LinuxAlt 2013 – den první

Přináším přehled zajímavých přednášek z prvního dne letošního ročníku konference LinuxAlt konané tradičně na FIT VUT v Brně. Nečekejte kompletní záznam celého dne, ale spíše postřehy a upoutávky na to, co jste prošvihli.

Cloud je bezpečný a basta

Cloud je sice čím dál častěji omílané téma, ale jeho bezpečností se příliš mnoho diskusí nezabývá. To se rozhodla napravit první přednáška dnešního dne od Petra Ferschmanna.

Nejdříve jsme si shrnuli, co je to vlastně cloud a proč je lepší hacknout cloud namísto běžného systému jedné společnosti.

Shrnutí rizik cloudu:

  • Bezpečnostní služby a soudy, které si mohou vyžádat data. Vy je musíte vydat a nesmíte o tom mluvit.
  • Uživatelé a jejich slabá hesla.
  • Cesta od klienta ke cloudu je šifrovaná jen do určitého místa, ale v cloudu samotném už často šifrovaná není kvůli rychlosti přenosu dat. To může být problém v případě přenosu informací mezi lokacemi.
  • Cloud není 100% bezpečný z hlediska dostupnosti. Ani u Amazonu.
  • Zaměstnanci zaviní největší procento úniků informací.
  • DDoS útoky proti kterým neexistuje obrana a jsou u cloudu populárnější díky rozsahu škod.

Možnosti řešení:

  • Jednorázová hesla pomocí tokenu, který hesla generuje pomocí náhodného algoritmu.
  • Na mobilních zařízeních autorizovat přístup aktivací zařízení a neudržovat citlivé informace v paměti zbytečně dlouho.
  • Šifrování při ověřování, ale ne pomocí certifikačních autorit, které už nejednou selhaly, nýbrž pomocí certifikátu vloženého do DNS, který je centralizovaný.
  • Mít cloud složený z více lokací.
  • Nedávat zaměstnancům přístup k datům. Při problému si pak data nechat poskytnout od uživatele a po jejich použití je smazat.
  • Nikdo by neměl mít přístup všude.
  • Šifrování všech přenosů dat a disků s citlivými daty.

Zajímavosti

  • Na Slovensku nesmíte vyvážet osobní informace do zahraničí.
  • U certifikací ISO je snazší jít s proudem. Například musíte kontrolovat měřící zařízení v pravidelných intervalech. Nemáte žádné? Kupte si pravítko a nechte jej certifikovat. Jednoduše – jděte s proudem.

Postavte si cloud na openstacku

A když už jsme se dozvěděli, jak je to s bezpečností cloudu, proč si jeden takový infrastrukturní nepostavit, že? V druhé předobědové části prvního dne konference nám bylo na praktickém příkladu demonstrováno, že postavit malý infrastrukturní cloud pomocí OpenStacku není nic „extra“ složitého.

Infrastrukturní cloud není určen ke spouštění cloudových aplikací, ale pro poskytování výpočetního výkonu, disků a sítě. Ke správě služeb napříč cloudem byl demonstrován systém Chef, který umí pomocí tzv. receptů nasazovat a spravovat servery napříč cloudem.

Složitějším způsobem jak nasadit infrastrukturní cloud je Suse Cloud (reklama), jednodušší je nasazení pomocí devstacku s chef serverem a úplně nejjednodušší je mít chefa, který funguje solo.

Následně byla na přednášce porušena hlavní zásada a to nikdy nedělat na přednáškách živé ukázky. Sedmiminutová instalace infrastrukturního cloudu proběhal bez potíží.

Z kusých informací jste jistě sami poznali, že přednáška byla sice podnětná, plná pojmů a odkazů, ale bez nějakého rozsáhlejšího  povídání o dané problematice, což mě trochu mrzí. Z části se to podařilo zachránit obsáhlými dotazy.

Firefox OS

Po obědě se s námi Pavel Cvrček přišel podělit o své zkušenosti s Firefox OS. Má další mobilní OS vůbec smysl?

Firefox OS vznikl jako experiment vytvoření mobilního OS čistě na webových technologiích. Aktuálně je na trhu jako zcela otevřený mobilní operační systém, který se snaží využít boomu smartphonů a zaplnit mezeru na trhu. Je ještě o něco svobodnější než Android, protože nejste vázaní žádným centrálním prodejem aplikací a diktaturou z hlediska velkých korporací jako je Google nebo Apple a je jen na Vás, jaký ekosystém si pod tímto OS vytvoříte.

Firefox OS míří na levné telefony s méně výkonným hardwarem. Jeho další výhodou je, že nevytváří novou platformu, ale používá to, co zná spousta vývojářů po celém světě. Aplikace pro Firefox OS lze hostovat buď na Firefox Marketplace nebo kdekoli jinde. Aplikace mohou být online nebo offline – rozhodnutí záleží na vývojářích. I přes to, že jsou aplikace na tomto OS webové, mají přístup k interním částem telefonu díky speciálnímu API, ale aby jej získaly, musí být ověřeny a prohlášené za důvěryhodné.

Firefox OS se prodává v několika zemích Evropy s podílem okolo 10% trhu. Jeho další vývoj záleží především na reakci prvních uživatelů. Firefox OS se pro český trh připravuje, ale zatím lze získat jen flashnutím telefonu s Androidem, koupí na eBay, nebo získáním telefonu pro vývojáře.

Reverse Engineering: Vytvárame ovládač pre neznáme zariadenie

Podpora zařízení v Linuxu se za poslední roky nesmírně zlepšila a to do takové míry, že je lepší než v jakémkoli jiném operačním systému. Z Linuxu není problém spolupracovat s běžným počítačovým příslušenstvím, spotřební elektronikou, ale i vědeckými přístroji. Ale co když narazíte na zařízení, pro které není absolutně žádná podpora? Co dělat pak nám přišel porozprávať Ľuboško Rintel.

Na příkladu digitizéru televizního signálu koupeného z Číny bylo ukázáno, co vlastně dělat s nepodporovaným kusem HW. Vzhledem k naprosto nulovým informacím ohledně našeho digitizéru nezbývá než si ten ovladač napsat sám. Ale co když to neumím?

Díky použité univerzální sběrnici USB bude další práce snazší, protože provoz na ní je dobře zdokumentován. Zařízení na USB mohou být díky rozdílným nárokům na směrnici rozděleny do kategorií podle citlivosti na rychlost, latenci sběrnice nebo garance doručení dat.

Plán je nejdříve rozběhat zařízení pod Windows, zachytit data, analyzovat zachycená data a zjistit, kde se nachází obraz, naučit se komunikovat se zařízením a tuto komunikaci zprostředkovat v novém ovladači. Data lze zachytávat pohodlně díky virtualizovanému OS, kde je možné sledovat provoz na USB. K samotnému sledování lze použít dobře známý nástroj Wireshark s rozšířením usbmon. Ze získaných dat je možné je analyzovat a zjistit, jaká data zařízení posílá. Pro testování a nalezení správné funkce lze načítat stejná a předem známá data, která je pak možné interpretovat.

Dále už pak pokračujeme programováním modulu do jádra.

PerfCake: Testování výkonu serverových aplikací

Pokud jste někdy napsali serverovou aplikaci, jistě Vás zajímalo, kolik klientů je schopna obsloužit a jak rychle je při zátěži schopna reagovat. Pánové Martin Večeřa a Pavel Macík nám přišli ukázat jednoduchý způsob testování výkonu serverových aplikací pomocí nástroje PerfCake.

PerfCake má ambice stát se nejlepším softwarem pro testování serverových aplikací vůbec a to také díky tomu, že se jedná o opensource projekt.

Jak vlastně testovat výkon serverové aplikace? Dotázat se klientem na server je málo. Chce to více klientů nebo více vláken od každého z nich. Může se ale stát, že narazíme na výkonnostní strop klientské části. PerfCake umí běžet na více uzlech, ale jednotlivé instance mezi sebou nekomunikují.

Jak a co vlastně měřit? Kolik klientů, velikost zpráv, velikost využité paměti, rychlost odpovědi, jak rychle se dotazovat, jak dlouho se dotazovat atp.? Jaká bude spolehlivost měření? Je třeba zohlednit zahřívací část aplikace, vliv měření na aplikaci, propustnost měřícího nástroje a dalších prvků (např. sítě), validitu odpovědi aplikace, stabilitu prostředí apod.

PerfCake je napsán v Javě, což bylo před přednáškou zatajeno s ohledem na potencionálně menší účast posluchačů. Konfigurace testu samotného probíhá formou XML souboru, který obsahuje na pár řádcích vše podstatné.

Následovala praktická ukázka jednoduchého použití tohoto nástroje, která od instalace až po samotný test proběhla bez problémů.

(Ne)bojím se IPv6

IPv6 je po cloudu další často diskutované téma. Po teoretické stránce toho bylo řečeno hodně, ale jak je to ve skutečnosti s reálným nasazením a hrozbami, které z toho plynou? Na podobné dotazy přišel odpovědět Matěj Grégr.

Primárně nám jde o to, aby uživatel dostal adresu, nemohl mu ji nikdo ukrást a my mohli ochránit své prvky v síti. Možné hrozby by se měly řešit co nejblíže klientovi. Jedná se především o

  • Ukradení IP adresy
  • Ukradení mac adresy
  • Falešné DHCP servery
  • Otrávení ARP
  • a další

DHCP lze ochránit pomocí DHCP snooping, ARP pomocí ARP protect, IP pomocí IP lockdown. Pokud se to podaří, nebude moct v síti být nikdo, kdo není nakonfigurován přes DHCP.

U IPv6 je složitější konfigurace při připojení k síti. Zároveň může mít jedno rozhraní více IP adres. Možné útoky v IPv6 jsou např tyto:

  • DAD DoS útok – na každou kontrolu duplikace IP adresy dostane klient kladnou odpověď, takže nebude moci žádnou adresu použít a konfiguraci vzdá.
  • Router advertisement flood – zahltíme klienty informacemi o routrech v sítí, které musí každý klient zpracovat a uložit k sobě. Tento útok vytíží stanici s Windows na kritickou úroveň a např. Windows 8 úplně spadnou. Útok lze rozšířit o další nastavení, které zvýší výpočetní náročnost na klientské straně.
  • Man in the Middle – Zneužijeme autokonfiguraci klientského systému a podvrhneme konfiguraci pomocí RA a DHCP. Následně mu podvrhneme nastavení DNS serverů a získáme tím kontrolu nad celým provozem na síti.

A jak se proti tomu bránit?

  • SeND – systém podepisuje NS/NA zprávy a pak jejich podpisy ověřuje. Problémem je certifikát na straně klienta a mizivá podpora.
  • RA-Guard – Podobné DHCP snooping – zahazuje neplatné RA zprávy. Ovšem díky možnostem použití rozšířených hlaviček je možné RA-Guard obejít, protože switch začne po určitém počtu hlaviček další hlavičky ignorovat a packet propustí.
  • ACL pravidla na kontrolních prvcích. Opět lze obejít díky rozšířeným hlavičkám a omezeným zdrojům kontrolních zařízení.

Když implementujete některé kontrolní mechanismy, dokážete uchránit IPv4 síť. Ale u IPv6 je aktuálně jedinou ochranou zakázat IPv6. Pokud se budete snažit ochránit IPv6 síť, budete na to potřebovat hodně peněz a úspěch není zaručen.

3D tisk: Co je nového

Loni nám byl na LinuxAltu představen 3D tisk. Dočkáme se tedy dne, kdy budeme doma tisknout drobné předměty denní potřeby místo jejich nákupu? Odpovědi na tento dotaz a jemu podobné přišel poskytnout Miro Hrončok.

Pro připomenutí byl ukázán projekt RepRap a pro demonstraci mainstreamu 3D tisku Justin Bieber. Další novinky jsou tyto:

  • Fedora je první distribucí, která obsahuje potřebný software pro 3D tisk.
  • Nové materiály pro 3D tisk, které se dají ohýbat, kroutit apod.
  • Pomocí speciálních materiálů lze tisknout i kov a dokonce dřevo nebo nylon.
  • 3D tisk je čím dál tím levnější. Tiskárnu lze sehnat už za osm tisíc.
  • Bylo spočteno, že lze ušetřit 41% až 64% energie při tisku na RepRapu oproti výrobě a dovozu z Číny.

A to je pro dnešek vše. S dalšími informacemi se přihlásím zase zítra, kdy náš čeká nejméně zajímavý program.

Kategorie:

Okomentovat