Iam on u-random

816 tentativi zero successi

Wed, 27 May 2026 00:00:00 +0000

TL;DR

HIDS (Wazuh agent) monitora il singolo host dall'interno - log, file, processi.
SIEM (Wazuh manager) raccoglie tutto, correla, genera alert.
HIPS (fail2ban) agisce automaticamente dopo la detection - blocca l'IP attaccante.
IDS e IPS non sono prodotti diversi: è la stessa categoria, con o senza capacità di blocco.

▶ $ history

hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.64.3 -t 4
tail -f /var/log/auth.log
tail -f /var/log/fail2ban.log

Il lab è semplice: Ubuntu con Wazuh, Kali con Hydra, una wordlist da 14 milioni di password. Obiettivo: vedere cosa succede dall'altra parte quando un attaccante tenta il brute force SSH.

Tutti Potevano Leggere Tutto

Tue, 19 May 2026 00:00:00 +0000

TL;DR

DAC = il proprietario del file decide i permessi - flessibile ma dipende dall'utente
MAC = il sistema decide in base a etichette di classificazione - usato in ambienti ad alta sicurezza
RBAC = permessi assegnati ai ruoli, utenti assegnati ai ruoli - il modello più usato in azienda
Rule-based = regole condizionali (orario, IP, dispositivo) - usato nei firewall e nel controllo accessi contestuale
ABAC = combina attributi utente + risorsa + contesto - il più granulare, il più complesso

Giovedì mattina. Silvia, amministrativa HR, apre la share aziendale per caricare un documento. Trova una cartella che non riconosce. La apre. Dentro ci sono i file di stipendio di tutti i 140 dipendenti dell'azienda - compresi quelli dei dirigenti.

Cap 2 - Identity and Access Management

Fri, 15 May 2026 00:00:00 +0000

Autenticazione (4 fattori, biometria, MFA), SSO/LDAP/SAML/OAuth, modelli autorizzazione (RBAC/DAC/MAC/ABAC), account lifecycle, PAM, authentication indicators. Cap 2 Gibson SY0-701.

Cap 1 - Security Fundamentals

Wed, 13 May 2026 00:00:00 +0000

CIA Triad, Risk Concepts, Security Controls (categorie e tipi), Logs e SIEM. Capitolo 1 del Gibson SY0-701.

Docker - UID, permessi e volumi bind mount

Mon, 13 Apr 2026 00:00:00 +0000

Il problema fondamentale dei bind mount Docker: l'UID dell'utente host e l'UID dell'utente container non coincidono, causando errori di permesso sui file montati. Soluzione: entrypoint dinamico che crea l'utente con il UID corretto a runtime.

/var/run/docker.sock - il socket di Docker

Sat, 28 Mar 2026 00:00:00 +0000

docker.sock e' il Unix domain socket che permette al Docker CLI di comunicare con dockerd. Montarlo dentro un container equivale a dare al container il controllo completo di Docker - e quindi dell'host.

SSH Protocol - Secure Shell

Sat, 28 Mar 2026 00:00:00 +0000

Protocollo per connessioni remote cifrate. Sostituisce Telnet e rlogin. Handshake, TOFU, autenticazione con chiave, challenge-response, Perfect Forward Secrecy. Confronto con TLS.

auth.log - log di autenticazione

Wed, 25 Mar 2026 00:00:00 +0000

auth.log e' il file di log delle autenticazioni su sistemi Debian/Ubuntu. Registra login SSH, sudo, su, adduser, userdel e ogni evento PAM. E' un file di testo alterabile da root - il journal e' piu' resistente alla manomissione.

Cancellato. Ma non abbastanza.

Wed, 25 Mar 2026 00:00:00 +0000

TL;DR

testuser compare all'01:14, tenta l'escalation, poi viene cancellato alle 04:47
auth.log registra ogni evento: creazione, tre sudo falliti, disconnessione
find / -uid 1001 2>/dev/null trova i file rimasti anche dopo userdel
Cancellare un utente non cancella la sua storia - cancella solo il nome

▶ $ history

grep -E "useradd|userdel" /var/log/auth.log
grep "testuser" /var/log/auth.log
last testuser
find / -uid 1001 2>/dev/null
cat /home/testuser/.bash_history
journalctl --since "2026-03-25 04:40"

last / lastb - login history

Wed, 25 Mar 2026 00:00:00 +0000

last mostra la cronologia dei login riusciti da /var/log/wtmp. lastb mostra i login falliti da /var/log/btmp. Entrambi leggono file binari — non usare cat, usare questi comandi.

PAM - Pluggable Authentication Modules

Wed, 25 Mar 2026 00:00:00 +0000

PAM (Pluggable Authentication Modules) e' il sistema di autenticazione modulare di Linux. Ogni servizio delega l'autenticazione a PAM che esegue una catena di moduli configurabili in /etc/pam.d/.

I file erano ancora lì. Solo che non li potevo più leggere.

Tue, 24 Mar 2026 00:00:00 +0000

TL;DR

CIA Triad: Confidentiality, Integrity, Availability - i tre pilastri che ogni attacco viola
Un ransomware li colpisce tutti e tre in sequenza: esfiltra (C), cifra (I), blocca (A)
L'ingresso era un bit SUID lasciato su python3 - zero exploit, zero CVE
Senza la CIA Triad come mappa, stai guardando i sintomi senza vedere la malattia

▶ $ history

find -perm -4000 -type f 2>/dev/null
ls -la /etc/shadow
diff /backup/etc/passwd /etc/passwd
systemctl status ssh
stat /usr/bin/python3

Sono le 23:12. Il telefono vibra tre volte di fila - notifiche di monitoring. Mi alzo, apro il portatile.

chmod +s - il bit che dimentichi e l'attaccante trova

Mon, 23 Mar 2026 00:00:00 +0000

TL;DR

SUID forza l'EUID al proprietario del file al momento dell'esecuzione - se il proprietario è root, ogni utente che lo esegue ottiene EUID=0
Un interprete con SUID root (python3, perl, bash) è escalation immediata: nessuna vulnerabilità da sfruttare, nessun exploit da compilare
find / -perm -4000 -type f 2>/dev/null in 30 secondi elenca tutto quello che conta
Detection: baseline snapshot dei SUID in CI/CD + auditd rule su execve con euid=0 e auid!=unset

▶ $ history

find -perm -4000 -type f 2>/dev/null
stat /usr/bin/python3
id
cat /proc/self/status
python3 -c "import os; os.execl('/bin/sh', 'sh', '-p')"
auditctl -l
ausearch -m execve -k suid_exec
ls -la /usr/bin/python3

Sono le 02:41. Il SIEM ha alzato un flag su prod-api-03: processo root con parent python3, nessun deploy in corso, nessuna maintenance window schedulata. Il processo è già terminato quando apro il ticket. Non c'è output, non c'è file scritto. Solo un'esecuzione anomala durata undici secondi.

Etc Directory Purpose

Mon, 23 Mar 2026 00:00:00 +0000

La directory /etc/ contiene i file di configurazione globali del sistema operativo. Include i database critici per la gestione di utenti, gruppi e privilegi.

Il file che si comporta da root - capire il bit SUID

Mon, 23 Mar 2026 00:00:00 +0000

TL;DR

I permessi Linux normali controllano chi può eseguire un file - SUID cambia con quale identità viene eseguito
Un file con SUID root gira sempre come root, indipendentemente da chi lo avvia
Esistono per necessità (es. passwd deve scrivere /etc/shadow senza darti root)
Diventano pericolosi quando vengono impostati su file sbagliati - specialmente interpreti come python3 o bash

▶ $ history

ls -la /usr/bin/passwd
stat /usr/bin/passwd
find -perm -4000 -type f 2>/dev/null
id

Quando esegui un comando su Linux, il sistema controlla chi sei - il tuo user ID - e decide cosa puoi fare. È il modello di base: ogni processo eredita i permessi dell'utente che lo ha lanciato.

su - substitute user

Mon, 23 Mar 2026 00:00:00 +0000

Esegue una shell come un altro utente. Con il flag - simula un login completo caricando l'ambiente dell'utente target. Lascia tracce diverse in auth.log rispetto a sudo.

sudo - superuser do

Mon, 23 Mar 2026 00:00:00 +0000

Esegue un singolo comando con i privilegi di un altro utente (default: root). A differenza di su, usa la password dell'utente corrente e ogni azione e' tracciata in auth.log.

User Management - gestione utenti e gruppi

Mon, 23 Mar 2026 00:00:00 +0000

Comandi per creare, modificare ed eliminare utenti e gruppi su Linux. Include adduser, usermod, userdel, groupadd, groupdel, passwd, chown, chgrp e lastlog.

chmod - change mode

Thu, 19 Mar 2026 00:00:00 +0000

Modifica i permessi di accesso di file e directory. Supporta notazione ottale (stato finale esatto) e simbolica (modifica singolo bit). Fondamentale per il principio del minimo privilegio.

Docker Security

Thu, 19 Mar 2026 00:00:00 +0000

I rischi di sicurezza specifici di Docker: docker.sock come vettore di privilege escalation, container root, porte esposte, immagini vulnerabili. Come difendersi da ciascuno.

Chi Sei per il Kernel

Wed, 18 Mar 2026 00:00:00 +0000

TL;DR

Linux non lavora con nomi utente - lavora con numeri: UID e GID
Ogni file ha tre livelli di permessi: owner, group, others
Il bit SUID cambia le regole: il processo gira con i privilegi del proprietario del file, non di chi lo esegue
find / -perm -4000 trova tutti i binari SUID del sistema - un'occhiata vale sempre

▶ $ history

id
ls -la /usr/bin/passwd
find / -perm -4000 -type f 2>/dev/null
chmod u+s /path/to/file
chmod u-s /path/to/file
find / -perm -4000 -type f 2>/dev/null | grep -v -E "^/(usr/bin|usr/sbin|bin|sbin|usr/lib)"

Linux non sa chi sei. Sa solo il tuo numero.

SUID, SGID e Sticky Bit

Wed, 18 Mar 2026 00:00:00 +0000

I tre bit speciali dei permessi Linux: SUID fa girare un processo con i permessi del proprietario del file, SGID con quelli del gruppo, Sticky Bit impedisce la cancellazione da parte di chi non è proprietario.

Chown