2014/10/29

systemd bloated - ôm đồm, làm quá nhiều thứ

systemd bloated - ôm đồm, làm quá nhiều thứ

Câu hỏi: Liệu triết lý về/và thiết kế của Unix đã lạc hậu với hệ thống/hệ điều hành hiện đại?

systemd hay là câu chuyện chính trị giữa Linux kernel và công ty Redhat, với nhóm phát triển chính của systemd là một số nhân viên của Redhat?

Người dùng Linux desktop dễ dàng hơn với systemd.
Vậy với Linux servers và người quản trị nó - sysadmins - thì systemd có thích hợp nếu số lượng server phải quản lý lên tới hàng ngàn?

Nhưng phải công nhận là utiities của systemd tiện lợi cho người dùng cuối (sysadmin) https://wiki.archlinux.org/index.php/systemd


2014/10/22

Trung tâm dữ liệu VCCorp bị tin tặc tấn công

Cuộc tấn công tới VCCorp vào giữa tháng 10 vừa quan đến từ một nhóm người có chuyên môn, quy mô lớn, rất chuyên nghiệp có khả năng lớn từ nội bộ tập đoàn. VCCorp bị cài cắm mã độc từ rất lâu trên 1000 (một ngàn) thiết bị của nhân viên VCCorp, bao gồm cả nhân sự cao cấp.

Các đợt tấn công:
1. Xóa DB, có tính phá hoại, đặc biệt nghiêm trọng
2. Xóa source
3. Thay đổi DNS/domain

Cảnh báo của C50:
4. Doanh nghiệp cần áp dụng chuẩn bảo mật ISO27001
5. Sử dụng phần mềm bản quyền (không dùng phần mềm lậu)
6. Đặc biệt lưu ý phishing

http://youtu.be/HLE3psWrejc


--
Best Regards,
Nguyen Hung Vu [aka: NVH] (in Vietnamese: Nguyễn Vũ Hưng, グェン ヒュン ウー, 阮武興)
vuhung16plus{remove}@gmail.dot.com , YIM: vuhung16 , Skype: vuhung16plus, twitter: vuhung, MSN: vuhung16.
vuhung's facebook  Nguyễn Vũ Hưng's blog on Free and Open Source, Blog tiếng Nhật, Vietnamese LibreOffice, Mozilla & Firefox tiếng Việt

Disclaimer: When posted to social networking groups include, but not limited to Linux Users' Groups, Free and Open Sources forums, mailing lists, the above is my personal opinion and is *not* the opinion of my employer(s), associations and/or groups I join.

2014/10/03

GNU Bash Shellshock Hits

If your servers can pass both of the following commands, we maybe safe, for now

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
$ env X='() { (a)=>\' bash -c "echo ls"; cat echo

However, I don't think GNU bash as well as other Linux distros can provide a solid patch in up coming few days.

IMO, if we don't limit ourself to bash - which is the default shell in most Linux distros,
we can switch to other shells like C/K/Z shells in the mean time.

bash shellshock based botnets are in the wild.

Bash shell shock is even more dangerous then SSL heartbleed because it will be exploited to the core, a shell of the OS.

As of 2014/10/03, patches for bash shellshocks seem not to resolve to root caues of the bugs. I guess that more and more batches are coming.

See these links:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7186
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7187

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6277
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6278

--
Best Regards,
Nguyen Hung Vu [aka: NVH] (in Vietnamese: Nguyễn Vũ Hưng, グェン ヒュン ウー, 阮武興)
vuhung16plus{remove}@gmail.dot.com , YIM: vuhung16 , Skype: vuhung16plus, twitter: vuhung, MSN: vuhung16.
vuhung's facebook  Nguyễn Vũ Hưng's blog on Free and Open Source, Blog tiếng Nhật, Vietnamese LibreOffice, Mozilla & Firefox tiếng Việt

Disclaimer: When posted to social networking groups include, but not limited to Linux Users' Groups, Free and Open Sources forums, mailing lists, the above is my personal opinion and is *not* the opinion of my employer(s), associations and/or groups I join.