forum.opennet.ru

Составление сообщения

Исходное сообщение

"Microsoft открыл CHERIoT, аппаратное решение для повышения б..."
Отправлено Аноним, 04-Мрт-23 11:10

Очередная тестовая сборка Hardened Gentoo GNU/Linux
-systemd -elogind -dbus -polkitd -jit -...
MAC отключен, работает только DAC:

# paxtest kiddie
PaXtest - Copyright(c) 2003-2016 by Peter Busser <peter@adamantix.org> and Brad Spengler <spender@grsecurity.net>
Released under the GNU Public Licence version 2 or later
Writing output to /home/user/paxtest.log
It may take a while for the tests to complete
Test results:
/usr/bin/paxtest: line 69: /usr/lib64/paxtest/x86_64-pc-linux-gnu-gcc: No such file or directory
Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Killed
Executable bss (mprotect)                : Killed
Executable data (mprotect)               : Killed
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Killed
Executable shared library bss (mprotect) : Killed
Executable shared library data (mprotect): Killed
Writable text segments                   : Killed
Anonymous mapping randomization test     : 28 quality bits (guessed)
Heap randomization test (ET_EXEC)        : 35 quality bits (guessed)
Heap randomization test (PIE)            : 35 quality bits (guessed)
Main executable randomization (ET_EXEC)  : 27 quality bits (guessed)
Main executable randomization (PIE)      : 27 quality bits (guessed)
Shared library randomization test        : 28 quality bits (guessed)
VDSO randomization test                  : 28 quality bits (guessed)
Stack randomization test (SEGMEXEC)      : 35 quality bits (guessed)
Stack randomization test (PAGEEXEC)      : 35 quality bits (guessed)
Arg/env randomization test (SEGMEXEC)    : 39 quality bits (guessed)
Arg/env randomization test (PAGEEXEC)    : 39 quality bits (guessed)
Offset to library randomisation (ET_EXEC): 27 quality bits (guessed)
Offset to library randomisation (ET_DYN) : 27 quality bits (guessed)
Randomization under memory exhaustion @~0: 28 bits (guessed)
Randomization under memory exhaustion @0 : 28 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Vulnerable

Тест показывает правильность работы процессора и ядра OS.
Return to function (memcpy)              : Vulnerable
Return to function (memcpy, PIE)         : Vulnerable
Потому, что тот тест собирается без SPP. А вот на архитектурах MIPS, PPC даный тест должен пройти и без SPP, у них это делается аппаратно.

# hardening-check /bin/ls
/bin/ls:
Position Independent Executable: yes
Stack protected: yes
Fortify Source functions: yes
Read-only relocations: yes
Immediate binding: yes
# checksec -f /bin/ls
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      FORTIFY Fortified Fortifiable  FILE
Full RELRO      Canary found      NX enabled    PIE enabled     No RPATH   No RUNPATH   Yes     5               17      /bin/ls
# checksec -pl 1
* System-wide ASLRPaX ASLR enabled
* Does the CPU support NX: Yes
* Process information:
         COMMAND    PID RELRO           STACK CANARY            SECCOMP          NX/PaX        PIE                     Fortify Source
            init      1 Full RELRO      Canary found            No Seccomp       PaX enabled   PIE enabled             Yes

    RELRO               STACK CANARY   NX/PaX        PIE            RPath       RunPath   Fortify Fortified   Fortifiable
* Loaded libraries (file information, # of mapped files: 4):
  /lib64/ld-2.26.so:
    Full RELRO      No canary found   NX enabled    DSO             No RPATH   No RUNPATH   No  0               0
  /lib64/libc-2.26.so:
    Full RELRO      Canary found      NX enabled    DSO             No RPATH   No RUNPATH   Yes 79              170
  /lib64/libpthread-2.26.so:
    Full RELRO      Canary found      NX enabled    DSO             No RPATH   No RUNPATH   Yes 0               27
  /sbin/init:
    Full RELRO      Canary found      NX enabled    PIE enabled     No RPATH   No RUNPATH   Yes 7               13

Даные тесты показывают правильность сборки и линковки ПО.
-D_FORTIFY_SOURCE=3 даст еще больше "Fortified", так что Rust не нужен.

# mount |grep -v -E '(noexec|ro)'

Тест на монтирование дисков. Ничего не должен выводить.

# sed -i 's/Virus//' /var/log/syslog.log
sed: cannot rename /var/log/sedKktIU4: Operation not permitted

Тест защиты логов от чистки. Файл лога остался неизменным.

# cp --preserve=all /bin/ls /tmp
# /bin/ls
работает
# /tmp/ls
-bash: /tmp/ls: Permission denied
# /lib/ld-linux-x86-64.so.2 /bin/ls
работает
# /lib/ld-linux-x86-64.so.2 /tmp/ls
/tmp/ls: error while loading shared libraries: /tmp/ls: failed to map segment from shared object

Запрет на исполнение любых левых бинарей.

$ ls /proc/1/
ls: cannot access '/proc/1/': No such file or directory

Пользователь должен видеть только свои процессы.
По моему мнению эта система соотведствует уровню "C2".
Обратите внимание на 3 вещи:
1. Запуск только установленных бинарей. Невозможность запуска левых бинарей.
2. DAC распространяется и на оперативную память. Корректность работы процессора и ядра OS с памятью - W^X.
3. Невозможность правки логов.
Больше тестов делают системы для аудита типа lynis https://cisofy.com/lynis/

Исходное сообщение
"Microsoft открыл CHERIoT, аппаратное решение для повышения б..." Отправлено Аноним, 04-Мрт-23 11:10
Очередная тестовая сборка Hardened Gentoo GNU/Linux -systemd -elogind -dbus -polkitd -jit -... MAC отключен, работает только DAC: # paxtest kiddie PaXtest - Copyright(c) 2003-2016 by Peter Busser <peter@adamantix.org> and Brad Spengler <spender@grsecurity.net> Released under the GNU Public Licence version 2 or later Writing output to /home/user/paxtest.log It may take a while for the tests to complete Test results: /usr/bin/paxtest: line 69: /usr/lib64/paxtest/x86_64-pc-linux-gnu-gcc: No such file or directory Executable anonymous mapping : Killed Executable bss : Killed Executable data : Killed Executable heap : Killed Executable stack : Killed Executable shared library bss : Killed Executable shared library data : Killed Executable anonymous mapping (mprotect) : Killed Executable bss (mprotect) : Killed Executable data (mprotect) : Killed Executable heap (mprotect) : Killed Executable stack (mprotect) : Killed Executable shared library bss (mprotect) : Killed Executable shared library data (mprotect): Killed Writable text segments : Killed Anonymous mapping randomization test : 28 quality bits (guessed) Heap randomization test (ET_EXEC) : 35 quality bits (guessed) Heap randomization test (PIE) : 35 quality bits (guessed) Main executable randomization (ET_EXEC) : 27 quality bits (guessed) Main executable randomization (PIE) : 27 quality bits (guessed) Shared library randomization test : 28 quality bits (guessed) VDSO randomization test : 28 quality bits (guessed) Stack randomization test (SEGMEXEC) : 35 quality bits (guessed) Stack randomization test (PAGEEXEC) : 35 quality bits (guessed) Arg/env randomization test (SEGMEXEC) : 39 quality bits (guessed) Arg/env randomization test (PAGEEXEC) : 39 quality bits (guessed) Offset to library randomisation (ET_EXEC): 27 quality bits (guessed) Offset to library randomisation (ET_DYN) : 27 quality bits (guessed) Randomization under memory exhaustion @~0: 28 bits (guessed) Randomization under memory exhaustion @0 : 28 bits (guessed) Return to function (strcpy) : paxtest: return address contains a NULL byte. Return to function (memcpy) : Vulnerable Return to function (strcpy, PIE) : paxtest: return address contains a NULL byte. Return to function (memcpy, PIE) : Vulnerable Тест показывает правильность работы процессора и ядра OS. Return to function (memcpy) : Vulnerable Return to function (memcpy, PIE) : Vulnerable Потому, что тот тест собирается без SPP. А вот на архитектурах MIPS, PPC даный тест должен пройти и без SPP, у них это делается аппаратно. # hardening-check /bin/ls /bin/ls: Position Independent Executable: yes Stack protected: yes Fortify Source functions: yes Read-only relocations: yes Immediate binding: yes # checksec -f /bin/ls RELRO STACK CANARY NX PIE RPATH RUNPATH FORTIFY Fortified Fortifiable FILE Full RELRO Canary found NX enabled PIE enabled No RPATH No RUNPATH Yes 5 17 /bin/ls # checksec -pl 1 * System-wide ASLRPaX ASLR enabled * Does the CPU support NX: Yes * Process information: COMMAND PID RELRO STACK CANARY SECCOMP NX/PaX PIE Fortify Source init 1 Full RELRO Canary found No Seccomp PaX enabled PIE enabled Yes RELRO STACK CANARY NX/PaX PIE RPath RunPath Fortify Fortified Fortifiable * Loaded libraries (file information, # of mapped files: 4): /lib64/ld-2.26.so: Full RELRO No canary found NX enabled DSO No RPATH No RUNPATH No 0 0 /lib64/libc-2.26.so: Full RELRO Canary found NX enabled DSO No RPATH No RUNPATH Yes 79 170 /lib64/libpthread-2.26.so: Full RELRO Canary found NX enabled DSO No RPATH No RUNPATH Yes 0 27 /sbin/init: Full RELRO Canary found NX enabled PIE enabled No RPATH No RUNPATH Yes 7 13 Даные тесты показывают правильность сборки и линковки ПО. -D_FORTIFY_SOURCE=3 даст еще больше "Fortified", так что Rust не нужен. # mount \|grep -v -E '(noexec\|ro)' Тест на монтирование дисков. Ничего не должен выводить. # sed -i 's/Virus//' /var/log/syslog.log sed: cannot rename /var/log/sedKktIU4: Operation not permitted Тест защиты логов от чистки. Файл лога остался неизменным. # cp --preserve=all /bin/ls /tmp # /bin/ls работает # /tmp/ls -bash: /tmp/ls: Permission denied # /lib/ld-linux-x86-64.so.2 /bin/ls работает # /lib/ld-linux-x86-64.so.2 /tmp/ls /tmp/ls: error while loading shared libraries: /tmp/ls: failed to map segment from shared object Запрет на исполнение любых левых бинарей. $ ls /proc/1/ ls: cannot access '/proc/1/': No such file or directory Пользователь должен видеть только свои процессы. По моему мнению эта система соотведствует уровню "C2". Обратите внимание на 3 вещи: 1. Запуск только установленных бинарей. Невозможность запуска левых бинарей. 2. DAC распространяется и на оперативную память. Корректность работы процессора и ядра OS с памятью - W^X. 3. Невозможность правки логов. Больше тестов делают системы для аудита типа lynis https://cisofy.com/lynis/

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру