Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

RPC

Приложение NIS.

Рубрики: Безопасность | Защита сервисов
Метки: |
Дата: 19/08/2009 14:23:36
Подписаться на комментарии по RSS

     Что такое NIS?

     Network Information Service (NIS), известный также как Yellow Pages или YP (название было изменено из-за проблем с авторскими правами), применяется для распространения информации по машинам сети. Так как информация хранится централизованно на одном узле сети (этот узел называется мастером), NIS дает возможность легко синхронизировать данные. Чаще всего он применяется для распространения файлов /etc/passwd по сети - чтобы убедится, что на каждой машине сети одинаковые копии файла passwd.

Кроме файла passwd, NIS может употребляться для распространения прочих важных файлов, к примеру /etc/hosts, /etc/resolv.conf, /etc/exports и т.д.

Далее...

Сетевая файловая система NFS.

Рубрики: Безопасность | Защита сервисов
Метки: | | |
Дата: 17/08/2009 09:56:08
Подписаться на комментарии по RSS

NFS позволяет предоставить общий доступ к каталогам Unix-машины. Небезопасность NFS, и в частности NIS, связана с RPC - по количеству всевозможных эксплоитов RPC представляется негласным лидером (если не считать Sendmail). Так как эти протоколы предназначены для внутренних сетей, защищать их придется от «своих» пользователей. Хотя перед их применением нужно решить, действительно ли они нужны.

     В домашней сети они могут быть достаточно полезными, но в корпоративной сети из соображений безопасности лучше найти им более безопасную альтернативу.

     Файловая система NFS.

     Сетевая файловая система (Network File System, NFS) была разработана компанией Sun как средство доступа к файлам, размещенным на прочих Unix-машинах в пределах локальной сети. При разработке NFS безопасность вообще не учитывалась, что с годами стало причиной многих уязвимостей.

     NFS может работать по протоколу TCP или UDP, она использует систему RPC, а это означает, что должны быть запущены следующие часто уязвимые приложения: portmapper, nfs, nlockmgr (lockd), rquotad, statd и mountd.

     Не надо запускать NFS - нужно найти альтернативное решение. Если же NFS все-таки нужна, здесь будет рассказано о том, как нужно минимизировать риск ее использования.

Далее...

Grsecurity: Защита исполняемых файлов и сети.

Рубрики: Безопасность | Управление доступом
Метки: | |
Дата: 29/06/2009 17:41:53
Подписаться на комментарии по RSS

Защита исполняемых файлов (Executable Protection).

     Enforce RLIMIT_NPROC on exec (CONFIG_GRKERNSEC_EXECVE) -Проверка лимитов ресурсов во время вызова exec

     RLIMITN_PROC (настраивается через /etc/limits) дает возможность ограничить ресурсы пользователя. По умолчанию ресурсы проверяются только во время fork(). Включение этой опции позволяет производить проверку ресурсов во время вызова execve().

     Dmesg Restriction (CONFIG GRKERNSEC DMESG) - Ограничение dmesg

     Команда dmesg дает возможность пользователю просматривать последние записанные сообщения ядра. Включение этой опции позволяет выполнять программу dmesg только пользователю root.

Далее...

Сервисы общего назначения.

Рубрики: Безопасность | Основные меры защиты Linux
Метки: |
Дата: 06/05/2009 09:21:23
Подписаться на комментарии по RSS

Поговорим о сервисах, которые необ­ходимы, и которые сервисы нужно отключить.

     Рассмотрим отдельные сервисы общего назначения, которые обыкновенно запущены на типичной Linux-системе. В скобках указаны порты, которые используются этими сервисами:

Далее...