Linux è più sicuro di Windows, e su questo siamo tutti d’accordo. Ma nulla è completamente sicuro. Con il rilascio di UChecker, CloudLinux presenta la propria soluzione per incrementare la sicurezza dei server del pinguino.
Il programma, recentemente diventato open-source, fa parte della suite TuxCare Security Services. Si occupa di eseguire una scansione per librerie obsolete, sia su disco che in memoria. A differenza di altri tool simili, però, è in grado anche di rilevare falsi positivi, evidenziando librerie vulnerabili che potrebbero girare in memoria, non essendo quindi visibili agli altri scanner.
UChecker, abbreviazione di “userspace checker”, funziona su tutte le distro moderne, e non solo quelle della famiglia RHEL. Fornisce informazioni dettagliate che identificano le applicazioni che utilizzano ciascuna delle librerie identificate come vulnerabili. Inoltre il programma fornirà PID e nome del processo. Alla luce di tali informazioni, saremo in grado di aggiornare le librerie necessarie.
Può essere inoltre integrato con altri tool, ad esempio Nagios o altri sistemi di monitoring, logging e management, per rafforzare ulteriormente la sicurezza lato server. Il programma funziona con tutte le distro Linux, ed è rilasciato sotto la GNU General Public License. Può essere scaricato qui.
Dopo averlo lanciato dalla shell, ci sono due opzioni per aggiornare le librerie. La prima è quella più tradizionale, che prevede l’aggiornamento tramite package manager e il riavvio del server. Oppure, possiamo riavviare tutti i servizi, siccome anche con UChecker non possiamo essere sicuri di quali processi utilizzino ancora le librerie obsolete.
Oppure possiamo optare per TuxCare LibraryCare e il suo servizio di live patching per applicare aggiornamenti di sicurezza oer OpennSSL e Glibc senza dover riavviare. I servizi TuxCare vengono presentati come la soluzione completa di CloudLinux, e comprendono live patching per componenti critici, dal kernel fino alle librerie condivise più utilizzate. Elimina il (costoso) problema della mancata erogazione di servizi che solitamente accompagna questo tipo di attività, ed elimina di fatto la necessità di downtime per manutenzione di sicurezza.
Ovviamente TuxCare LibraryCare non è l’unico programma ad offrire live patching per il Kernel o altri file importanti. Non dimentichiamo Oracle Ksplice; Red Hat and CentOS Kpatch; Canonical Livepatch; e SUSE Kgraft. Tutti questi, però, sono vincolati alla distro dei rispettivi vendor. Non possiamo, ad esempio, usare Livepatch su RHEL, o Kpatch su Ubuntu. I programmi CloudLinux’s programs, a differenza, supportano CentOS, Red Hat, Oracle, Debian, Ubuntu e molte altre. Esiste anche un comodo programmino Python per verificare la compatibilità con il nostro sistema Linux.
CloudLinux inoltre assicura che TuxCare Linux Support Services fornisca patch e aggiornamenti regolari per tutti i componenti dei sistemi enterprise, oltre a supporto h24, anche per sistemi che hanno superato l’EOL (End-of-Life). Quindi, se gestiamo una moltitudine di distribuzioni, con magari anche qualcuna un po’ vecchiotta, vale la pena valutare questo servizio.
Nelle parole di Jim Jackson, presidente di CloudLinux:
Alcune patch richiedono modifiche di configurazione e riavvii di server che non possono restare offline a lungo. Il tempo è un fattore critico, perché gli hacker cercheranno di sfruttare le vulnerabilità, quindi è una vera e propria gara contro il tempo per i gruppi IT che si occupano di mantenere queste macchine. Qualsiasi strumento ci aiuti ad identificare e aggiornare librerie potenzialmente insicure è certamente una buona cosa
Fin da piccolo ho coltivato una forte curiosità per come funzionano le cose. Da ragazzo ho scoperto la passione per il mondo dei computer, e da grande ho scoperto l’amore per il mondo del web development, in particolare del front-end. Mi piace tenermi aggiornato e seguire gli sviluppi tecnologici, imparando cose sempre nuove.
Lascia un commento