di internet. Cosa si paga al mix? Banalmente il costo che il MIX sostiene per garantire la massima efficienza della propria infrastruttura. Cosa di da il MIX? La possibilità di interconnetterti nello stesso posto con tutti i provider che tramite apparecchiature proprie o tramite il proprio network raggiungono il MIX. Ovviamente il mix da sempre la massima affidabilità e disponibilità ai propri clienti.

Ora, nel campo di una rete telematica nazionale la cosa è più difficile da gestire. Il principio filosofico dovrebbe essere che la rete deve ovviamente essere in grado di supportare un carico enorme e di essere all'avanguardia con la tecnologia (cosa che non penso si possa dire attualmente della nostra rete telefonica nazionale). Come avanzava qualcuno sul blog di Quintarelli bisognerebbe anche stabilire il livello di servizio, il QoS potrebbe essere utile, ma forse non efficacie, e poi cosa e come privilegiare e discriminare.

Ci sono troppi concetti e troppe matasse da dipanare e poi, in Italia, la cosa assumerebbe solo una mera rilevanza pseudo politica e come quasi tutto, la rete si troverebbe in uno stato peggiore forse di quella di Telecom e costringerebbe gli operatori a crearsi (come in parte avviene adesso fintanto e findove è possibile) una propria rete.

In pratica, giusta o sbagliata che sia, la rete neutrale, la rete di tutti, è pura utopia (fa rima!)

Enterprise DB

Un sostituto per Oracle Database, che spero abbia un buon futuro. Enterprise DB nasce dalle ceneri di PostgreSQL, si può dire che sia il successore. Multipiattaforma, si annuncia come compatibile quasi totalmente con Oracle.

Io ero curioso. L'ho installato su una zona di solaris (solaris zones) e ho provato ovviamente la versione Sparc 64bit. Sono stato obbligato a installare le libgcc e le libiconv che sono scaricabili facilmente dal sito di SunFreeware. L'installazione è durata qualcosa come 40 secondi, solo il tempo di risponde a poche domande. Una volta installato viene eseguito da solo e lo stesso install crea lo script shell per lo startup automatico.

Non ho avuto modo di testare le prestazioni e la sua funzionalità. Lo farò a breve. Facendo un rapido 'ps -ef' è comunque leggerissimo... chissà se a oracle dispiace!

Che giornata...

Oggi è stata una giornata formalmente piatta. I guadagni hanno annullato le perdite, nulla più. Già la giornata era iniziata male per pregressi problemi mentali dell'altro ieri, il pc in ufficio ha iniziato a farmi scherzi con BlackIce Firewall di Internet Security Systems che aveva deciso di impallarsi e ancora peggio di essere refrattario a qualsiasi tipo di remove e repair. L'unica è stata scaricare il removal tool sul sito di ISS e lanciarlo per rimuovere brutalmente file e cartelle, peccato che si sia perso il bastardissimo processo RpaPP.exe che ogni volta che runnavo una applicazione chiedeva cosa dovessi farci!

La borsa è stata un bagno di sangue. Fastweb perde...speriamo sia solo l'azzeramento dell'alta fase di ipercomprato dei giorni scorsi, uno storno propedeutico diremmo. Vediamo cosa accade verso il 13 quando verrà pubblicata la trimestrale. HP l'ho chiusa, venduta l'altro giorno con un gain positivo di 350,00 USD. Oggi ho cercato l'america di nuovo con HP nuovamente ma ho chiuso subito con un loss di 50 USD. Ieri stavo meditando su questa società farmaceutica al centro dell'attenzione USA per il vaccino contro l'aviaria che ora è allo studio del CDC (Center for Desease Control) però non so. Ho individuato, forse data la mia non lunghissima teoria in analisi tecnica, una resistenza a 4,50 euro e il trend in lenta ascesa all'interno di un ventaglio di Gann. Ora teoricamente oggi dovrebbe chiudere in ribasso poi rimbalzare sul supporto e salire nuovamente domani...vedremo...

I guadagni li ho avuti con BMC. Sono finalmente riuscito a fare partire l'installazione di BMC Event Manager e di BMC Impact Manager. Domani proseguo e valutermo com'è questo software. Di BMC per ora l'unica cosa che ho capito è che hanno un ventaglio enorme di prodotti, sulla carta, sulla pratica parlimo di pochi CD e di prodotti che devono obbligatoriamente essere installati insieme e che poi tanto trovi nello stesso CD. Vedremo domani...