The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Безопасность ядра ОС UNIX"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Безопасность ядра ОС UNIX"
Сообщение от opennews (??) on 01-Июл-05, 15:34 
В документе (http://www.nexis.ru/articles/kernelsecure.htm) рассмотрена возможность написания модуля Linux ядра, перехватывающего системные вызовы для скрытия следов взлома. Приведен краткий обзор существующих средств защиты (Chkrootkit (http://www.chkrootkit.org/), Rkdet (http://www.vancouver-webpages.com/rkdet/), LIDS (http://www.lids.org/)).

URL: http://www.nexis.ru/articles/kernelsecure.htm
Новость: http://www.opennet.dev/opennews/art.shtml?num=5712

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Безопасность ядра ОС UNIX"
Сообщение от Jio (??) on 01-Июл-05, 15:34 
Нда.. все это правда, но немного слабовато для НИИ
Cообщить модератору | Наверх | ^

4. "Безопасность ядра ОС UNIX"
Сообщение от Аноним on 01-Июл-05, 15:43 
Ага, а ссылка на Rkdet приведена вообще старая.. 2002 год
Cообщить модератору | Наверх | ^

2. "Безопасность ядра ОС UNIX"
Сообщение от Максим email(??) on 01-Июл-05, 15:39 
Все об этом говорят, но ни разу не встречал, чтобы сисадмин настолько заморачивался с безопасностью... Интересно, в какого рода случаях приходится ставить LIDS? В случае работы с гостайной??? наверное нет..
Cообщить модератору | Наверх | ^

7. "Безопасность ядра ОС UNIX"
Сообщение от Артем email(??) on 01-Июл-05, 15:55 
Наверное там, где есть несколько админов. НСД к системе так или иначе возможен, если в ней работает сразу несколько юзеров, даже если у них не админские права
Cообщить модератору | Наверх | ^

10. "Безопасность ядра ОС UNIX"
Сообщение от Jio (??) on 01-Июл-05, 17:00 
>Наверное там, где есть несколько админов. НСД к системе так или иначе
>возможен, если в ней работает сразу несколько юзеров, даже если у
>них не админские права

Нет, ну тема безусловно актуальная. Кстати она частично была реализована нашими программерами в МСВС. Это я про мандатную политику разделения доступа, если что :)

Cообщить модератору | Наверх | ^

13. "Безопасность ядра ОС UNIX"
Сообщение от SD on 01-Июл-05, 21:34 
МСВС не впечатлил, если честно - какой-то он недоделанный немного, уж извините, отечественные разработчики
Cообщить модератору | Наверх | ^

23. "Безопасность ядра ОС UNIX"
Сообщение от execve (ok) on 03-Июл-05, 12:26 
>Нет, ну тема безусловно актуальная. Кстати она частично была реализована нашими программерами
>в МСВС. Это я про мандатную политику разделения доступа, если что
>:)

AFAIK они взяли это из RSBAC.

Cообщить модератору | Наверх | ^

24. "ставить LIDS? - просто чтобы"
Сообщение от Банзай email(??) on 04-Июл-05, 01:44 
не накатывать сервак и контент шесть раз в год из таров гэзэ.

Перебой, однако. Теряется пятая девятка.

Воткнись в Сеть няпрямую и узри отчеты snort'a.

Славно трындеть, сидя в виртуале за забором провайдерских сысок.

Но баранам, кстати, и там нет покоя. Я просто ссал кипятком, наблюдая, как скрипт гасил "сереверы" с пэхэпэБЭБОЙ.

Для справки. За 2 суток было угандошено 44000 серверов. И эпидемия была отсановлена только прекращением выдачи результатво поиска Гуглом и Яхой.

Cообщить модератору | Наверх | ^

25. "И еще раз кстати:"
Сообщение от Банзай email(??) on 04-Июл-05, 01:55 
мой снорт стал просто с ума сходить, заваливая меня сообщениями, что сайт реферера атакован через "viewtopic.php".

Стучу перцу в аську. Спрашиваю тебя ломали? Он говорит да, не накатил вовремя патчи на php сраный BB бл нах. Ну, думаю, ученый вроде, пусть бдит и дальше. Но правило из снорта не затер. Затру, думаю, когда статистика меня успокоит.

И вот оно:
http://www.xakep.ru/post/27186/
http://www.xakep.ru/post/27186/exploit.txt

Гандошь  - не хочу!

Снова стучу в аську. Перц накатывает патч и снорт утихает.

IDS - вещь необходимая. А скольким хорькам я шеллы зарубил на западных хостингах, рапортуя на abuse@ об их сраной активности - ваще известно только моему ACID архиву.

Cообщить модератору | Наверх | ^

27. "И еще раз кстати:"
Сообщение от Jio (??) on 04-Июл-05, 10:09 
Кстати Snort тут не при чем
Cообщить модератору | Наверх | ^

3. "Безопасность ядра ОС UNIX"
Сообщение от Аноним on 01-Июл-05, 15:40 
Самая лучший материал по настройке LIDS можно читать тут: http://www.linuxrsp.ru/artic/lids.html  Если ссылка не работает, то тут: http://dh.opennet.ru/lids.html
Cообщить модератору | Наверх | ^

8. "Безопасность ядра ОС UNIX"
Сообщение от Аноним on 01-Июл-05, 16:22 
>Самая лучший материал по настройке LIDS можно читать тут: http://www.linuxrsp.ru/artic/lids.html  Если
>ссылка не работает, то тут: http://dh.opennet.ru/lids.html


Ну не знаю, лучший ли, но довольно полный...

Первая ссылка, кстати, не работает.

Cообщить модератору | Наверх | ^

9. "Безопасность ядра ОС Linux"
Сообщение от Glotych email on 01-Июл-05, 16:47 
Хотелось бы поглядеть на этот LIDS, только вот линуха нигде нет :) А есть ли что подобное под BSD?
Cообщить модератору | Наверх | ^

17. "Безопасность ядра ОС Linux"
Сообщение от Алексей (??) on 02-Июл-05, 09:47 
man mac и дальше по ссылкам. Очень похоже что линуховый Selinux драли акурат с этого (TrustedBSD).
Cообщить модератору | Наверх | ^

20. "Безопасность ядра ОС Linux"
Сообщение от Victor (??) on 02-Июл-05, 18:30 
ftp://ftp.chg.ru/pub/FreeBSD/TrustedBSD/README.TXT
Cообщить модератору | Наверх | ^

11. "OpenNews: Безопасность ядра ОС UNIX"
Сообщение от SK on 01-Июл-05, 17:19 
Нормально. Если бы писал, наверное, лучше бы не получилось (с учетом того, что я завзятый BDS-шник :-) )
Cообщить модератору | Наверх | ^

12. "Безопасность ядра ОС Linux"
Сообщение от SD on 01-Июл-05, 21:22 
Ограничиваем рута в доступе к файлам. Ну и какой в этом смысл??? Получается теперь, что НИКТО не сможет их править? Или я чего-то не понимаю?
Cообщить модератору | Наверх | ^

14. "Безопасность ядра ОС Linux"
Сообщение от k145 email on 01-Июл-05, 21:51 
Видимо, root имеет полный доступ к таким файлам только после аутентификации в LIDS.
Cообщить модератору | Наверх | ^

18. "Безопасность ядра ОС Linux"
Сообщение от V.Skurihin email on 02-Июл-05, 12:06 
>Ограничиваем рута в доступе к файлам. Ну и какой в этом смысл???

Не только к файлам но и расписываются capabilities,
такие например как CAP_SYS_MODULE (отностильно к данной статье)
или такие capabilities как CAP_NET_BIND_SERVICE
ограничения и разрешения накладываюся на объекты файловай системы
не важно под кем работают процессы под рутом или нет.

для доступа к закрытым объектам или изменения объектов только на чтение
возможно при выключении LIDS из терминальной сессии или в глодальном
выключении LIDS.

>Получается теперь, что НИКТО не сможет их править? Или я чего-то
>не понимаю?

Cообщить модератору | Наверх | ^

21. "Безопасность ядра ОС Linux"
Сообщение от SD on 02-Июл-05, 22:57 
Получается два суперпользователя: один привычный root, а второй- командир безопасности. Они "борятся" между собой за привелегии: root за файловую систему, а командир - за доступ к процессам.
Cообщить модератору | Наверх | ^

29. "Безопасность ядра ОС Linux"
Сообщение от Junior email(ok) on 04-Июл-05, 13:18 
>>Ограничиваем рута в доступе к файлам. Ну и какой в этом смысл???
>
>Не только к файлам но и расписываются capabilities,
>такие например как CAP_SYS_MODULE (отностильно к данной статье)
>или такие capabilities как CAP_NET_BIND_SERVICE
>ограничения и разрешения накладываюся на объекты файловай системы
>не важно под кем работают процессы под рутом или нет.
>
>для доступа к закрытым объектам или изменения объектов только на чтение
>возможно при выключении LIDS из терминальной сессии или в глодальном
>выключении LIDS.
>

Это не только LIDS присуще, в более глобальном вырианте (имхо) проект grsecurity и RSBAC.

Cообщить модератору | Наверх | ^

15. "Безопасность ядра ОС Linux"
Сообщение от KdF email(??) on 02-Июл-05, 00:31 
Grsecurity, PaX+RBAC и все летят, как фанера над Парижой.
Если только в самом Grsecurity дыр нет, что уже имело место случаться, в общем-то.
Cообщить модератору | Наверх | ^

22. "OpenNews: Безопасность ядра ОС UNIX"
Сообщение от Noname (??) on 03-Июл-05, 01:59 
Уважаемые авторы и специалисты по безопасности!!! Ответьте все-таки на вопрос: в каких случайх действительно нужна такая защита ядра?? Если кто настраивал, привелите примеры: на чем (функционально) именно?
Cообщить модератору | Наверх | ^

28. "Безопасность ядра ОС Linux"
Сообщение от PQ9Q on 04-Июл-05, 10:39 
Идея с модулем забавна :)
Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру