Categoria

Linux security

Pagina 1 di 1

Linux security: hardening del sistema operativo che sostiene tutto il resto

La sicurezza del sistema operativo è il fondamento su cui poggia ogni applicazione che ci gira sopra. Eppure è la parte più trascurata: server con kernel non aggiornati, policy AppArmor disabilitate, capabilities concesse all'intero binario quando servirebbero su singole syscall. La superficie d'attacco è ampia e silenziosa.

In questa categoria scrivo di Linux security applicata: sandboxing di agent LLM che eseguono codice arbitrario tramite container effimeri, seccomp e capability dropping; AppArmor su Debian/Ubuntu come 90% del beneficio di SELinux con il 20% della complessità; hardening per VPS in produzione su Hetzner, OVH, Contabo.

Se vuoi un audit serio dei tuoi server Linux, parliamone. Oppure scopri il mio percorso in offensive security.

Sandboxing di agent LLM che eseguono codice arbitrario: container effimeri, seccomp, capability dropping

01/04/2026

Un agent LLM che può eseguire codice Python, Bash o SQL in autonomia è una backdoor delegata. Permetterlo in produzione senza sandboxing è irresponsabile. La mia architettura usa container effimeri, seccomp filter che bloccano syscall pericolose, capability dropping, network namespace che taglia l'egress. Ti mostro il design, i trade-off performance vs sicurezza, e i test di escape eseguiti per validare l'isolamento. Continua a leggere

Ultima modifica: Mercoledì 1 Aprile 2026, alle 08:00

AppArmor Linux security PHP-FPM VPS Linux Hardening

AppArmor per applicazioni PHP: confinamento a livello kernel senza complessità SELinux

07/01/2026

SELinux è potente ma la curva di apprendimento è ripida per un team senza specialisti. AppArmor su Debian/Ubuntu offre il 90% del beneficio con il 20% della complessità. Ho configurato profili AppArmor per PHP-FPM, Nginx e MySQL su un VPS cliente: in due ore, l'esecuzione di processi PHP è confinata a livello kernel. Continua a leggere

Ultima modifica: Mercoledì 7 Gennaio 2026, alle 07:55