Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Поиск по сайту с помощью Yandex

Яndex
 

Другие технологии: SELinux.

Среда, 15 июля 2009 г.
Рубрика: Безопасность -> Управление доступом
Метки: | | | |

Security Enhanced Linux (SELinux) - это проект Агентства правительственной безопасности США (U.S. NSA). Репутация такого ведомс­тва говорит о серьезности проекта - там к безопасности относятся очень серьезно. Да и сам проект получился очень удачным - SELinux входит в со­став многих современных дистрибутивов и выясняется по умолчанию (правда, также по умолчанию не активизируется).

Далее...

Пример ACL для DNS-cepвepa.

Среда, 15 июля 2009 г.
Рубрика: Безопасность -> Управление доступом
Метки: | | |

Рассмотрим пример ACL, который позволяет работать DNS-серверу на машине. ACL будет состоять из двух частей. Первая часть будет содержать общий набор правил, предоставляющих базовый доступ. Эта часть универсальна - она подойдет не только для DNS-сервера, но и для разных остальных приложений, запущенных в Linux-системе.

     Во второй части будут описаны специфические для DNS-сервера правила, ограничивающие доступ к файлам, и определяющие возможности DNS-сервера. Как было написано ранее, набор правил будет представлен в виде shell-сценария, который содержит серию команд lidsconf.

     Сначала надо сделать системные исполнимые файлы и библиотеки доступными только для чтения. Обойти данное ограничение нужно только в LFS-оболочке. Итак, надо защитить каталоги /bin, /sbin, /usr и /opt:

Далее...

Реализация LIDS.

Пятница, 10 июля 2009 г.
Рубрика: Безопасность -> Управление доступом
Метки: | |

Теперь, когда известно, как работает LIDS, и знакомы ее основные опции, нужно приступить к практической реализации LIDS в системе.

     Нужно помнить, что написание ACL для всей системы - очень трудоемкая задача, поэтому, как и в случае с iptables, рекомендуется создать shell-сценарий, содержащий директивы lidsconf. Первой директивой будет lidsconf -Z - эта директива удаляет все ранее существующие ACL. Этот сценарий надо поместить в /etc/lids, что сделает его невидимым за пределами LFS-сессии.

Далее...

ACL возможностей в LIDS.

Пятница, 10 июля 2009 г.
Рубрика: Безопасность -> Управление доступом
Метки: | | |

Возможности.

     В ACL из предыдущей статье описано действие GRANT, предостав­ляющее возможность CAP SETUID. А возможности до этого и не рассматривались, поэтому самое время их рассмотреть.

     LIDS предоставляет расширенное применение возможностей (однако, как было отмечено до этого, модуль возможностей (capability security module) нужно отключить в ядре). Кроме стандартных возможностей Linux, LIDS дает две собственные возможности:

  • CAP_HIDDEN — процессы с установленной возможностью CAPHIDDEN не будут отображаться в /рrос, что позволяет скрыть процесс от программы ps, lsof и top.
  • CAP_INIT_KILL — если эта возможность выключена для демона, то он не будет получать KILL-сигналы.

Далее...

ACL файлов в LIDS.

Четверг, 9 июля 2009 г.
Рубрика: Безопасность -> Управление доступом
Метки: | | |

В LIDS есть два типа ACL:

  • ACL файлов — контролирует доступ к файлам и каталогам.
  • ACL возможностей — регулирует возможности исполнимых файлов.

     ACL файлов.

     LIDS определяет четыре режима для объектов:

  • DENY - доступ к файлу запрещен. При обращении приложения (к примеру, Is или cat) к этому файлу, оно получит сообщение об ошибке "No such file or directory" (ENOET) - «Нет такого файла или каталога». Внешне будет выглядеть так, как будто файла не сущест­вует.
  • READ - объект может быть открыт исключительно в режиме «толь­ко чтение», запись запрещена.
  • WRITE — чтение и запись не ограничивается. LIDS не защищает этот файл.

Далее...