Перейти к содержимому


- - - - -

Безопасность *nix


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 75

#31 Shadow

Shadow
  • Пользователь

  • Пользователь
  • 128 сообщений
  • Пол:Мужчина
  • Город:МосКва... Алтуфьево... Псковская

Отправлено 12.04.2007 - 14:23

Просмотр сообщенияdrnet (12.4.2007, 10:31) писал:

Даже не знаю, плакать или смеяться :) Считай, что это 2.6.20.4, с некоторыми модификациями....

nf_conntrack in netfilter in the Linux kernel before 2.6.20.3 does not set nfctinfo during reassembly of fragmented packets, which leaves the default value as IP_CT_ESTABLISHED and might allow remote attackers to bypass certain rulesets using IPv6 fragments.

Для того, чтобы ты немного понял о чём идёт речь....

На моём ядре это полюбэ не актуально, но я специально загружусь с более старым ядом.
-пожалуйста, опубликуй код или концепцию кода, так как я думаю, что автор ошибается.
Если такого кода не существует в природе, то надо полагать, что владельцы более старых ядер чем у меня также в полной безопасности.....
-где находится  IP_CT_ESTABLISHED и что такое nfctinfo?
-ты хорошо владеешь  языком оригинала ? - см. выделенное.

а с каких пор ПОТЕНЦИАЛЬНАЯ возможность обойти некоторые ограничения по безопасности не явлется уязвимостью
1 - http://www.kernel.or...ngeLog-2.6.20.3
2 - http://secunia.com/advisories/24492

Знание формирования версионности в linux мне особенно и незачем было ... (я работал с FreeBSD)

а по поводу "где и что" - я даже не знаю.. я на форуме для почитателей линукс или где ?!

#32 Angry Judas

Angry Judas
  • ЙЦУКЕН - клавиатура

  • Пользователь
  • 2 432 сообщений
  • Пол:Мужчина
  • Город:Новые_Черемушки
  • Интересы:на что есть деньги

Отправлено 12.04.2007 - 16:47

опятьже потенциальные уязвимости в неновых ядрах...

#33 TriggerHappy

TriggerHappy
  • Пользователь

  • Пользователь
  • 142 сообщений
  • Пол:Мужчина
  • Город:Q32

Отправлено 13.04.2007 - 16:31

Просмотр сообщенияShadow (5.4.2007, 10:26) писал:

Has vendor name: Linux
Has product name: Kernel
Has version name: 2.6.9

Table of Data Matching the Above Limitations
Year           2007 2006 2005 2004
# of Vulns   4      55     68    5
% of Total   0%   1%    1%   0%

по-моему 55 уязвимостей в ядре за год - это никак не мало (в абсолютном сравнении)!
55 ошибок, ну смотря что это за ошибки и с чем сравнивать... Не каждая может быть использована для получения насанкционированного доступа, поднятия привелегий и т.д ... вообще если говрить о публично известных крупных дырах в ядрах (по типу mremap(), do_brk() или ptrace()) то они наперещет

Просмотр сообщенияShurik (6.4.2007, 15:59) писал:

Ну хакни мой комп с устаревшим ядром 2.6.15-gentoo-r7, я даже согласен зайти на какой попросишь сайт с выключенным NoScript.
ядро по идее дырявое...
Linux Kernel PRCTL Core Dump Handling ( BID 18874 / CVE-2006-2451 )

#34 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 14.04.2007 - 10:20

Что необходимо знать о руткитах в  Linux .    

Цитата

Bill Keys(с)
http://www.linuxsecurity.com/
Руткит (rootkit) - это набор программных средств с помощью которых атакующий может попытаться скрыть следы вторжения. Другой функцией руткита может быть наличие ПО, позволяющего атакующему получить права суперпользователя-рута (root) и затем красть, перемещать или удалять файлы на атакованном компьютере. И, наконец, руткиты могут обеспечивать  подключение к  удалённой машине и  полностью контролировать ей работу. Руткиты могут быть для разных систем, но здесь речь идёт только о линуксовых. Для Windows понятие руткита не применяется... :) См. эксплойты, трояны....
Классификация руткитов
Одной из разновидностей [присутствия] руткитов является руткит на уровне пользователя, который легко обнаружить и удалить. Такие руткиты могут подменять пользовательское приложение собственной модифицированной программой. Так как в этом случае вы доверяете ядру ОС, то их, естественно, проще обнаружить. Например это можно сделать сканируя изменённые программы при помощи таких инструментов как   AIDE и Tripwire. Другой разновидностью руткита является руткит на уровне ядра. Такие программы намного сложнее обнаружить и удалить, так как в этом случае вы не можете доверять даже ядру, на которое был установлен руткит. Такие руткиты часто могут тереть логи, чтобы скрыть следы вторжения и даже подменять системные вызовы. Обычно они устанавливаются и функционируют как модули ядра (LKM). в качестве примеров можно назвать   Afhrm и Synapsis.
Методы воздействия руткитов.
Реализованный в качестве модуля ядра руткит может изменить таблицу системных вызовов последнего (syscall table). Таким образом возможна подмена системного вызова  обращением к определённому месту в коде руткита. Другим действием может быть удаление записей в жкрналах, чтобы скрыть данные об активности интрудера.И, наконец, руткит может подменять стандартные юниксовые программы типа ps, чтобы скрыть процессы им запущенные :) .  
Обнаружение и удаление.
Проблема с обнаружением качественных руткитов в том, что вы даже не можете доверять ядру и ОС в целом, в которую был предположительно внедрён руткит. Поэтому и трудно обнаружить такие программы, установив детектирующий софт непосредственно в заражённую ОС. Гораздо правильнее будет установить сниффер на заведомо незаражённую машину, чтобы отслеживать информацию которая посылается или принимается машиной с предположительно внедрённым руткитом. Просмотр локальных логов, к сожалению, не всегда позволяет системному администратору засечь атакующего, использующего руткит, так как последний удаляет записи в логах, которые выдают действия атакующего. Ещё одним способом засечь руткиты будет загрузка с какого-нибудь LiveCD. В этом случае вы можете доверять ядру и софту с такого диска при сканировании файлов предположительно заражённого компьютера на предмет наличия следов такого софта. Несмотря на то, что существуют программы, которые ищут руткит локально, как, например, chkrootkit, однако такие сканеры зависят от выполнения локально команды ps, а rootkit может изменить эту команду по своим потребностям. Кроме того, руткит может детектировать , а затем изменить и собственно софт типа chkrootkit. Но даже если пользователь обнаружил  руткит иногда бывает очень трудно быть уверенным в том, что враждебный софт был удалён. Большинство экспертов всё-же рекомендуют переформатировать диски и запустить систему по-новой. При этом, если используется бэкап, то необходимо быть уверенным, что он также не заражён "нехорошими" файлами. Для обнаружения и удаления руткитов, можно использовать также программу  >=Rkdetector v2.0 (*Платная). И помните, что удалить их так сложно потому, что их создатели ставят  перед собой и такую цель :P  
Предотвращение установки и отслеживание.
Естественно лучшая защита от руткитов - это система мер по ограничению самой возможности внедрения руткита. Во-первых необходимо не допустить возможности получения злоумышленником  пароля административного эккакунта. Не имея прав рута злоумышленник не сможет замести следы. Чтобы отслеживать состояние системы и своевременно обнаруживать руткиты используется  приём контроля целостности файлов - контроль изменений. Идея заключается в том, чтобы сразу после новой установки [системы, пакета, программы...]  как-бы снять отпечатки пальцев.... Это выполняется при помощи криптографического хэширования файлов в системе. Таким образом сравнивается текущее и сохранённое значение хэша. Соответственно имеются программы, которые  выполняют эту процедуру. Например   Tripwire использует таку технику, а информация о файлах хранится в защищённой паролем базе данных. Если отслеживаемые программой файлы изменились то пользователь получает уведомление, после чего будет видно , изменил ли руткит этот файл. Но надо помнить, что лучше всего помогают привентивные меры - файерволлы, надёжные пароли,контроль прав доступа к файлам, программам и каталогам и другие подобные методы :P
Заключение
Таким образом, руткиты - это способ для атакующего скрыть следы вторжения и получить доступ к машинам, на которых установлены руткиты. Качественные руткиты сложны в обнаружении и удалении. Они могут присутствовать на компьютере и вы можете даже не догадываться об этом. Неизвестные общественности руткиты, использующие LKM - это одни самых неприятных разновидностей, которые могут быть установлены на вашу машину злоумышленником. Уделяя повышенное внимание вопросам безопасности и, в частности, используя  SELinux  вы значительно улучшаете защиту вашей машины. Для более подробной информации по руткитам и их обнаружению вы можете перейти по ссылкам...  
Ссылки
1. RK detector
http://www.rootkitdetector.com
2. Linux RootKits для новичка - From Prevention to Removal  http://www.sans.org/...s/linux/901.php
3. Tripwire
http://www.tripwire.org
4. AIDE (Advanced Intrusion Detection Environment)
http://sourceforge.net/projects/aide

Перевод ©drnet  специально для форума http://forum.qwerty.ru
Ссылка при повторной публикации на источник обязательна.   [color=#990000]

Сообщение отредактировал drnet: 14.04.2007 - 19:11


#35 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 15.04.2007 - 17:05

Эксплойты и руткиты....
Интересная свежая статья но на английском лежит здесь...
Это исследование и винды, пингвина etc. c помощью пингвина ... http://www.omninerd..../26/articles/74

Вот ссылки из неё...
Скрытый текст

Сообщение отредактировал drnet: 15.04.2007 - 17:29


#36 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 13.05.2007 - 12:13

Как лучше защитить компьютер с Linux?
Установите pam, tcpd, ssl они могут понадобиться в разных случаях.
Установка пароля на загрузчик.
Если у вас grub о добавьте в grub.conf строчки:
timeout 5
password changeme
В этом случае пароль будет открытым текстом.
Чтобы зашифровать пароль прямо в шелле grub:

#/sbin/grub
grub> md5crypt
Password: ********(ввели пароль)
Encrypted: xxxxxxxxx.(система показывает зашифрованный пароль - копируем его)
grub> quit
Добавьте в grub.conf строчки:
timeout 5
password --md5 xxxxxxxxx (добавляем пароль в grub)

Если у вас lilo, то в lilio.conf пишем:

image=/boot/bzImage
	  read-only
	  password=changeme
	  restricted

Опция restricted здесь для того, чтобы система каждый раз не спрашивала пароль.
Соответственно эти изменения пишутся в релевантных секциях файлов.

Ограничение количества консолей
В файле /etc/securetty хранится список терминалов, откуда может загрузиться root.
Желательно закомментировать все опции кроме например tty1 если вы используете udev. В случае устаревшей devfs нужно оставить к примеру vc/1

Логи

Обычно для логов исопльзуется syslogd. Его конфиг называется  /etc/syslog.conf. Использование можно посмотреть в man 8 syslog.conf. Он может лежать и в другом месте на разных дистрах. Но злоумышленник может просто подтереть логи и скрыть следы вторжения. Прелесть в том, что вы можете писать логи и на удалённом сервере.
Иногда более полезно использовать /usr/sbin/logrotate записав его в cron и определив таким образом в зависимости от нагрузки системы как часто будет производиться ротация.
syslog.conf:
#Стандартные логи.
auth,authpriv.*				 /var/log/auth.log
*.*;auth,authpriv.none		  -/var/log/syslog
cron.*						 /var/log/cron.log
daemon.*						-/var/log/daemon.log
kern.*						  -/var/log/kern.log
lpr.*						   -/var/log/lpr.log
mail.*						  /var/log/mail.log
user.*						  -/var/log/user.log
uucp.*						  -/var/log/uucp.log
local6.debug					/var/log/imapd.log
#Логи для почты(разделены для простоты написания скриптов парсинга этиг файлов)
mail.info					   -/var/log/mail.info
mail.warn					   -/var/log/mail.warn
mail.err						/var/log/mail.err
Логи для INN
news.crit					   /var/log/news/news.crit
news.err						/var/log/news/news.err
news.notice					 -/var/log/news/news.notice
#Универсальные логи
*.=debug;\
		auth,authpriv.none;\
		news.none;mail.none	 -/var/log/debug
*.=info;*.=notice;*.=warn;\
		auth,authpriv.none;\
		cron,daemon.none;\
		mail,news.none		  -/var/log/messages
#Сообщения посылаются любому, кто загрузился
*.emerg						 *
*.=alert						*
#Удалённый сервер для логов
*.*						@logserver
#Это заставляет отображать сообщения на обычно свободной виртуальной консоли tty8:
daemon,mail.*;\
	   news.=crit;news.=err;news.=notice;\
	   *.=debug;*.=info;\ 
	   *.=notice;*.=warn	   /dev/tty8
#И наконец
local2.*				--/var/log/ppp.log
Более интересно использовать Syslog-ng. Его конфиг называется /etc/syslog-ng/syslog-ng.conf, но может быть в другом месте на вашей системе . Он имеет преимущества и недостатки. Во-первых его можно запускать и не под root. Во-вторых он по моим данным, возможно уже исправлено, пока не шифруется, пока нет авторизации, сжатия и  MAC контроля. Несмотря на большой конфиг он прост в конфигурировании при наличии просто внимания. В принципе он аналогичен syslog и metalog(ещё один вариант), но гораздо более продвинутый. Он может обрабатывать логи syslogd, в том числе и от Solaris, обеспечивает удалённое логирование, пишет в tty и может быть использован как сервер логов.
Использованы разные источники в т.ч.  gentoo-wiki.com и другие.
Для анализа логов можно использовать пакет logsentry, а именно скрипт Logcheck и его бинарник logtail. Он может быть запущен с помощью например cron и посылать уведомления на ящик roota.

Сообщение отредактировал drnet: 15.05.2007 - 11:47


#37 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 15.05.2007 - 13:16

Настройка Iptables
Информация для новичков
Вы можете легко написать правила не прибегая к помощи, например Firestarter. Файерволл в Linux как правило используется один - iptables. Остальное - это просто фронтенды к нему. А все его возможности активируются в ядре. Поэтому желательно научиться сначала компиллировать и настраивать ядро вашей системы, так как в разных дистрибутивах первоначальные настройки разные. Вы можете выбрать почти всё в виде модулей, которые будут автоматически загружаться при необходимости при загрузке  ip_tables, если он в виде модуля.  
Существует пять "петель" или цепочек куда вы можете приаттачить свои собственные правила.
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING
Вы можете даче прикрепить к этим цепочкам собственную, например так
Создаём цепочку с одним правилом, блокирующим все ICMP пакеты.(-X - удалить определённую вами цепочку, если она уже существует;-N -создать новую определённую пользователем цепочк;-A -прикрепить, -p - изменить политику цепочки на целевую(в данном случае - icmp); -j TARGET - применить политику в соответствии со значением TARGET.
Вместо  TARGET (цель) могут быть ACCEPT, DROP, REJECT, LOG, QUEUE, или MASQUERADE. Соответственно мы выбираем блокировку DROP. Можно выбрать и REJECT, но это не рекомендуется, хотя резульатат будет тем же.
iptables -X yourchain
iptables -N yourchain
iptables -A yourchain  -p icmp -j DROP
Исходящий трафик разрешён, входящий запрещён. Применяем это к стандартным цепочкам.
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
Цепляем вашу цепочку к стандартной INPUT.  
iptables -A INPUT -j yourchain
Вопрос на засыпку. А это нужно?  :)
Таким образом  просто добавляя простые правила вы настраиваете свой фаерволл.
Всё это на практике делается виде скрипта, который вы запускаете при старте системы. Как это конкретно делается зависит от вашего дистрибутива.
Как видите всё очень просто и прозрачно.

#38 Shurik

Shurik
  • Легенда форума

  • Модератор
  • 8 797 сообщений
  • Пол:Мужчина
  • Город:Нью-Переделкино
  • Интересы:Программист

Отправлено 15.05.2007 - 13:56

А потом попробуем добавить ещё что-то в INPUT - и будет облом. Надо или прямо в INPUT писать, или в yourchain добавить правило с -j RETURN

#39 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 15.05.2007 - 20:50

Как верно заметил Shurik  в данном случае необходимо определить TARGET (цель политики) как  RETURN.
Это означает, что мы прекращаем раскрутку этой цепочки и возвращаемся к следующему правилу  после правила, вызвавшего выполнение определённой нами цепочки. Предположим, что это последнее правило в цепочке или это правило с целью политики RETURN. Тогда судьбу этого многострадального пакета, который угораздило попасть к нам определяет политика встроенной цепочки.
Настройка Iptables

Почему же таблицы?
Пока в iptables существуют 4 таблицы:
filter
nat
mangle
raw

Таблица FILTER - Это таблица по-умолчанию. Именно туда мы и писали на самом деле наши правила. Ели бы мы хотели использовать другие таблицы, то передали бы её имя  в правиле при помощи опции -t. В этой таблице 3 встроенных цепочки.
INPUT
FORWARD
OUTPUT

В таблице NAT 3 встроенных цепочки. К этой таблице происходит обращение, когда встречается пакет, инициирующий новое соединение.
PREROUTING
OUTPUT
POSTROUTING

В таблице MANGLE сейчас 5( в старых ядрах до 2.18  только 2) Эта таблица используется для специального преобразования пакетов.
PREROUTING
OUTPUT
INPUT
FORWARD
POSTROUTING

В таблице RAW 2 правила. Про это таблицу вы можете прочитать в другом месте :P .
PREROUTING
OUTPUT

Вот и вся внешняя структура файерволла Linux. На практике вы не применяете большинство из этого.
Теперь можно диктовать Linux свои правила! :)

Как писать правила - звенья цепочек можно посмотреть в разных мануалах.

Борьба со сканированием и DoS атаками.

В качестве примера правил в цепочке приводится сложный, но актуальный пример борьбы со сканированием портов. Это позволяет выявить случаи сканирования. Правила добавляются в нашу дефолтную таблицу.
Теория или что мы делаем

Цитата

Обрабатывая заголовок TCP пакета, наш пакетный фильтр отслеживающий состояние может определить принадлежит ли полученный пакет TCP уже установленному соединению или нет и в зависимости от этого отбрасывает или принимает пакет.
Если пакетный фильтр не  отслеживает состояние, то можно обмануть такой фильтр, заставив его принять  ненужные пакеты изменив заголовок пакета TCP . Это можно сделать изменением флага SYN или других флагов в заголовке TCP. Тогда нехороший пакет будет обрабатываться как часть установленного соединения, так как сам по себе пакетный фильтр не отслеживает соединения. Если пакетный фильтр ослеживает состояние, то такие нехорошие пакеты можно отбросить, как не являющиеся частью уже установленного соединения. Это также позволит защититься от скрытого сканирования(stealth scan), при котором сканер посылает пакеты с такими флагами, которые имеют гораздо меньшую вероятность быть занесёнными в логи фаерволла чем обыкновенные SYN пакеты.

Iptables может обеспечить ограничение скорости. Это помогает при борьбе с DoS атаками типа SYN флудов.
  
Это известно, но чтобы кратко напомнить ...
Соединение TCP устанавливается так называемым тройным-рукопожатием.(увы - калька с анлийского самая верная при передаче смысла) Клиент посылает пакет на сервер с установленным SYN флагом. Сервер получает этот пакет и посылает клиенту  SYN+ACK пакет. Клиент получая этот пакет посылает серверу ACK пакет подтверждая соединение.
При атаках типа SYN флудов клиентом посылается SYN пакет, но на SYN+ACK он не отвечает. Так как он не отвечает и не нуждается в ответе, то он может сфабриковать пакет с фальшивым IP источника. Сервер добавляет этот пакет в очередь где находятся "недооткрытые" соединения при получении  SYN пакета от клиента и ждёт  ACK пакет, чтобы открыть соединение или удалить такое недооткрытое соединение из очереди по истечение некоторого времени.  Проблема в том,  что это время обычно 30-60 и более секунд, а очередь пакетов ограничена. Если мест в очереди нет, то сервер не может открыть новое соединение. Если на стороне клиента фабрикуется множество SYN пакетов с разными IP адресами источника и быстро посылаются на сервер, то очередь пакетов недооткрытых соединений забивается и другие клиенты не могут соединиться с сервером.  

Вот здесь нам и нужно ограничение скорости принимаемых SYN пакетов примерно до 1-2 в секунду. Таким образом мы побеждаем SYN флуд (DoS атаку). :)
Это пишется как например -m limit --limit 1/s в правилах. Сколько пакетов принимать вы определяете в зависимости от ваших потребностей. Зарезать слишком много пакетов нецелесообразно
  

Цитата

iptables -N check-flags
  iptables -F check-flags
  iptables -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit \
      --limit 5/minute -j LOG --log-level alert --log-prefix "NMAP-XMAS:"
  iptables -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
  iptables -A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit \
      5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
  iptables -A check-flags -p tcp --tcp-flags ALL ALL -j DROP
  iptables -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG \
      -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS-PSH:"
  iptables -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
  iptables -A check-flags -p tcp --tcp-flags ALL NONE -m limit \
      --limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
  iptables -A check-flags -p tcp --tcp-flags ALL NONE -j DROP
  iptables -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit \
      --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
  iptables -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
  iptables -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit \
      --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
  iptables -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

Сообщение отредактировал drnet: 17.05.2007 - 12:52


#40 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 17.05.2007 - 13:11

В Samba 3.0.25 устранена критическая брешь

Цитата

В программном пакете Samba устранена опасная уязвимость, эксплуатируя которую злоумышленники теоретически могут получить несанкционированный доступ к удаленному компьютеру.
Выявленная проблема связана с особенностями использования пакетом Samba динамической памяти. Организовать атаку можно путем отправки сформированного специальным образом запроса MS-RPC. Обработка такого запроса может спровоцировать выполнение произвольного программного кода на машине жертвы.
Как отмечает ComputerWorld, реальных случаев эксплуатации уязвимости пока зарегистрировано не было. Тем не менее, загрузить заплатку для дыры настоятельно рекомендуется всем пользователям продукта. Проблема присутствует в версиях Samba 3.0 до 3.0.25rc3 (включительно). Патчи доступны на сайте проекта.
http://nixp.ru
в который раз убеждаюсь, что главное слабое место Linux это Windows... :)

Сообщение отредактировал drnet: 17.05.2007 - 13:14


#41 ubnormal

ubnormal
  • Новичок

  • Новичок
  • 5 сообщений

Отправлено 22.05.2007 - 16:50

по статистике примерно находится 1-2 реальных дыры в год (слежу тольок за бсд)
а остальное - сферокони.
локальные уязвимости не касаются 99% админов т.к. обычно машина работает как блэкбокс.
Хуже когда находятся дыры в апаче, так что выделяйте дыры по классификации
система
ядро
стэк сетевой
левые програмулины

#42 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 22.05.2007 - 18:44

Создан новый кроссплатформенный макровирус
22 мая 2007, 17:39
http://itnews.com.ua/32636.html

Цитата

Вирусописатели создали кроссплатформенного червя, инфицирующего компьютеры с Windows, MacOS и Linux через пакет OpenOffice.
Макровирус под названием BadBunny - экспериментальный червь, не выходивший за пределы лаборатории. Большинство компаний-производителей антивирусного ПО присвоили ему низкий уровень угрозы.
Компьютеры пользователей OpenOffice могут быть заражены при открывании с помощью OpenOffice Draw файла badbunny.odg. Файл открывается, после чего скачивает и показывает пользователю изображение порнографического характера.

Сообщение отредактировал drnet: 22.05.2007 - 18:44


#43 Angry Judas

Angry Judas
  • ЙЦУКЕН - клавиатура

  • Пользователь
  • 2 432 сообщений
  • Пол:Мужчина
  • Город:Новые_Черемушки
  • Интересы:на что есть деньги

Отправлено 22.05.2007 - 18:50

помоему файл не является скриптом, чтоб скачивать чтото из сети...

#44 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 22.05.2007 - 19:08

Просмотр сообщенияAngry Judas (22.5.2007, 19:50) писал:

помоему файл не является скриптом, чтоб скачивать чтото из сети...
Судя по всему просто написан банальный макрос на VBA к .odg рисунку. Даже в  MS Office выполнение макросов отключено в целях безопасности и включается индивидуально для твоих документов, если нужно. Так что это скорее всего опять гипотетическая опасность. Макровирусы и в форточках встречаются крайне редко. Доступ к функциям API открыт - вот они на этом и основаны.

#45 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 23.05.2007 - 11:47

Обнаружение факта использования эксплоитов для Linux и FreeBSD

Цитата

В статье "Real-time exploits tracking with Anti-Exploit" показан пример использования ПО AntiExploit, которое через взаимодействие с модулем ядра dazuko для Linux и FreeBSD, осуществляет постоянный контроль файловых операций и определяет факт использования популярных эксплоитов по базе контрольных сумм, сообщает opennet.ru.
http://www.it-observ...cles.php?id=884

#46 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 25.05.2007 - 12:08

Компания SecurIT объявляет о выпуске новой версии системы Zserver 2.0 для ОС Linux.

Цитата

Напомним, что система Zserver входит в состав комплекса Zserver Suite, который предназначен для защиты информации на жестких дисках и дисковых массивах корпоративных серверов, в хранилищах SAN, на магнитных лентах и на дисках CD/DVD. Zserver Suite работает по принципу «прозрачного» шифрования носителей — система автоматически зашифровывает данные при записи на носитель и расшифровывает при чтении с него.
Система Zserver 2.0 для Linux реализует защиту разделов жестких дисков в ОС Linux с ядром 2.6. Новая версия Zserver поддерживает большинство наиболее популярных дистрибутивов Linux, в частности, SuSE, Red Hat, Ubuntu, Fedora, Mandriva, ALTLinux, Debian, Gentoo, Slackware и т.д.
Основное нововведение версии 2.0 — возможность централизованного управления системой из единой консоли Zconsole, которая используется для одновременного администрирования других продуктов компании SecurIT.
Таким образом, новая версия предлагает пользователям новые возможности по удобному управлению всеми производимыми SecurIT системами защиты информации.
Кроме этого, расширены возможности по подключению скриптов, определяемых пользователем, благодаря чему система может быть интегрирована в любую серверную среду. С помощью этих скриптов можно монтировать и размонтировать устройства и файловые системы, запускать и останавливать процессы и службы, посылать уведомления администратору по электронной почте и т.д.
«Проникновение Linux в КИС настолько велико, что мы не можем игнорировать этот сегмент, — заявил генеральный директор компании Алексей Раевский. — Мы заботимся о том, чтобы предлагать наиболее полное решение проблемы безопасного хранения данных, и поддержка Linux-платформ — обязательное условие этого. В ближайшее время мы планируем реализовать поддержку Linux и в других наших продуктах».
Система Zserver для Linux будет поставляться аналогично версии для Windows — в той же комплектации и на тех же условиях.
SecurIT специализируется на разработке и продвижении комплексных решений, обеспечивающих ИБ на корпоративных серверных платформах при хранении информации (server storage security), контроль доступа к внешним устройствам (device security) и двухфакторную аутентификацию.
http://www.cnews.ru/...07/05/24/251585

Уязвимости Linux kernel 2.6.20

Цитата

Найденные уязвимости позволяют удаленному злоумышленнику осуществить DoS атаку, обойти ограничения безопасности, получить доступ к конфиденциальной информации и выполнить произвольный код на целевой системе.
1) Уязвимость возникает из-за ошибки в Linux ELF бинарном загрузчике binfmt_elf в секции PT_INTERP. Атакующий может получить несанкционированный доступ к конфиденциальной информации на целевой системе.
2) Уязвимость возникает из-за ошибки разыменования нулевого указателя в IPV6_SockGlue.c. Эксплуатирование уязвимости приведет к отказу системы в обслуживании.
3) Уязвимость возникает из-за ошибки в работе с IPV6 TCP сокетами. Эксплуатирование уязвимости приведет к отказу системы в обслуживании.
Пример:
1) Открыть прослушивающий IPV6 TCP сокет
2) Прикрепить метку потока с IPV6_FLOWLABEL_MGR опцией сокета,
freq->flr_action == IPV6_FL_A_GET и соответствующими метаданными.
3) Установить соединение на прослушивающий сокет, и выполнить close().
4) Уязвимость возникает из-за ошибки разыменования нулевого указателя в net/ipv6/ipv6_sockglue.c. Атакующий может получить несанкционированный доступ к конфиденциальной информации на целевой системе.
Пример:
#include
int main(int argc, char *argv[]) {
  int s;
  unsigned int optlen = 4;
  s = socket(AF_INET6, SOCK_STREAM, IPPROTO_TCP);
  setsockopt(s, IPPROTO_IPV6, 6, (void *)NULL, 0);
  getsockopt(s, IPPROTO_IPV6, 59, (void *)NULL, &optlen);
  return 0;
}
5) Уязвимость возникает из-за ошибки в NETFILTER в функциональности nfnetlink_log при обработке пакетов. Эксплуатирование уязвимости приведет к отказу системы в обслуживании.
6) Уязвимость возникает из-за ошибки в проверке входных данных в Netfilter в nf_conntrack при обработке IPv6 пакетов. Эксплуатирование уязвимости приведет к возможности обхода правил файервола.
7) Уязвимость возникает из-за ошибки в проверке входных данных в функции Key_Alloc_Serial(). Эксплуатирование уязвимости позволит локальному атакующему совершить DoS атаку.
8) Уязвимость возникает из-за ошибки в освобождении памяти в nfs/acl сервере. Эксплуатирование уязвимости приведет к отказу системы в обслуживании.
9) Уязвимость возникает из-за ошибки в проверке входных данных в Omnikey CardMan 4040 драйвере. Эксплуатирование уязвимости позволит локальному атакующему выполнить произвольный код на целевой системе.  
23.05.2007 11:39:08©
http://www.xakep.ru/....asp?print=true
Несмотря на несерьёзность и лишь гипотетическую опасность - обновитесь по-возможности до 2.6.21 если используете IPv6. :)

Сообщение отредактировал drnet: 25.05.2007 - 15:37


#47 Angry Judas

Angry Judas
  • ЙЦУКЕН - клавиатура

  • Пользователь
  • 2 432 сообщений
  • Пол:Мужчина
  • Город:Новые_Черемушки
  • Интересы:на что есть деньги

Отправлено 27.05.2007 - 11:22

Просмотр сообщенияdrnet (25.5.2007, 13:08) писал:

Напомним, что система Zserver входит в состав комплекса Zserver Suite, который предназначен для защиты информации на жестких дисках и дисковых массивах корпоративных серверов, в хранилищах SAN, на магнитных лентах и на дисках CD/DVD. Zserver Suite работает по принципу «прозрачного» шифрования носителей — система автоматически зашифровывает данные при записи на носитель и расшифровывает при чтении с него.
отсебятина... Reiser4 тоже умеет это делать.... и вообще Изображение это в SuSE 10

Просмотр сообщенияdrnet (25.5.2007, 13:08) писал:

Уязвимости Linux kernel 2.6.20
The latest stable version of the Linux kernel is: 2.6.21.3

#48 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 04.06.2007 - 20:01

Антивирус ClamAV «излечили» от уязвимостей: DoS-атаки, произвольный код

Цитата

04.06.07, Пн, 18:59, Мск
Разработчики антивируса с открытым кодом, ClamAV, выпустили версию 0.9.3 с устранением уязвимостей, которые могли привести к удалённому выполнению кода или аварийному завершению программы.
Программа обновления антивируса, Freshclam, позволяла выполнять произвольный код через ошибку процедуры обработки посредством специально сформированных ответов DNS; программа использует такие ответы для передачи и проверки номера версии. При сканировании архивов ZIP, GZ, BZIP2 и SZDD антивирус иногда сохранял файлы в папке /tmp с привилегиями на чтение для всех пользователей, что позволяло локальным пользователям получать доступ к конфиденциальной информации других пользователей. Отказ в обслуживании был возможен из-за ошибки в обработке потоков данных OLE в документах. Также ClamAV не мог нормально обрабатывать архивы RAR.
Исходный и исполняемый код антивируса для Windows можно загрузить с сайта. Версия для Linux пока не готова. Антивирус выпускается для Linux, BSD и Windows.

http://pda.cnews.ru/...07/06/04/253409

#49 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 28.06.2007 - 13:20

В плеере RealPlayer найдена критическая брешь

Цитата

В программных плеерах RealPlayer и HelixPlayer компании RealNetworks выявлена критически опасная уязвимость, которая теоретически обеспечивает возможность выполнения произвольного программного кода на удаленном компьютере.
О дыре сообщили специалисты iDefense. Проблема связана с ошибкой переполнения буфера, возникающей в плеерах RealNetworks при обработке составленных специальным образом SMIL-файлов (Synchronized Multimedia Integration Language). Для организации атаки злоумышленнику достаточно заманить жертву на вредоносный веб-сайт в интернете.
Брешь присутствует в приложениях RealPlayer 10 и 10.5 Gold для операционных систем Windows, плеере RealPlayer 10 для Mac OS X, а также приложении HelixPlayer для открытой программной платформы Linux. Компания RealNetworks уже выпустила обновленные версии RealPlayer и HelixPlayer, в которых уязвимость устранена. Однако каких-либо официальных уведомлений о дыре на сайте технической поддержки RealNetworks пока не опубликовано.
Нужно отметить, что на днях RealNetworks представила бета-версию плеера RealPlayer 11. Основным нововведением в RealPlayer 11 является возможность сохранять видеоклипы, размещенные в интернете, на жестком диске компьютера через удобный интерфейс. Новый плеер предлагается в бесплатном варианте и расширенной модификации RealPlayer Plus стоимостью в 30 долларов США. Версия RealPlayer Plus включает в себя все возможности бесплатного плеера, а также позволяет осуществлять запись материалов на оптические диски DVD.

http://security.comp...=yandex&r2=news

#50 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 28.08.2007 - 15:26

Linux-версия Skype считывает пользовательские профили FireFox



Цитата

Пользователи операционной системы Linux стали замечать, что соответствующая версия популярного P2P-телефона Skype при работе производит обращения к файлам, не имеющим никакого отношения к функционированию самой программы.

С помощью специального инструментария AppArmor удалось установить, что Skype считывает данные каталога /etc/passwd, пользовательские профили вэб-браузера FireFox и другие данные, никак не связанные с работой программы. Приложение AppArmor является защитной системой, построенной на мониторинге политик безопасности. Оно даёт возможность установить, с какими правами приложение может получить доступ к тем или иным системным ресурсам.

С какой целью Skype затрагивает «чужие» компоненты пока точно не известно. А факт, что приложение таки считывает эти данные, подтверждён с помощью утилиты strace, предназначенной для диагностики и отладки.


#51 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 17.09.2007 - 14:42

Цитата

17 сентября, 2007
Программа: Gentoo Linux 1.x

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки проверки границ данных в функции "local__vcentry_parse_value()" файла vorbiscomment.c. Злоумышленник может обманом заставить пользователя проиграть специально сформированный FLAC файла, вызвать переполнение буфера и выполнить произвольный код на целевой системе.

URL производителя: www.gentoo.org

Решение: Установите последнюю версию media-sound/flac123-0.0.11 или выше с сайта производителя.
http://www.securityl...lity/302902.php
Это крайне редко используемое консольное приложения для проигрывания flac.

Сообщение отредактировал drnet: 17.09.2007 - 14:44


#52 Vaska

Vaska
  • Пользователь

  • Пользователь
  • 267 сообщений
  • Интересы:17b4de1c20117b8a063f64983d84a681fba48bd7

Отправлено 02.10.2007 - 18:21

Автор: Xarth & LynX

Цитата

Цель - защита системы от взломщика, путем выдачи ему ложных данных. Разговор пойдет о *NiX.
Давно известно, что прежде чем производить взлом, надо собрать
информацию о жертве. Например, чтобы использовать удаленный эксплоит
Sendmail, надо узнать версию Sendmail и найти эксплоит под эту версию.
Если взломщик не узнает версию, то ему останется либо искать другой
путь взлома, либо попробовать все эксплоиты (что редко происходит). В
общем цена информации понятна, приступим к делу!

1. В папке /etc есть файлы issue и issue.net,
задача первого - выдать приветствие при доступе с локального терминала,
а другого - с telnetd. Содержимое файлов нужно изменить, например
вместо "* Welcome to RedHat 6.2 *" написать "* Welcome to Mandrake 8.2
*". Это гораздо полезней, чем написать "* Welcome *", т.к. при виде
приветстивя Mandrake, взломщик будет ориентироваться на то, что на
машине-жертве сторит Mandrake, а при появлении простого приветствия,
взломщик полезет дальше, чтобы узнать информацию. Хотя он все равно
узнает верную информацию, но потеряет время.

2
. Файл shells в той же папке. Он хранит адрес к shell. Тоже лучше сменить на недостоверную информацию.

3. /etc/Mandrake
- Здесь хранится версия дистрибутива Юниха. Посмотрите дальше смотрите
сами, какие еще файлы с информацией хранятся в папке /etc, а мы следуем
дальше.

4. Меняем баннеры дальше. SSHD. Версия
храниться в файле version.h. SENDMAIL. Тут будет немного сложнее чем в
случае с SSHD. Заходим в папку с исходниками и ищем там файл version.c,
и меняем там версию. Теперь заходим в файл sendmail.cf, ищем там
строчку с настоящей версией и тоже заменяем. В случае с WU-FTPD тоже
ничего сложного нету: идем в папку с исходниками и открываем файл
newvers.sh. Ищем там строчку

"printf "char version[] = "Version wu-2.6.1(%d) ", edit > "vers.c";"

Как
видно, эта строчка создает файл vers.c, в который и записывает версию.
Нам надо заменить версию тут и откомпилировать. Вообще надо всегда
изменять баннеры, т.к. они дают очень важную информацию.

5. При взломе, чтобы определить ОС удаленной машины юзают queso,
etc. Данная программа посылает запрос на машину и получив ответ
анализирует его (в результате в зависимости от ответа определяется ОС).
Твоя задача заключается в том, чтобы настроить свой файрволл таким
образом, чтобы тот не отвечал на данный запрос или отвечал ложно.

6.
Не помешало бы и открыть несколько ложных портов, на которые запихнуть
ложные данные. Как это сделать, читай в статье Безопасность в Линуксе.

7. Ты наверно уже слышал о такой классной для хацкеров, но вредной для твоей линухи команде uname
которая с опцией –a, выводит много информации о атакуемой машине (тип
ос, версия ядра etc.) Для нас это не есть гуд, так что, мы переделаем
эту команду так, чтобы она выводила только то, что мы ей скажем и этим
самым сбивала взломщика с толку. Нормальная команда uname хранится обычно в папке /bin, так что залезь в нее и присвой такие права доступа: chmod og-rx uname. Теперь зайди в папку /etc/skel – там хранятся файлы .bashrc, bash_profile
и остальное добро, которое копируется в домашнюю директорию каждому
пользователю на твоей машине, после создания для него аккаунта. Открой
файл /etc/skel/bash_profile – этот файл хранит в себе значения
переменных (то есть он является чем-то вроде файла инициализации). Ниже
я опишу некоторые переменные:

$PATH – хранит в себе путь к папкам, в которых хранятся файлы команд.
(пути к папкам разделяются ":" например /bin:/usr/bin:/sbin).
$HOME – хранит путь к домашней директории.
$PS1 – хранит приглашение (по умолчанию "{:content:}quot; но можно изменить).

!Caution! Что бы просмотреть значения какой-то переменной, используют команду echo $имя_переменной.

После того, как ты его открыл, присвой переменной $PATH первое значение /usr/bin. Это означает, что если будет введена команда uname, то ее сначала будут искать в /usr/bin, но ее там нет, поэтому исправим это :) . Иди в папку /usr/bin
и создай файл uname, после пиши в него это (аналог команды uname я
написал на Перле, но можно и на Си, хотя это не так уж и страшно

 #!/usr/bin/perl 
 
  while () { 
 
  if ($_ eq '') { 
 
  print "FreeBSD "; 
 
  } 
 
  if ($_ eq '-a') { 
 
  $time=scalar(localtime); 
 
  print "FreeBSD 4.2.2 localhost.localdomain 2.2.14-11src #1 $time CERT 2000 i586 unknown "; 
 
  } 
 
  if ($_ eq '--help') { 
 
  print qq{ 
 
  Использование: uname [КЛЮЧ]... 
 
  Печатает определенные сведения о системе. По умолчанию КЛЮЧ="-s". 
 
  -a, --all напечатать всю информацию 
 
  -m, --machine напечатать тип машин 
 
  -n, --nodename напечатать имя машины в сети 
 
  -r, --release напечатать номер выпуска операционной систем 
 
  -s, --sysname напечатать название операционной систем 
 
  -p, --processor напечатать тип процессора 
 
  -v напечатать версию операционной систем 
 
  --help показать эту справку и выйти 
 
  --version показать информацию о версии и выйти 
 
  Об ошибках сообщайте . };} 
 
  if ($_ eq '-m') { 
 
  print "i586 ";} 
 
  if ($_ eq '-n') { 
 
  print "localhost.localdomain ";} 
 
  if ($_ eq '-r') { 
 
  print "2.2.14-11src ";} 
 
  if ($_ eq '-s') { 
 
  print "FreeBSD ";} 
 
  if ($_ eq '-p') { 
 
  print "unknown ";} 
 
  if ($_ eq '-v') { 
 
  $time=scalar(localtime); 
 
  print "#1 $time CERT 2000 ";} 
 
  }


Права доступа ставь такие: chmod og+x uname.
Все теперь uname слушается тебя и говорит всем что у тебя стоит
FreeBSD, версия ядра 2.2.14-11src etc :) . Так ты можешь сделать и с другими командами, если ты хочешь чтобы они выводили только то, что тебе нужно.

8. Как всем известно, в никсах пароли обычно хранятся в определенных файлах (passwd, shadow, master.passwd). В линухе пассы лежат в shadow, а все остальное в passwd,
тоесть файла master.passwd для системы нет, а мы его сделаем не для
системы, а для горе-взломщиков, которые захотят получить наши пароли и
не увидят файла shadow :P
. Для этого создай файл master.passwd в папке /etc и пиши следующее
(для наглядного примера я взял файл пассов с www.crc.losrios.cc.ca.us,
так что ты можеш заюзать Джони, расшифровать их и поиметь этот сайт :P :

root:/xDSBsAdco3v.:0:3::/root:/sbin/sh
www:N74jZlzME3vI2:201:200:,,,:/www:/usr/bin/false
thomagm:GUXqxHZzHSRFU:202:20:Gina
M.Thomas-Lord,CRC,7226,:/home/thomagm:/usr/bin/rksh
apedaid:GUOPOM/y.WlhE:203:20:Dewayne
Apedaile,CRC,7392,:/home/apedaid:/usr/bin/rksh
bennetg:ral5BQAMbqbRc:208:20:Gary
P.Bennett,CRC,7353,:/home/bennetg:/usr/bin/rksh

Вот
вроде и все, если ты все это учтешь при настройке/установки своего
никса, то обезапасишь себя от несанкционированного доступа взломщиков к
картинкам твоего кота Мурзика :P . Удачи!


#53 PadonaK

PadonaK
  • Знаток

  • Динозавр Форума
  • 1 324 сообщений
  • Пол:Мужчина
  • Город:Солнцево
  • Интересы:-=PadonaK=- - креативно мыслящий ЧИЛАВЕК, лишОнный привычных марально-этических принцЫпов...

Отправлено 06.10.2007 - 14:11

не знаю....  зачем такой огород городить ? Если зашол он под ROOT -  от команды  rm -rf * -  УЖЕ НЕ СПАСЁТ ничего ! :)

#54 Angry Judas

Angry Judas
  • ЙЦУКЕН - клавиатура

  • Пользователь
  • 2 432 сообщений
  • Пол:Мужчина
  • Город:Новые_Черемушки
  • Интересы:на что есть деньги

Отправлено 06.10.2007 - 17:31

спасёт: SELinux

#55 sneg12

sneg12
  • Новичок

  • Пользователь
  • 33 сообщений
  • Пол:Мужчина

Отправлено 10.01.2008 - 01:05

Безопасность *nix основывается на неприкосновенности информации (т.е. файлов), что является пассивной безопасностью. Есть права хозяина, группы, остальных. Но угроза (надо отличать угрозу от атаки) безопасности исходит из того, что если файл  был открыт , то он попадает в списки открытых и им могут потенциальо завладеть
другие процессы, а ограничения по использованию процессов  в *nix нет. Потенциально в Linux  'nix это сделать возможно, но мне на глаза ничего не попадалось ( Если решения есть подскажите!). В Vista эту проблему решили ( в XP она принципиально тоже решена ). Вместо того чтобы решать кто умнее, лучше предложите код на  Cи или хотя бы  скрипт на bash или т.п.

#56 Deus

Deus
  • No one lives forever

  • Динозавр Форума
  • 1 675 сообщений
  • Пол:Мужчина
  • Город:Чертаново

Отправлено 10.01.2008 - 09:56

sneg12, чего за списки открытых? приведи пример.

Уже сказли что есть selinux, еще есть acl (списки доступа), делающие как в винде разные права на файл для юзеров.

#57 _Afrit_

_Afrit_
  • Знаток

  • Пользователь
  • 1 379 сообщений
  • Пол:Мужчина

Отправлено 10.01.2008 - 13:46

Просмотр сообщенияsneg12 (10.1.2008, 1:05) писал:

Но угроза (надо отличать угрозу от атаки) безопасности исходит из того, что если файл  был открыт , то он попадает в списки открытых и им могут потенциальо завладеть
другие процессы, а ограничения по использованию процессов  в *nix нет. Потенциально в Linux  'nix это сделать возможно, но мне на глаза ничего не попадалось ( Если решения есть подскажите!). В Vista эту проблему решили ( в XP она принципиально тоже решена ). Вместо того чтобы решать кто умнее, лучше предложите код на  Cи или хотя бы  скрипт на bash или т.п.

поясни, каких "ограничений по использованию процессов в *nix" нет.

#58 Angry Judas

Angry Judas
  • ЙЦУКЕН - клавиатура

  • Пользователь
  • 2 432 сообщений
  • Пол:Мужчина
  • Город:Новые_Черемушки
  • Интересы:на что есть деньги

Отправлено 10.01.2008 - 13:58

типа ты можешь получить доступ к открытому файлу...

#59 _Afrit_

_Afrit_
  • Знаток

  • Пользователь
  • 1 379 сообщений
  • Пол:Мужчина

Отправлено 10.01.2008 - 15:21

еще раз повторюсь. не понимаю эту фразу

Цитата

ограничения по использованию процессов в *nix нет
попробуйте изменить приоритет или послать сигнал чужому процессу и т.п. - это не ограничение?

p.s. помимо selinux есть и другие модели безопасности на основе мандатного доступа(и не только разумеется), например RSBAC

#60 sneg12

sneg12
  • Новичок

  • Пользователь
  • 33 сообщений
  • Пол:Мужчина

Отправлено 10.01.2008 - 22:31

Я не профи , но прочитав одну книжку, "Основы операционных систем" Карпов В.Е., Коньков К.А. где о безопасности тоже шла речь, задумался по поводу того что там написали.
  
Цитата :    " права доступа к файлу проверяются только на этапе открытия(речь идёт о Unix). При последующих операциях чтения и записи проверка не выполняется. В результате, если режим доступа к файлу меняется после того, как файл был открыт, это не сказывается на процессах, уже открывших этот файл. Данное обстоятельство является уязвимым с точки зрения безопасности местом." А этот файл  может быть открыт сколько угодно долго.

Я не на что не претендую. Просто хотел узнать мнение по этому поводу более опытных людей. В частности там же приводится пример с Windows.

Цитата:     Windows NT отслеживает и контролирует доступ как к объектам, которые пользователь может видеть посредством интерфейса (такие, как файлы и принтеры), так и к объектам, которые пользователь не может видеть (например, процессы и именованные каналы).

Хочу уточнить, что речь шла о Unix  а не о Linux  и мне стало интересно, что предлагает Linux. В частности я узнал о selinux.




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 скрытых пользователей