Skocz do zawartości
tomii

Chroot czy jail

Polecane posty

w przypadku gdy to ma być serwer dla niezbyt dużego serwisu www (serwer www, mysql , ftp) i dostęp dla kilku zaufanych osób przez ssh. Wiem że temat zabezpieczania to temat rzeka, i zastanawiam się co musze zrobić aby spać w miare spokojnie, przechowywane dane określiłbym jako istotne ale nie bezcenne.

 

W kwestii bezpieczeństwa, jedynym sposobem żeby spać spokojnie jest nieświadomość.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Albo klik ;)

 

No o tym mówię. Nie jesteś świadomy problemów z jedynie słusznym, więc śpisz spokojnie. Wiesz, że ich nie ma? Skąd?

 

To coś jak z prawem i kiełbasą, czasem lepiej nie wiedzieć.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
No o tym mówię. Nie jesteś świadomy problemów z jedynie słusznym, więc śpisz spokojnie.
Piszesz, że nie jestem świadomy. Wiesz o czymś o czym ja nie wiem?

 

Wiesz, że ich nie ma? Skąd?
Wiem, bo:

1) System tworzą sami paranoicy, a każdy commit musi zostać dodatkowo zatwierdzony przez innego paranoika,

2) Historia pokazała, że w ciągu 10 lat w tym systemie znaleziono 2 zdalne dziury. Pierwszą w 2002 roku znalazł lcamtuf w kodzie OpenSSH (przez co nie tylko jedyny słuszny system operacyjny™ stał się podatny na atak, ale także 70% uwczesnych serwerów i urządzeń sieciowych z włączoną usługą ssh). Warto dodać, że w celu zabezpieczenia się przed tym atakiem wystarczyło włączyć dostępne w OpenSSH mechanizmy bezpieczeństwa, które niestety nie były domyślnie włączone. Tak więc 'fix' sprowadzał się do zrestartowania usługi ssh. Drugi błąd został znaleziony w 2007 roku w stosie IPv6, który został zaimportowany z projektu KAME.

3) Sam wielokrotnie przeglądałem źródła systemu (oczywiście nie całego) i uwierz mi, że są one na bardzo wysokim poziomie, czego nie można powiedzieć o zbyt wielu projektach open source'owych.

4) Nawet botnety przestały atakować jedyny słuszny system operacyjny™. klik :)

 

Podsumowując, spie bardzo spokojnie ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Piszesz, że nie jestem świadomy. Wiesz o czymś o czym ja nie wiem?

 

Nie mam na myśli czegoś konkretnego. Tak, rybka-nadymka jest super i w ogóle.

 

Podsumowując, spie bardzo spokojnie ;)

 

Cieszę się razem z Tobą. Ale to, co napisałeś, świadczy o tym, że chłopaki się starają, a nie że nigdy przenigdy nie będziesz miał dziurawego systemu. Dogłębnie przeaudytowane fragmenty to tylko kropla w morzu, a i tak można coś przeoczyć (szczegóły pewnie pomylę, ale kojarzy mi się że dało się onegdaj obejść securelevele z OBSD za pomocą pamięci karty graficznej i trybu SMM).

 

Pamiętasz może dość głośny błąd w parserze plików WMF w niszowym OSie firemki z Redmond? Wyszedł jakoś tak około Visty a okazało się, że sięga aż do W3.11 (czy jakoś). Jak myślisz, ile Windowsów zostało zrootowanych za pomocą tej dziury przez ostatnie fafnaście lat, zanim błąd wypłynął na światło dzienne? Ile OBSD (Linuksów, Solarisów, you name it) jest właśnie rootowanych czymś podobnego kalibru? Nie wiemy.

 

A czy np. jesteś 100% pewien, że Twój panel administracyjny nie da się skłonić do dodania konta usera z uidem zero, który się potem w pełnym majestacie prawa na Twój mega bezpieczny serwer zaloguje?

 

Żeby nie robić flejma na pincet postów:

Tak, OBSD jest bezpieczniejszy niż większość dostępnych OSów. Tak, wierzę że jesteś kompetentnym adminem i nie masz oczywistych dziur w systemie. Ale jeżeli wierzysz, że gwarantuje Ci to bezpieczeństwo, to wybierasz błogą nieświadomość kosztem brutalnej rzeczywistości, jak w sumie każdy, kto chce zachować resztki zdrowia psychicznego. Ale IMO warto mieć tej nieświadomości świadomość :) Howgh.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To może inaczej zapytam, mam serwer na linuxie, od czego zacząć zabezpieczanie? jail + grsecurity? a potem?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys
To może inaczej zapytam, mam serwer na linuxie, od czego zacząć zabezpieczanie?

Pod linuksem można postawić środowiska pod setki zastosowań.

 

Jak byś znał istotę działania tego co wypisujesz to byś nie pytał, chcesz to zrobić, rób.

 

Pamiętaj, że wszystkie zabezpieczenia które zrobisz nie właściwie mogą się zemścić.

Jak nie właściwie zrobiony kernel z łatką grsec czy zamknięcie użytkowników ich katalogach domowych.

 

Jeżeli nie wiesz jak wykonać zabezpieczenie to opisz to jakieś firmie, a wdrożą to...

 

ps. Bell chyba lubił Grsec ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
To może inaczej zapytam, mam serwer na linuxie, od czego zacząć zabezpieczanie? jail + grsecurity? a potem?

 

Z d\w+ strony podchodzisz do tematu. Zacznij od ustalenia co chcesz zabezpieczyć i przed kim ("wszystko przed wszystkimi"? super, wyłącz serwer i zalej betonem) a nie jak. Średnio rozgarnięta małpa jest w stanie włączyć SELinuxa w konfiguracji jądra ("jak"), natomiast ustalenie rozsądnej polityki ("co") póki co przerasta większość adminów (żeby nie było: mnie pewnie też, nie próbowałem bo nie widzę sensu).

 

Domyślna konfiguracja (bez wodotrysków w stylu grsec/rbac) z reguły jest dobrym punktem wyjścia. Jak wpuszczasz nieznajomych do shella (a jak dajesz PHP to dajesz i shella, nie czarujmy się), może warto pokusić się o PaXa. Ale w żadnym wypadku nie włączaj/uruchamiaj nic, czego nie rozumiesz. Jak koniecznie to chcesz bo jest fajne, doczytaj, podoktoryzuj się, opowiedz swojemu zwierzęciu domowemu/maskotce co przez to zyskasz (serio) i wtedy włącz ze świadomością konsekwencji.

 

grsecurity może pomóc, ale z ACLami jest podobna historia jak z SELinuxem -- włączysz pełen dobrych chęci i albo nigdy nie skonfigurujesz, albo wyłączysz jak się odetniesz od maszyny bo uruchomiłeś ssh ze zbyt małymi uprawnieniami.

 

chroot to raczej mechanizm administracyjny niż zabezpieczenie, o jakich jailach mówisz pod Linuksem? OpenVZ/Linux-VServer/inny projekt tego typu? Bo czegoś "pudełkowego" a'la FBSD to póki co nie ma (do końca roku waniliowy kernelspace powinien już wszystko wspierać tak że FBSD się chowa ze swoimi ficzerami [no flame plz], userspace jeszcze pewnie z kolejny rok-dwa zejdzie zanim się w popularnych distro wszystko pojawi, ale OT).

 

Bardziej niż grsec pomogą Ci dobre hasła i regularne aktualizacje, tak IMNSHO.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
(szczegóły pewnie pomylę, ale kojarzy mi się że dało się onegdaj obejść securelevele z OBSD za pomocą pamięci karty graficznej i trybu SMM).
Nie kojarzę takiej sprawy, nie mniej jednak pominąłeś pewien dosyć istotny szczegół. Aby wykorzystać tego typu dziurę, karta graficzna musi mieć możliwość zapisu do pamięci operacyjnej (co de facto jest wymagane aby w ogóle można z niej korzystać :)). Na szczęście w OpenBSD taka funkcjonalność jest domyślnie wyłączona (instalator wyłącza to domyślne zabezpieczenie jeżeli zadeklarujesz, że chcesz uruchamiać X'y, ale jeżeli ktoś uruchamia X'y na serwerze produkcyjnym, to sam prosi się o kłopoty :)). Poza tym samo obniżenie secure level w OpenBSD nie pomoże we włamaniu, a jedynie ułatwi / umożliwi zatarcie śladów.

 

Ile OBSD (Linuksów, Solarisów, you name it) jest właśnie rootowanych czymś podobnego kalibru? Nie wiemy.
Szczerze? Myślę, że jeżeli faktycznie taka luka istnieje, to jest wykorzystywana w bardzo konkretnych atakach przeprowadzanych na bardzo konkretne instalacje. Powód ku temu jest prosty, administratorzy OpenBSD to głównie paranoicy jeżeli chodzi o bezpieczeństwo i system ten jest przeważnie w jakiś sposób monitorowany (pomijam już /etc/daily i spółkę), więc jeżeli taka dziura by istniała, to ktoś prędzej czy później zaobserwowałbym włamanie. No chyba, że włamywacze pozacieraliby wszystkie ślady, ale to oznaczałoby jednoczense wykorzystanie przynajmniej kilku dziur w systemie, co jest jeszcze mniej prawdopodobne.

 

Nie ma też takich sytuacji jak z Linuksami, że osoby kompletnie nie znające systemu jakimś cudem go sobie zainstalują (albo dostaną serwer dedykowany z zainstalowanym systemem) i zostawiają go na łaskę losu :)

 

A czy np. jesteś 100% pewien, że Twój panel administracyjny nie da się skłonić do dodania konta usera z uidem zero, który się potem w pełnym majestacie prawa na Twój mega bezpieczny serwer zaloguje?
Tak. Jeżeli czegoś nie ma, to nie można się przez to włamać :)

 

Cieszę się razem z Tobą. Ale to, co napisałeś, świadczy o tym, że chłopaki się starają, a nie że nigdy przenigdy nie będziesz miał dziurawego systemu. Dogłębnie przeaudytowane fragmenty to tylko kropla w morzu, a i tak można coś przeoczyć
Ale jeżeli wierzysz, że gwarantuje Ci to bezpieczeństwo, to wybierasz błogą nieświadomość kosztem brutalnej rzeczywistości, jak w sumie każdy, kto chce zachować resztki zdrowia psychicznego. Ale IMO warto mieć tej nieświadomości świadomość ;) Howgh.
Jasne, istnieje jakieś tam prawdopodobieństwo, że istnieją luki w systemie. Jednak biorąc pod uwagę to co napisałem wcześniej, szacuję, że jest ono o wiele mniejsze niż to, że potrąci mnie samochód podczas przechodzenia na zielonym świetle (co wiązałoby się z o wiele większymi konsenkwencjami dla mojej osoby), tak więc kompletnie nie zawracam sobie tym głowy, bo jakbym zaczął, to pewnie bałbym się wstawać rano z łóżka :)

 

Jak koniecznie to chcesz bo jest fajne, doczytaj, podoktoryzuj się, opowiedz swojemu zwierzęciu domowemu/maskotce co przez to zyskasz (serio) i wtedy włącz ze świadomością konsekwencji.
Chciałbym to zobaczyć :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Jak koniecznie to chcesz bo jest fajne, doczytaj, podoktoryzuj się, opowiedz swojemu zwierzęciu domowemu/maskotce co przez to zyskasz (serio) i wtedy włącz ze świadomością konsekwencji.

Rozmowy przy wspólnym posiłku (żeby nie było- kot je ze swojej miski Whiskas'a, ja ze swojego talerza jakieś "ludzkie" jedzenie) mogą być bardzo pouczające... nawet jeśli to tylko monologi ;)

 

Chciałbym to zobaczyć :)

Przyjdź we wtorek... :)

 

Idę się przewietrzyć (a przy okazji wysłać paczkę na poczcie).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Nie kojarzę takiej sprawy, nie mniej jednak pominąłeś pewien dosyć istotny szczegół. Aby wykorzystać tego typu dziurę, karta graficzna musi mieć możliwość zapisu do pamięci operacyjnej (co de facto jest wymagane aby w ogóle można z niej korzystać :) ). Na szczęście w OpenBSD taka funkcjonalność jest domyślnie wyłączona (instalator wyłącza to domyślne zabezpieczenie jeżeli zadeklarujesz, że chcesz uruchamiać X'y, ale jeżeli ktoś uruchamia X'y na serwerze produkcyjnym, to sam prosi się o kłopoty :) ). Poza tym samo obniżenie secure level w OpenBSD nie pomoże we włamaniu, a jedynie ułatwi / umożliwi zatarcie śladów.

 

Nie będę się spierać bo nie pamiętam o co tam dokładnie biegało a moim celem nie jest przekonywanie o wyższości nad. BTW, jak nie karta graficzna, to sieciówka -- któreś tam modele miały firmware zapisywalny z sieci.

 

Szczerze? Myślę, że jeżeli faktycznie taka luka istnieje, to jest wykorzystywana w bardzo konkretnych atakach przeprowadzanych na bardzo konkretne instalacje. Powód ku temu jest prosty, administratorzy OpenBSD to głównie paranoicy jeżeli chodzi o bezpieczeństwo i system ten jest przeważnie w jakiś sposób monitorowany (pomijam już /etc/daily i spółkę), więc jeżeli taka dziura by istniała, to ktoś prędzej czy później zaobserwowałbym włamanie. No chyba, że włamywacze pozacieraliby wszystkie ślady, ale to oznaczałoby jednoczense wykorzystanie przynajmniej kilku dziur w systemie, co jest jeszcze mniej prawdopodobne.

 

Czyli system jest bezpieczny bo admin dba o bezpieczeństwo. No ciężko się z tym nie zgodzić. Tylko co stoi na przeszkodzie żeby dobry admin zabezpieczył też np. W2008 Server (poza godnościom osobistom :))? Albo żeby otworzyć OBSD jak stodołę jak się nie wie co się robi?

 

Nie ma też takich sytuacji jak z Linuksami, że osoby kompletnie nie znające systemu jakimś cudem go sobie zainstalują (albo dostaną serwer dedykowany z zainstalowanym systemem) i zostawiają go na łaskę losu :)

 

jw.

 

Tak. Jeżeli czegoś nie ma, to nie można się przez to włamać ;)

 

Jeżeli Twoje OBSD otwarty ma tylko port ssh (niestandardowy) wycelowany wewnątrz LANu i dostępny z jednego IPka to jest bezpieczniejszy niż typowa platforma hostingowa. Czasem jednak trzeba iść na kompromis i udostępnić tym nieszczęsnym użyszkodnikom jakieś usługi :)

 

Jasne, istnieje jakieś tam prawdopodobieństwo, że istnieją luki w systemie.

 

True. Na pewno są i to pewnie nie tam gdzie się ich spodziewasz. Czy ktoś ich użyje przeciwko Tobie to już zupełnie insza inszość, bo najprawdobniej nie.

 

Jednak biorąc pod uwagę to co napisałem wcześniej, szacuję, że jest ono o wiele mniejsze niż to, że potrąci mnie samochód podczas przechodzenia na zielonym świetle (co wiązałoby się z o wiele większymi konsenkwencjami dla mojej osoby), tak więc kompletnie nie zawracam sobie tym głowy, bo jakbym zaczął, to pewnie bałbym się wstawać rano z łóżka :)

 

No i super. Obyś pozostał w tym przekonaniu jak najdłużej. BTW, jakie jest prawdopodobieństwo wygranej w totka? A jednak czasem się komuś uda :)

 

Chciałbym to zobaczyć :)

 

gugiel mi protestuje ale jakiś profesor (na MIT bodajże) miał misia, któremu przychodzący do niego studenci musieli najpierw opowiedzieć problem. Większość podczas opowiadania wpadała na rozwiązanie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
BTW, jak nie karta graficzna, to sieciówka -- któreś tam modele miały firmware zapisywalny z sieci.
Z sieciówkami nie powinno być takiego problemu, bo one nie mogą zapisywać czego chcą bezpośrednio do pamięci operacyjnej. Jedynie 'nowoczesne' karty graficzne robią takie cyrki, o czym kiedyś pisał już Theo.

 

Czyli system jest bezpieczny bo admin dba o bezpieczeństwo. No ciężko się z tym nie zgodzić.
Akurat bardziej chodziło mi o zauważenie włamania niż o bezpieczeństwo systemu...

 

Tylko co stoi na przeszkodzie żeby dobry admin zabezpieczył też np. W2008 Server (poza godnościom osobistom :))?
Nic i w przeszłości wielokrotnie to podkreślałem.

 

Przy czym nie ukrywajmy, Windows jest o wiele bardziej skomplikowanym systemem operacyjnym, nad którym pracuje o wiele więcej osób, przez co szanse na pojawienie się problemów są minimalnie większe :)

 

Albo żeby otworzyć OBSD jak stodołę jak się nie wie co się robi?
To już byłoby trochę trudniejsze, bo jakoś trzeba dowiedzieć się jak domyślnie zamknięty system pootwierać... No i nawet jakby system był pootwierany to musiałaby istnieć luka w systemie, żeby się do niego włamać.

 

BTW, jakie jest prawdopodobieństwo wygranej w totka? A jednak czasem się komuś uda :P
Liczba graczy w totka wielokrotnie przewyższa liczbę systemów z OpenBSD :)

 

Chyba EOT, bo się mały offtop zrobił :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Z sieciówkami nie powinno być takiego problemu, bo one nie mogą zapisywać czego chcą bezpośrednio do pamięci operacyjnej. Jedynie 'nowoczesne' karty graficzne robią takie cyrki, o czym kiedyś pisał już Theo.

 

Yy? A DMA to co? Chyba tylko urządzenia USB nie przewidują transferu do pamięci bez udziału CPU. Twoja maszyna ma IOMMU i nie waha się go użyć? Bo inaczej każde (z dokładnością do) urządzenie PCI może Ci pisać po pamięci gdzie mu się żywnie podoba. Jeżeli się mylę to podeślij linka, podoktoryzuję się i opowiem o tym kotu.

 

Liczba graczy w totka wielokrotnie przewyższa liczbę systemów z OpenBSD :)

 

Większość liczb czegokolwiek wielokrotnie przewyższa liczbę systemów z OpenBSD :P

 

Chyba EOT, bo się mały offtop zrobił :)

 

No EOT. Ale chyba OP już wie, że bezpieczeństwo to ciężki kawałek chleba :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Yy? A DMA to co? Chyba tylko urządzenia USB nie przewidują transferu do pamięci bez udziału CPU. Twoja maszyna ma IOMMU i nie waha się go użyć? Bo inaczej każde (z dokładnością do) urządzenie PCI może Ci pisać po pamięci gdzie mu się żywnie podoba. Jeżeli się mylę to podeślij linka, podoktoryzuję się i opowiem o tym kotu.
Faktycznie, mój błąd, trochę pokręciłem. Z aperture nie chodzi o to, że karta graficzna może pisać do pamięci operacyjnej, tylko o to, że procesy systemowe (inne niż jąrdo) mogą pisać do pamięci i odwoływać sie do rejestrów karty graficznej z pominięciem w tej komunikacji jądra. Nie mniej jednak o to mi wcześniej chodziło (:)), bo w opisywanym przez Ciebie ataku musiało to zostać wykorzystane... W końcu karta graficzna sama z siebie nie zacznie się włamywać, ktoś / coś musi jej to pierw zlecić :P

Oryginał do poczytania i przekazania kotku: klik :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Faktycznie, mój błąd, trochę pokręciłem. Z aperture nie chodzi o to, że karta graficzna może pisać do pamięci operacyjnej, tylko o to, że procesy systemowe (inne niż jąrdo) mogą pisać do pamięci i odwoływać sie do rejestrów karty graficznej z pominięciem w tej komunikacji jądra. Nie mniej jednak o to mi wcześniej chodziło ( :P ), bo w opisywanym przez Ciebie ataku musiało to zostać wykorzystane... W końcu karta graficzna sama z siebie nie zacznie się włamywać, ktoś / coś musi jej to pierw zlecić :)

Oryginał do poczytania i przekazania kotku: klik :)

 

I wszystko się zgadza, co z kolei nie ma wpływu na fakt, że niezaufane urządzenie na szynie PCI (choćby ta sieciówka z podłożonym firmware) może Ci zrobić wszystko. Tak więc śpisz sobie spokojnie bo żadna karta graficzna Ci nie straszna a tu sru, kolega z serwera obok robi Ci wjazd przez sieciówkę, którego żaden firewall nie wyłapie.

 

Definitywny EOT z mojej strony :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie wiem jak z używaniem. Ale jest nadal rozwijany. (LIDS)

Ale użycie kernela 2.2.* przy zachowaniu bezpieczeństwa jest w moich oczach naprawdę "mega". :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Im więcej hiper fancy ficzerów, tym więcej miejsc na krytyczne luki.

Osobiście nie znoszę tych kerneli 2.6, szybciej je wydają niż ja nadążam kompilować. :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Osobiście nie znoszę tych kerneli 2.6, szybciej je wydają niż ja nadążam kompilować. :P

 

Nie mów, że robisz to co release?

Ja staram się to robić co 2-3 wydania. Ale i tak zdarza mi się to robić rzadziej.

Szkoda życia ... :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Nie mów, że robisz to co release?

NIe, nie robię tego co release, nie mniej jednak dość często...

Za czasów 2.4 nie bylo ani tylu bugów, ani takiej pogoni

za cyferkami - paranoja.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
NIe, nie robię tego co release, nie mniej jednak dość często...

Za czasów 2.4 nie bylo ani tylu bugów, ani takiej pogoni

za cyferkami - paranoja.

 

za czasow 2.4 tez nie bylo tylu testerow wiec IMHO to nie takie proste rownanie

 

co do pogoni za cyferkami to udziela sie takze urzytkownika ktorych *** strzela jak im co 4 dni nowa cyferka wychodzi i nie maja the best kernela, a nowszy nie znaczy od razu lepszy rozniste regresje ciagle sie zdarzaja, dlatego Adrian Bunk i chwala mu za to zadeklarowal sie, że bedzie utrzymywac obecnie jeszcze swieze 2.6.27 backportujac tylko to co trzeba by utrzymac stabilny i bezpieczny kernel, wczesiniej robil to z 2.6.16 (trzeciorzedne numerki wychodzo co 2-3 miesiace wiec nie przesadzajmy tez z ta pogonia za cyferkami)

2.6.0 to grudzien 2003r

2.4.1 2001 - 2005 dorobilo sie 31 wydan

wiec numerkow jest nawet mniej, pewnie z powodu czwartorzednych numerkow doklejanych przez stable team, gdzie przy 2.4 trzeba bylo wydawac nowe wydanie by zalatac jakas luke itp., a nie mniejszej ilosci zmian

 

teraz duzo wiecej dzieje sie w stabilnym kernelu niz za czasow 2.4 gdzie nowosci wprowadzane byly w 2.5 ktorego uzywalo malo osob, ale o tym jakie sa tego plusy dodatnie i plusy ujemne mozna sobie na lkm poczytac

 

--

lazy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×