URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 11733
[ Назад ]

Исходное сообщение
"OpenNews: Безопасность ядра ОС UNIX"

Отправлено opennews , 01-Июл-05 15:34 
В документе (http://www.nexis.ru/articles/kernelsecure.htm) рассмотрена возможность написания модуля Linux ядра, перехватывающего системные вызовы для скрытия следов взлома. Приведен краткий обзор существующих средств защиты (Chkrootkit (http://www.chkrootkit.org/), Rkdet (http://www.vancouver-webpages.com/rkdet/), LIDS (http://www.lids.org/)).

URL: http://www.nexis.ru/articles/kernelsecure.htm
Новость: http://www.opennet.me/opennews/art.shtml?num=5712


Содержание

Сообщения в этом обсуждении
"Безопасность ядра ОС UNIX"
Отправлено Jio , 01-Июл-05 15:34 
Нда.. все это правда, но немного слабовато для НИИ

"Безопасность ядра ОС UNIX"
Отправлено Аноним , 01-Июл-05 15:43 
Ага, а ссылка на Rkdet приведена вообще старая.. 2002 год

"Безопасность ядра ОС UNIX"
Отправлено Максим , 01-Июл-05 15:39 
Все об этом говорят, но ни разу не встречал, чтобы сисадмин настолько заморачивался с безопасностью... Интересно, в какого рода случаях приходится ставить LIDS? В случае работы с гостайной??? наверное нет..

"Безопасность ядра ОС UNIX"
Отправлено Артем , 01-Июл-05 15:55 
Наверное там, где есть несколько админов. НСД к системе так или иначе возможен, если в ней работает сразу несколько юзеров, даже если у них не админские права

"Безопасность ядра ОС UNIX"
Отправлено Jio , 01-Июл-05 17:00 
>Наверное там, где есть несколько админов. НСД к системе так или иначе
>возможен, если в ней работает сразу несколько юзеров, даже если у
>них не админские права

Нет, ну тема безусловно актуальная. Кстати она частично была реализована нашими программерами в МСВС. Это я про мандатную политику разделения доступа, если что :)


"Безопасность ядра ОС UNIX"
Отправлено SD , 01-Июл-05 21:34 
МСВС не впечатлил, если честно - какой-то он недоделанный немного, уж извините, отечественные разработчики

"Безопасность ядра ОС UNIX"
Отправлено execve , 03-Июл-05 12:26 
>Нет, ну тема безусловно актуальная. Кстати она частично была реализована нашими программерами
>в МСВС. Это я про мандатную политику разделения доступа, если что
>:)

AFAIK они взяли это из RSBAC.


"ставить LIDS? - просто чтобы"
Отправлено Банзай , 04-Июл-05 01:44 
не накатывать сервак и контент шесть раз в год из таров гэзэ.

Перебой, однако. Теряется пятая девятка.

Воткнись в Сеть няпрямую и узри отчеты snort'a.

Славно трындеть, сидя в виртуале за забором провайдерских сысок.

Но баранам, кстати, и там нет покоя. Я просто ссал кипятком, наблюдая, как скрипт гасил "сереверы" с пэхэпэБЭБОЙ.

Для справки. За 2 суток было угандошено 44000 серверов. И эпидемия была отсановлена только прекращением выдачи результатво поиска Гуглом и Яхой.


"И еще раз кстати:"
Отправлено Банзай , 04-Июл-05 01:55 
мой снорт стал просто с ума сходить, заваливая меня сообщениями, что сайт реферера атакован через "viewtopic.php".

Стучу перцу в аську. Спрашиваю тебя ломали? Он говорит да, не накатил вовремя патчи на php сраный BB бл нах. Ну, думаю, ученый вроде, пусть бдит и дальше. Но правило из снорта не затер. Затру, думаю, когда статистика меня успокоит.

И вот оно:
http://www.xakep.ru/post/27186/
http://www.xakep.ru/post/27186/exploit.txt

Гандошь  - не хочу!

Снова стучу в аську. Перц накатывает патч и снорт утихает.

IDS - вещь необходимая. А скольким хорькам я шеллы зарубил на западных хостингах, рапортуя на abuse@ об их сраной активности - ваще известно только моему ACID архиву.


"И еще раз кстати:"
Отправлено Jio , 04-Июл-05 10:09 
Кстати Snort тут не при чем

"Безопасность ядра ОС UNIX"
Отправлено Аноним , 01-Июл-05 15:40 
Самая лучший материал по настройке LIDS можно читать тут: http://www.linuxrsp.ru/artic/lids.html  Если ссылка не работает, то тут: http://dh.opennet.ru/lids.html

"Безопасность ядра ОС UNIX"
Отправлено Аноним , 01-Июл-05 16:22 
>Самая лучший материал по настройке LIDS можно читать тут: http://www.linuxrsp.ru/artic/lids.html  Если
>ссылка не работает, то тут: http://dh.opennet.ru/lids.html


Ну не знаю, лучший ли, но довольно полный...

Первая ссылка, кстати, не работает.


"Безопасность ядра ОС Linux"
Отправлено Glotych , 01-Июл-05 16:47 
Хотелось бы поглядеть на этот LIDS, только вот линуха нигде нет :) А есть ли что подобное под BSD?

"Безопасность ядра ОС Linux"
Отправлено Алексей , 02-Июл-05 09:47 
man mac и дальше по ссылкам. Очень похоже что линуховый Selinux драли акурат с этого (TrustedBSD).

"Безопасность ядра ОС Linux"
Отправлено Victor , 02-Июл-05 18:30 
ftp://ftp.chg.ru/pub/FreeBSD/TrustedBSD/README.TXT

"OpenNews: Безопасность ядра ОС UNIX"
Отправлено SK , 01-Июл-05 17:19 
Нормально. Если бы писал, наверное, лучше бы не получилось (с учетом того, что я завзятый BDS-шник :-) )

"Безопасность ядра ОС Linux"
Отправлено SD , 01-Июл-05 21:22 
Ограничиваем рута в доступе к файлам. Ну и какой в этом смысл??? Получается теперь, что НИКТО не сможет их править? Или я чего-то не понимаю?

"Безопасность ядра ОС Linux"
Отправлено k145 , 01-Июл-05 21:51 
Видимо, root имеет полный доступ к таким файлам только после аутентификации в LIDS.

"Безопасность ядра ОС Linux"
Отправлено V.Skurihin , 02-Июл-05 12:06 
>Ограничиваем рута в доступе к файлам. Ну и какой в этом смысл???

Не только к файлам но и расписываются capabilities,
такие например как CAP_SYS_MODULE (отностильно к данной статье)
или такие capabilities как CAP_NET_BIND_SERVICE
ограничения и разрешения накладываюся на объекты файловай системы
не важно под кем работают процессы под рутом или нет.

для доступа к закрытым объектам или изменения объектов только на чтение
возможно при выключении LIDS из терминальной сессии или в глодальном
выключении LIDS.

>Получается теперь, что НИКТО не сможет их править? Или я чего-то
>не понимаю?


"Безопасность ядра ОС Linux"
Отправлено SD , 02-Июл-05 22:57 
Получается два суперпользователя: один привычный root, а второй- командир безопасности. Они "борятся" между собой за привелегии: root за файловую систему, а командир - за доступ к процессам.

"Безопасность ядра ОС Linux"
Отправлено Junior , 04-Июл-05 13:18 
>>Ограничиваем рута в доступе к файлам. Ну и какой в этом смысл???
>
>Не только к файлам но и расписываются capabilities,
>такие например как CAP_SYS_MODULE (отностильно к данной статье)
>или такие capabilities как CAP_NET_BIND_SERVICE
>ограничения и разрешения накладываюся на объекты файловай системы
>не важно под кем работают процессы под рутом или нет.
>
>для доступа к закрытым объектам или изменения объектов только на чтение
>возможно при выключении LIDS из терминальной сессии или в глодальном
>выключении LIDS.
>

Это не только LIDS присуще, в более глобальном вырианте (имхо) проект grsecurity и RSBAC.


"Безопасность ядра ОС Linux"
Отправлено KdF , 02-Июл-05 00:31 
Grsecurity, PaX+RBAC и все летят, как фанера над Парижой.
Если только в самом Grsecurity дыр нет, что уже имело место случаться, в общем-то.

"OpenNews: Безопасность ядра ОС UNIX"
Отправлено Noname , 03-Июл-05 01:59 
Уважаемые авторы и специалисты по безопасности!!! Ответьте все-таки на вопрос: в каких случайх действительно нужна такая защита ядра?? Если кто настраивал, привелите примеры: на чем (функционально) именно?

"Безопасность ядра ОС Linux"
Отправлено PQ9Q , 04-Июл-05 10:39 
Идея с модулем забавна :)