Seguridad

GitLab es una herramienta de DevOps completa que incluye control de versiones, Wiki, CI y más. Esto significa (y habrán podido comprobarlo quienes hayan realizado una instalación manual de GitLab desde los fuentes) que está conformado por un buen número de componentes, y al momento de implementar una estrategia de backup puede resultar abrumadora. Sin embargo, afortunadamente GitLab cuenta con su propia herramienta de backup incluida en el paquete de instalación. Este artículo explica cómo configurar una estrategia de backup y utilizando dicha herramienta.

Los últimos años han sido una catástrofe tras otra para Intel en lo que a seguridad respecta. Todas las variantes de los ataques Meltdown y Spectre, al igual que el reciente ZombieLoad, requieren parches y protecciones que terminan degradando la performance de los procesadores Intel. Para el caso de ZombieLoad no hay forma de estar seguro sin deshabilitar Hyper-Threading, lo cual es un altísimo precio a pagar. Apple ha confirmado que el parche para mitigar ZombieLoad trae consigo una pérdida del 40% de rendimiento:

Full mitigation requires using the Terminal app to enable an additional CPU instruction and disable hyper-threading processing technology. This capability is available for macOS Mojave, High Sierra, and Sierra in the latest security updates and may reduce performance by up to 40 percent2, with the most impact on intensive computing tasks that are highly multithreaded.

Pero para agravar aún más la situación, deshabilitar SMT/Hyper-Threading para obtener protección total contra MDS/ZombieLoad en conjunto con el código para mitigar Meltdown y Spectre (y todas sus variantes), y otras vulnerabilidades, resulta catastrófico para el rendimiento de la CPU.

Cabe destacar que se trata de vulnerabilidades del hardware, no son vulnerabilidades del sistema operativo, y tanto en Linux como Windows u otro sistema operativo las soluciones implican pérdidas de rendimiento. La solución sería cambiar los procesadores por otra marca (léase AMD).

Ahora bien, ¿que tal si uno tiene un procesador Intel y no está dispuesto a perder tanto rendimiento en un sistema hogareño que será utilizado para juegos o películas? Este artículo explica cómo deshabilitar todas las protecciones de seguridad del kernel Linux que degradan el rendimiento en procesadores Intel. ¡Al carajo con la seguridad!

Anteriormente expliqué cómo instalar GitLab desde los fuentes en Debian. Veamos ahora cómo habilitar el soporte para HTTPS para que el sitio sea seguro.

Las claves de host son utilizadas por SSH como mecanismo de autenticación y seguridad. Típicamente se utilizan los algoritmos RSA, DSA o ECDSA para generar un par de claves pública/privada. Las claves de host se diferencian de las claves de autenticación en el hecho de que son utilizadas durante la conexión para establecer la autenticidad del host (cliente y servidor), no así del usuario, y evitar ataques de tipo MiM (man-in-the-middle).

Típicamente es necesario regenerar las claves de host al clonar un servidor virtual, ya que cada host debe tener su par de claves únicas. Este artículo explica cómo generar un nuevo par de claves de host en un sistema de la familia Unix.