2. Obsah
•
•
•
•
•
•
Bezpečnost v různých fázích vývoje software
Návrh / Analýza
Vývoj / Testování
Provoz / Maintenance
Co jsme za poslední rok řešili
Co v provozu připravujeme
www.seznam.cz
11. Salt stack – key generation
•
•
•
•
Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních skriptů
Rychlejší než puppet hlavně díky 0MQ
0MQ nepodporovalo crypto, napsali si vlastní
www.seznam.cz
12. Salt stack – key generation
•
•
•
•
•
•
Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních skriptů
Rychlejší než puppet hlavně díky 0MQ
0MQ nepodporovalo crypto, napsali si vlastní
Implementace RSA, generování klíčů, atd
e=1
www.seznam.cz
13. Salt stack – key generation
•
•
•
•
•
•
•
•
Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních skriptů
Rychlejší než puppet hlavně díky 0MQ
0MQ nepodporovalo crypto, napsali si vlastní
Implementace RSA, generování klíčů, atd
e=1
d=1
c = me (mod n), m = cd (mod n)
www.seznam.cz
14. IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Různé reakce výrobců HW
www.seznam.cz
15. IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Různé reakce výrobců HW
• „Vypněte cipher 0 nainstalováním nejnovějšího firmware“
• „Vypněte IPMI a SNMP, pokud je nepoužíváte“
• „Instalujte Urgentní upgrade hned jak je to možné“
• „Provozujte BMC v oddělené management síti a
nenechávejte je otevřené do internetu“
• http://fish2.com/ipmi/cipherzero.html
www.seznam.cz
16. iDRAC – root shell
•
•
•
•
Společnost DELL – management rozhraní serveru
Uživatel root defaultně povolen
Možnost přepnout login shell
http://fish2.com/ipmi/dell/secret.html
www.seznam.cz
18. Co připravujeme / máme
• CSIRT tým
– http://napoveda.seznam.cz/csirt
• Trusted Introducer – accredited status
• SSL + PFS + HSTS pro (snad) všechny služby
• Bezpečná VLAN v NIXu
www.seznam.cz