Перейти к содержимому


- - - - -

Безопасность *nix


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 75

#61 _Afrit_

_Afrit_
  • Знаток

  • Пользователь
  • 1 379 сообщений
  • Пол:Мужчина

Отправлено 11.01.2008 - 00:08

Просмотр сообщенияsneg12 (10.1.2008, 22:31) писал:

Я не профи , но прочитав одну книжку, "Основы операционных систем" Карпов В.Е., Коньков К.А. где о безопасности тоже шла речь, задумался по поводу того что там написали.
  
Цитата :    " права доступа к файлу проверяются только на этапе открытия(речь идёт о Unix). При последующих операциях чтения и записи проверка не выполняется. В результате, если режим доступа к файлу меняется после того, как файл был открыт, это не сказывается на процессах, уже открывших этот файл. Данное обстоятельство является уязвимым с точки зрения безопасности местом." А этот файл  может быть открыт сколько угодно долго.

Я не на что не претендую. Просто хотел узнать мнение по этому поводу более опытных людей. В частности там же приводится пример с Windows.

Цитата:     Windows NT отслеживает и контролирует доступ как к объектам, которые пользователь может видеть посредством интерфейса (такие, как файлы и принтеры), так и к объектам, которые пользователь не может видеть (например, процессы и именованные каналы).

Хочу уточнить, что речь шла о Unix  а не о Linux  и мне стало интересно, что предлагает Linux. В частности я узнал о selinux.
(теперь хоть понятно о чем именно шла речь.)
это экскурс в историю, о недостаточной эффективности/недостатках классической модели прав доступа в юникс.
другие недостатки например тут http://heap.altlinux...ralex/ch03.html

связаная тема, блокировка файлов http://www.server.md/articles/38/

#62 HadesChief

HadesChief
  • Изучает местность

  • Пользователь
  • 71 сообщений
  • Пол:Мужчина
  • Город:Красногорск

Отправлено 11.01.2008 - 13:27

Просмотр сообщенияsneg12 (10.1.2008, 22:31) писал:

В результате, если режим доступа к файлу меняется после того, как файл был открыт, это не сказывается на процессах, уже открывших этот файл. Данное обстоятельство является уязвимым с точки зрения безопасности местом." А этот файл  может быть открыт сколько угодно долго.

Во-первых режимы доступа не так уж и часто приходится менять, в особенности у тех файлов, которые открыты сколь угодно долго. А если уж и найдётся такой файл, и уж так приспичит к нему сменить права доступа, и нельзя будет убить процесс, который его открыл со старыми правами (имхо фантастическая картина), то что мешает тупо перезагрузить машину?

У Windows NT конечно больше всяких наворотов, мандатов, и прочей фигни. Но если они действительно нужны, то можно поставить selinux. А если не нужны, а только мешают, то как их из Windows NT убрать?

#63 pelmen

pelmen
  • Знаток

  • Пользователь
  • 1 156 сообщений

Отправлено 11.01.2008 - 15:45

Просмотр сообщенияHadesChief (11.1.2008, 13:27) писал:

Во-первых режимы доступа не так уж и часто приходится менять, в особенности у тех файлов, которые открыты сколь угодно долго. А если уж и найдётся такой файл, и уж так приспичит к нему сменить права доступа, и нельзя будет убить процесс, который его открыл со старыми правами (имхо фантастическая картина), то что мешает тупо перезагрузить машину?

У Windows NT конечно больше всяких наворотов, мандатов, и прочей фигни. Но если они действительно нужны, то можно поставить selinux. А если не нужны, а только мешают, то как их из Windows NT убрать?
На ум приходит пример:
Сервер в Москве. Ты удаленно из Америки меняешь, например, пароль рута. А оказывается, что файл с паролями открыт, например, прежним админом (он, когда его увольняли, быстренько зашел под своим логином и открыл /etc/passwd и оставил комп включенным на пару недель, пока в ближайшей пивной отходит от морального шока и финансового кризиса) Вот он вернулся домой и закрыл файл с сохранением изменений.
Прав ли я?
всех с новым годом и KDE4 :)

#64 HadesChief

HadesChief
  • Изучает местность

  • Пользователь
  • 71 сообщений
  • Пол:Мужчина
  • Город:Красногорск

Отправлено 11.01.2008 - 16:02

Просмотр сообщенияpelmen (11.1.2008, 15:45) писал:

На ум приходит пример:
Сервер в Москве. Ты удаленно из Америки меняешь, например, пароль рута. А оказывается, что файл с паролями открыт, например, прежним админом (он, когда его увольняли, быстренько зашел под своим логином и открыл /etc/passwd и оставил комп включенным на пару недель, пока в ближайшей пивной отходит от морального шока и финансового кризиса) Вот он вернулся домой и закрыл файл с сохранением изменений.
Прав ли я?

Команда fuser -mk /etc/passwd убьёт всех, кто открыл etc/passwd, в том числе и ту программу, которой он открыл файл.
А вообще по-хорошему надо было сразу убить все процессы старого админа, поскольку он мог и шелл оставить открытым.

А вообще грамотный уволенный админ ставит руткиты, и спокойно пьёт пиво, и ни мандатная система безопасности ни Windows NT против него не помогут.

#65 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 11.01.2008 - 17:12

Просмотр сообщенияHadesChief (11.1.2008, 16:02) писал:

А вообще грамотный уволенный админ ставит руткиты, и спокойно пьёт пиво, и ни мандатная система безопасности ни Windows NT против него не помогут.
Грамотный специалист, который придёт вместо него в первую очередь будет искать руткиты и постепенно переустановит и перенастроит софт на всех машинах.
SELINUX не есть гут в некоторых случаях, так как снижает многие возможности.
sneg12,
Эту книгу написали люди из ИНТУИТА :) . И для объёма часто в книги для заполнения объёма  включаются разные глупости, и в том числе от MS. Это потенциальная и теоретическая уязвимость. Покажи мне хотя бы концепт экплойта, а тогда можно и поговорить.

#66 pelmen

pelmen
  • Знаток

  • Пользователь
  • 1 156 сообщений

Отправлено 11.01.2008 - 19:19

Просмотр сообщенияHadesChief (11.1.2008, 16:02) писал:

Команда fuser -mk /etc/passwd убьёт всех, кто открыл etc/passwd
Прям заклинание какое-то :)

#67 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 18.02.2008 - 17:17

Кстати желательно обновить ядро, до версии > 2.6.24.2. Существует эксплойт, правда локальный, который позволяет получать права рута, но только локальному пользователю.  Эксплойт здесь... http://bugs.debian.o....cgi?bug=464953

#68 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 14.05.2008 - 20:12

Повышение безопасности с помощью многоэкземплярности директорий
как с помощью PAM подключить механизм пространств имён
http://www.ibm.com/d...a...&S_CMP=GR01
Внимание дебианщиков и всех основанных на нём дистрах типа Ubuntu!

Цитата

Было обнаружено, что ГСЧ в пакете openssl в Debian (а также Debian-based дистрибутивах) был предсказуемым с версии 0.9.8c-1 (добавленной в unstable 2006-09-17) из-за Debian-специфичной поправки. Могли быть затронуты ключи SSH, OpenVPN, DNSSEC и ключевой материал для сертификатов X.509, а также ключи сессий SSL/TLS-соединений. Рекомендуется пересоздать весь криптографический материал, созданый OpenSSL начиная с версии 0.9.8c-1 на системах Debian. Также следует считать скомпрометированными все ключи DSA, использованные для подписывания или авторизации на затронутых системах Debian, т.к. Digital Signature Algorithm завязан на секретное случайное число, используемое при генерации.
Должны быть выложены: детектор слабого ключевого материала http://security.debi...rg/project/ex... и инструкции по смене ключей.
Ошибка была исправлена в stable ветке (etch) с версии 0.9.8c-4etch3. В unstable ветке (sid) и тестовой (lenny) ошибка исправлена с 0.9.8g-9. Старая stable ветка (sarge) не затронута. Также в пакете openssl были исправлены еще две уязвимости

http://lists.debian....8/msg00152.html

#69 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 22.05.2008 - 23:57

Полезный плагин для Firefox при серфинге и анализе ресурса.
http://toolbar.netcraft.com/install

#70 Angry Judas

Angry Judas
  • ЙЦУКЕН - клавиатура

  • Пользователь
  • 2 432 сообщений
  • Пол:Мужчина
  • Город:Новые_Черемушки
  • Интересы:на что есть деньги

Отправлено 21.06.2008 - 12:23

В кофеварке с выходом в интернет найдена удаленная уязвимость
В сетевом ПО кофеварки Jura F90, снабженной средством дистанционного управления через интернет, обнаружена уязвимость, которая позволяет злоумышленникам менять режимы варки кофе, например, изменить степень крепости напитка или объем жидкости, наливаемой в чашку.

Суть проблемы в том, что после подключению Jura F90 к компьютеру, программное обеспечение производителя автоматически активирует инженерный интерфейс, при помощи которого представители компании могут провести диагностику устройства. Недоработки программы привели к возможности не только бесконтрольного доступа к кофеварке, но и получению доступа к машине пользователя.

#71 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 18.07.2008 - 12:25

Уязвимости в ядре Linux и нужно ли их хранить в тайне

Цитата

После анонса 2.6.25.10 релиза стабильной версии ядра, Greg Kroah-Hartman в сопроводительном тексте обратил внимание(http://lkml.org/lkml/2008/7/3/40) на то, что пользователи должны обязательно обновить ядро, не уточнив при этом причину. О том, что данная необходимость связанна с устранением многочисленных уязвимостей стало известно только спустя неделю, после публикации отчетов(http://secunia.com/advisories/31048/) о проблемах безопасности на специализированных ресурсах.

Сделанный акцент на слове «обязательно» породил(http://kerneltrap.or...ux/Security_...) продолжительную дискуссию на тему, являются ли дефекты, связанные с безопасностью, какими-то особенными, а их исправление – «героическим» поступком.

Свое мнение высказал и Linus Torvalds: «Я рассматриваю ошибки, ведущие к проблемам с безопасностью, как “обычные”. Если они появляются, я не пытаюсь это скрыть, но и не вижу причины раздувать шумиху по этому поводу… На самом деле, исправление обычных ошибок является более важной задачей, поскольку их намного больше… Я считаю необходимым просто хорошо делать свою работу и не потворствую тем, кто хочет превратить безопасность в шоу».

По вопросу публикации обнаруженных уязвимостей мнения разработчиков тоже расходятся. Для документации проблем безопасности в начале 2005 года была создана специальная закрытая рассылка(http://kerneltrap.org/node/4540). Но единой точки зрения на проблему необходимости раскрытия всей информации об имеющихся недостатках до сих пор не выработано.


http://www.linux.org.ru/

#72 PadonaK

PadonaK
  • Знаток

  • Динозавр Форума
  • 1 328 сообщений
  • Пол:Мужчина
  • Город:Солнцево
  • Интересы:-=PadonaK=- - креативно мыслящий ЧИЛАВЕК, лишОнный привычных марально-этических принцЫпов...

Отправлено 29.07.2008 - 22:56

/* Debian (maybe other derivates |KUDUBUTUNTU|) OpenSSH Remote -=Authenticated=- SELinux Privilege Elevation
*** Fedora/RHEL Linux should be tested because it _MAY_ contain the same vulnerability
*** in it's OpenSSH patches in a time slice. Latest OpenSSH should not be vulnerable. Older Debian Releases may.
**** One vulnerable example is "openssh-SNAP-20070303.tar.gz", currently reachable at
****  [url="ftp://ftp.bit.nl/mirror/openssh/openssh-SNAP-20070303.tar.gz"]ftp://ftp.bit.nl/mirror/openssh/openssh-SNAP-20070303.tar.gz[/url]
****
*** See the "Diff Patch" by Debian:
*** +		authctxt->role = role ? xstrdup(role) : NULL;
**** Where the role is defined in the username after a forward slash '/'
**** So anyone can set arbritrary SELinux roles, when OpenSSH is configured with --with-selinux - 
**** What is a common configuration nowadays.
**** For the kids:
***** ssh -lusername:[style]/ host
***** ssh -p2222 -lusername:/wishedrole 127.0.0.1
**** ':' means [style] -> [[not relevant]] '/' is the specified SELinux role.
**** 
**** This seams to be a bug jailed in some distros because of legacy code.
****
**** 'Exploit' found and delivered by Kingcope.
***//Želiteb0yŽ//
**** CHEERIO ****/
REM blablablaIHAVEPRETTYIDEAHOWSELINUXRUNSWORKSORWHATE
VERblablabla

# milw0rm.com [2008-07-17]


http://milw0rm.com

Сообщение отредактировал PadonaK: 29.07.2008 - 22:58


#73 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 02.10.2008 - 23:06

Xen поверх DRBD

Цитата

Здесь описывается каким образом можно построить распределённую отказоустойчивую платформу, предназначенную для исполнения множества виртуальных систем, объединённых в сеть произвольной топологии. Описано специальное программное обеспечение (скрипты xen-drbd), которое предназначено для упрощения развёртывания кластера и управления им.
http://xgu.ru/wiki/Xen/drbd

#74 drnet

drnet
  • ♞♞♞♞♞♞♞♞♞

  • Динозавр Форума
  • 8 810 сообщений
  • Пол:Мужчина
  • Город:
  • Интересы:В детстве был конструктор Лего, увлечение осталось.<br />Создал свой Лего для взрослых :)

Отправлено 25.03.2009 - 14:16

Ботнет атакует: червь для Linux-based роутеров

В сети появился новый червь "psyb0t", отличительными особенностями которого являются:

    * это — первый ботнетовый червь, поражающий роутеры и DSL-модемы;
    * содержит шеллкод для многих устройств на базе mipsel;
    * не нацелен на ПК или серверы;
    * использует множество техник, включая брутфорсовый подбор username:password;
    * собирает пароли, передаваемые по сети;
    * может сканировать сеть на предмет уязвимых серверов с phpMyAdmin и MySQL.

Уязвимы Linux-устройства на базе mipsel, с открытым web-интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.


Блокируются порты 22, 23, 80 в процессе инфицирования (но не как часть работы самого руткита, запуск самого руткита не меняет конфигурацию iptables).

Если порты заблокированы, то ребутните вручную кнопкой, смените пароль администратора и обновите драйвер.
Это поможет удалить руткит и избежать повторного инфицирования.
Подробности здесь:
http://dronebl.org/blog/8

#75 logic221

logic221
  • Новичок

  • Новичок
  • 1 сообщений

Отправлено 04.07.2012 - 23:35

как безопаснее сделать работу в сети:
1.сложный пароль root
2.firestarter
3.ClamTK Virus Scanner
4.keepassx
5...
Является ли это панацеей, или есть еще варианты?
Или например ubuntu уже изначально безопасен с настройками по умолчанию?

Сообщение отредактировал logic221: 04.07.2012 - 23:35


#76 Erdees

Erdees
  • Белый и пушистый

  • Администратор
  • 4 315 сообщений
  • Пол:Мужчина
  • Город:/dev/urandom

Отправлено 06.07.2012 - 16:52

Просмотр сообщенияlogic221 (04.07.2012 - 23:35) писал:

как безопаснее сделать работу в сети:
1.сложный пароль root
2.firestarter
3.ClamTK Virus Scanner
4.keepassx
5...
Является ли это панацеей, или есть еще варианты?
Или например ubuntu уже изначально безопасен с настройками по умолчанию?
Смотря какую функцию будет выполнять сервер. То что Вы написали, во многом случае не требуется вообще.
Почитайте про selinux, chmod и безопасность ssh, для начала.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 скрытых пользователей