Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

PaX

Сравнение технологий.

Рубрики: Безопасность | Управление доступом
Метки: | | | | |
Дата: 15/07/2009 10:09:39
Подписаться на комментарии по RSS

Учитывая популярность вышеописанных систем, можно сказать, какая наиболее подходит для защиты конкретной системы. DTE является наименее распространенной, поэтому можно скон­центрировать все внимание на хорошо опробованных технологиях - SE­Linux, Grsecurity, LIDS и RSBAC.

     SELinux - самая сложная в настройке системы. Чтобы понять, как работа­ет SELinux, надо заново воспринять фундаментальные Unix-концепции пользователей, групп и прав доступа. Масла в огонь добавляет язык опи­сания правил - он очень сложен, хотя таким он кажется на первый взгляд, пока не разберешся с ним. Однако, несмотря на сложность настройки, SELinux - наверное, самая мощная и защищенная реализация МАС-модели.

     LIDS, RSBAC и Grsecurity основаны на ACL, благодаря чему данные системы заметно проще изучать, чем SELinux. Кроме данного, они содержат много дополнительных функций, к примеру определение сканирования портов (LIDS), защиту памяти РаХ (Grsecurity и RSBAC), и «укрепление» chroot (Grsecurity).

Далее...

Другие технологии: RSBAC и DTE.

Рубрики: Безопасность | Управление доступом
Метки: | | | |
Дата: 15/07/2009 09:45:26
Подписаться на комментарии по RSS

Rule-Set Based Access Control (RSBAC).

     Rule-Set Based Access Control (RSBAC) - контроль доступа на основании набора правил - такое название еще у одной системы безопасности, доступной по адресу: http: //www.rsbac.org - которая появилась на свет в 1996 г. как несложной университетский проект. Как и другие проекты безо­пасности, со временем RSBAC набирала силу и становилась более гибкой и мощной.

     RSBAC использует общий интерфейс управления доступом (Generalized Framework for Access Control, GFAC), который позволяет употреблять много альтернативных методов управления доступом. Поддерживаются следующие методы:

Далее...

Grsecurity: Управление доступом с помощью ACL.

Рубрики: Безопасность | Управление доступом
Метки: | | | |
Дата: 30/06/2009 08:50:27
Подписаться на комментарии по RSS

Управление доступом - самый большой раздел Grsecurity, но, потому что управ­ление доступом реализуется с помощью ACL, здесь нет опций ядра, который связанны с управлением доступом, и это при том, что ACL относится к уровню ядра.

     Настройка ACL делается с помощью утилиты gradm. Применение системы RBAC необязательно, но нужно учитывать, что без ACL крекер может легко обойти некоторые функции Grsecurity.

Далее...

Установка Grsecurity.

Рубрики: Безопасность | Управление доступом
Метки: | | |
Дата: 19/06/2009 11:49:43
Подписаться на комментарии по RSS

В отличие от SELinux, которая направлена на одну задачу мандатного управления доступом, Grsecurity предоставляет более обширный диапазон технологий укрепления системы, частично перенесенных из мира Open-BSD. Grsecurity реализует мандатное управление доступом (MAC) через применение списков доступа ACL.

     Одна из основных целей Grsecurity - сократить до минимума конфигура­цию системы, потому что сложно настраиваемые системы часто настраива­ются неправильно, что приводит к возникновению потенциальных «дыр» в системе безопасности. Grsecurity значительно проще в на­стройке и использовании, чем SELinux.

     Некоторые основные функции Grsecurity:

Далее...

Обнаружение переполнения буфера.

Рубрики: Безопасность | Укрепляем Linux
Метки: | | |
Дата: 07/06/2009 09:28:52
Подписаться на комментарии по RSS

     Функции ASLR очень полезны, но они не гарантируют 100% защиты - не­смотря на то, что применяется рандомизация, теоретически существует вероятность переполнения буфера.

     Так как некорректное изменение памяти, сделанное хакером, приводит к краху приложения, сведения о частых перезапусках сервисов (которые после краха автоматически перезапускаются) говорят о том, что хакер пытается переполнить буфер.

     Для предотвращения возможности изменения хакером размеще­ния памяти в ASLR-защищенном процессе надо задать ограничение на количество перезапусков демона за определенный период времени.

     Для данного может употребляться утилита Segvguard, доступная по адресу: ftp://ftp.pl.openwall.com/misc/segvguard/. Segvguard состоит из двух частей:

Далее...

Установка и настройка PaX.

Рубрики: Безопасность | Укрепляем Linux
Метки: |
Дата: 05/06/2009 08:55:51
Подписаться на комментарии по RSS

Установка.

     РаХ не требует пересборки приложений, но, так как реализован в виде патча ядра, требует пересборки самого ядра. РаХ-патч мож­но загрузить с сайта: http://pax.grsecurity.net/, на этом сайте до­ступны версии для ядер 2.4 и 2.6. Загрузите соответствующее ядро с сайта kernel.org, распакуйте его, перейдите в только что созданный каталог и примените РаХ-патч:

# cd /usr/src

# wget http://www.kernel.org/pub/linux/kernel/v.26/linux-2.6.7.bz2

# tar -jxvf linux-2.6.7.bz2

# cd linux-2.6.7

# wget http://pax.grsecurity.net/pax-linux-2.6.7-200406252135.patch

# patch -p0 < pax-linux-2.6.7-200406252135.patch

Далее...

Рандомизация размещения адресного пространства.

Рубрики: Безопасность | Укрепляем Linux
Метки: |
Дата: 05/06/2009 08:43:25
Подписаться на комментарии по RSS

Рандомизация адресного пространства применяется для усложнения про­цесса вычисления расположения в памяти стека и DLL. Вычислить адрес стека и DLL хакеру стало значительно сложнее, чем без рандомизации.

     Если хакер неправильно «угадает» адрес памяти, то приложение будет аварийно завершено - как и без рандомизации. Но когда хакер вторично запустит приложение, адресное пространство будет вторично изменено.

Далее...