Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

chroot

Защита POP3 с помощью Stunnel.

Рубрики: Безопасность | Защита сервисов
Метки: | |
Дата: 21/10/2009 09:09:06
Подписаться на комментарии по RSS

Даже если РОРЗ/IМАР-сервер не поддерживает ни один из вариантов безопасных протоколов (SPOP и IMAPS), можно применить Stunnel, который дает возможность создавать TCP-туннели, по которым данные пересылаются в зашифрованном виде.

     Stunnel предназначен для универсального туннелирования ТСР-соединений. Если Stunnel еще не установлен, можно загрузить его с сайта: http://www.stunnel.org (конечно, понадобится SSL-библиотека, к примеру OpenSSL). Co стороны сервера можно употреблять Stunnel, чтобы предоставлять сервисы SPOP и IMPAS пользователям.

Далее...

Защита DNS: продолжение.

Рубрики: Безопасность | Защита сервисов
Метки: | |
Дата: 09/09/2009 08:57:41
Подписаться на комментарии по RSS

     Запуск BIND от имени непривилегированного пользователя.

     Обычно BIND всегда запускался от имени root, но, учитывая все его уязвимости, это делать нежелательно, так как позволяет легко скомпрометировать систему.

     Начиная с версии 8.1.2, появилась возможность запуска BIND от имени простого пользователя. Прежде BIND стартует от имени root - для того, чтобы сесть на 53 порт, а затем сбрасывает полномочия root и принимает полномочия указанного с помощью опции -n пользователя:

# named -n named
     Для запуска named нужно создать новую учетную запись, а не запускать от имени nobody, от имени которого и так запущено много процессов.

Далее...

Apache в chroot-окружении.

Рубрики: Безопасность | Защита сервисов
Метки: | |
Дата: 06/08/2009 08:45:31
Подписаться на комментарии по RSS

     Создание структуры каталогов.

     Первый шаг - это создание необходимой для запуска Apache структуры каталогов. Предположим, что для chroot-окружений был создан каталог /chroot. Chroot-окружение Apache будет в каталоге /chroot/httpd. Создадим в данном каталоге необходимую структуру каталогов:

# mkdir -p /chroot/httpd/dev

# mkdir -p /chroot/httpd/etc

# mkdir -p /chroot/httpd/usr/bin

# mkdir -p /chroot/httpd/usr/sbin

# mkdir -p /chroot/httpd/usr/lib

# mkdir -p /chroot/httpd/usr/libexec

# mkdir -p /chroot/httpd/usr/local/apache/bin

# mkdir -p /chroot/httpd/usr/local/apache/logs

# mkdir -p /chroot/httpd/usr/local/apache/conf

# mkdir -p /chroot/httpd/usr/share/zoneinfо

# mkdir -p /chroot/httpd/var/www

# mkdir -p /chroot/httpd/tmp

# mkdir -p /chroot/httpd/lib

     В зависимости от дистрибутива и от способа установки Apache (из пакета или из исходных кодов) структура каталогов может отличаться. Владельцем всех каталогов должен быть root, права доступа 0755:

Далее...

Grsecurity: Аудит ядра.

Рубрики: Безопасность | Управление доступом
Метки: | |
Дата: 29/06/2009 17:33:58
Подписаться на комментарии по RSS

Это меню дает возможность записывать некоторые системные вызовы (например, execve() и fork()). Нужно включить все эти опции:

Далее...

Grsecurity: Защита файловой системы.

Рубрики: Безопасность | Управление доступом
Метки: | | |
Дата: 23/06/2009 10:26:09
Подписаться на комментарии по RSS

Защита файловой системы (Filesystem Protection).

     Как говорилось ранее, псевдофайловая система /prос предоставляет информацию о процессах, которую может употреблять хакер в своих целях. Эта опция дает возможность ограничить доступ к /proc двумя способами:

  • Restrict /proc to User Only (CONFIG_GRKERNSEC_USER) - не root- пользователи не смогут просматривать /proc-информацию о процессах других пользователей, а также информацию о сети и информацию, относящуюся к ядру.
  • Allow Special Group (CONFIGGRKERNSEC USERGROUP)

    — создается специальная группа, которой можно просматривать /proc-информацию. GID этой группы должен быть указан в опции GID for Special Group (CONFIG_GRKERNSEC_PROC_GID).

Далее...

Зависимости библиотек chroot.

Рубрики: Безопасность | Укрепляем Linux
Метки: |
Дата: 26/05/2009 16:51:19
Подписаться на комментарии по RSS

Создать минимальную файловую систему изрядно просто, значительно сложнее выяснить, какие файлы обязательны. Прежде всего нужно вы­яснить зависимости библиотек. Ведь сервер может требовать наличия всего двух-трех библиотек, а каждой из них надо еще 1-2-3-4 библиотеки - без них они не будут работать, и, следовательно, не будет работать сервер.

     Выяснить, какие библиотеки надобны той или иной программе, нужно с по­мощью команды ldd. Посмотрим, что надо для нормальной работы про­граммы ls:

Далее...

Chroot-окружение.

Рубрики: Безопасность | Укрепляем Linux
Метки: | |
Дата: 26/05/2009 15:13:49
Подписаться на комментарии по RSS

Небезопасные сервисы - это потенциальные дыры в системе безопасности. Взломав такой сервис, хакер часто получает возможность исполнять команды от имени пользователя, который запустил этот сервис. Если сервис ра­ботает от пользователя root, можно представить, что хакер сделает с системой.

     Идеально было бы запускать сервисы в «песочницах» - то есть задать такие ограничения для сервиса, при которых хакер не может разрушить систему или повлиять на работу прочих сервисов. Такой «песочницей» представляется chroot-окружение.

     Идея chroot-окружения крайне проста: в некотором каталоге создается минимальная структура ка­талогов, необходимая для запуска этого сервиса, которая эмулирует корневую файловую систему, то есть в этом подката­логе будут подкаталоги /bin, /lib, /etc и другие.

Далее...