Network Security on Openshift
Kerberos
Kerberos to protokół służący do identyfikacji (autentykacji) stworzony w MIT w roku 1988. Klienci łączą się do serwera KDC (Kerberos Distribution Center – Centrum Dystrybucji Kluczy) używając pewnego rodzaju loginu nazywanego principal i otrzymują ticket (bilet). Tak długo jak ticket jest ważny klient ma dostęp do chronionych przez kerberos usług i nie potrzebuje identyfikacji przy każdym dostępie do zasobu. Klient i serwer KDC muszą być w tym samym realm (jest to zazwyczaj nazwa domeny pisana dużymi literami).
SELinux
Security Enhanced Linux (SELinux) jest implementacją architektury MAC (Mandatory Access Control – Obligatoryjna Kontrola Dostępu) stworzoną przez amerykańskie NSA i społeczność Linuxa. SELinux jest zintegrowany z jądrem Linuxa jako zbiór łat, wykorzystujący framework LSM (Linux Security Modules), który zresztą wspiera wiele rozwiązań security. MAC zapewnia dodatkową względem standardowej architektury DAC (Discretionary Access Control) warstwę ochrony. Ogranicza on możliwość podmiotu (subject) dostępu do obiektu (object) aby wyeliminować lub zredukować potencjalne uszkodzenie systemu jakie może spowodować podmiot jeżeli nastąpi włamanie do systemu. Continue reading “SELinux”
TCP Wrappers
TCP Wrappers to mechanizm wykorzystywany do ograniczania dostępu do usług uruchomionych w systemie. TCP Wrappers mogą kontrolować dostęp do takich usług jak ftp, ssh, telnet, tftp, finger, rsh i talk. Pliki konfiguracyjne tego mechanizmu to /etc/host.allow i /etc/hosts.deny. Domyślnie pliki nie zawierają żadnych restrykcji. Jeżeli te pliki nie zawierają żadnych wpisów odnośnie użytkownika lub źródła, z którego pochodzi połączenie, to wrappery przyznają dostęp do usługi. Continue reading “TCP Wrappers”