LINUX.ORG.RU
ФорумSecurity

вопрос выбора


0

0

на днях поломали мне тут домашний сервер, поставили rootkit - пришлось весь раздел в ручную перебирать и вообще сплошное беспокойство

сломали скорее всего через named, запущенный от рута (да, да, я дурак, я знаю:)

те, кто сидят на бзд, предлагают использовать jail для таких вещей, и я озаботился поиском варианта решения для линукс

как же их много! linux-vserver, freevps, rbac, rsbac, pax, grsecurity, selinux, про chroot даже говорить неудобно:)

вопрос: под чем лучше запустить бинд? Так, чтоб сломать было посложнее, а если и поломают, то не дать рута.

заранее спасибо

★★★
Plausible deniability (вопрос к специалистам)
apache-php-shell -> ping ERROR

hardened gentoo + grsecurity rbac + pax

anonymous
()
Ответ на: комментарий от Demetrio 

вопрос не об этом, но тем не менее:

theserg@theserg:~$ cat /etc/rc.d/rc.bind 
#!/bin/sh
# Start/stop/restart the BIND name server daemon (named).

# Start bind.  In the past it was more secure to run BIND
# as a non-root user (for example, with '-u daemon'), but
# the modern version of BIND knows how uses to use the
# kernel's capability mechanism to drop all root privileges
# except the ability to bind() to a privileged port and set
# process resource limits, so -u should not be needed.  If
# you wish to use it anyway, chown the /var/run/named
# directory to the non-root user.
#
# You might also consider running BIND in a "chroot jail",
# a discussion of which may be found in
# /usr/doc/Linux-HOWTOs/Chroot-BIND-HOWTO.

bind_start() {
  if [ -x /usr/sbin/named ]; then
    echo "Starting BIND:  /usr/sbin/named"
    /usr/sbin/named
  fi
}
....

theserg ★★★
() автор топика
Ответ на: комментарий от theserg

Ну и? Уже на всех BSD и Linux bind по умолчанию в chroot или аналогах стартует.. Может лучше изучить опции самого bind-а? НУ ограничь доступ к нему, оставь только с региональных доверенных, большего, как правило, не надо..

MiracleMan ★★★★★
()

Если внутри chroot ты не имеешь процессов с привелегией chroot (как правило - root), то chroot (при грамотном проектировании) - достаточная защита единичных сервисов. imho, jail все-таки задумывался для других вещей.

Что касается security-патчей, я б остановился на grsecurity. rbac/rsbac предназначены для другого, да и их функционал есть в grsecurity. Впрочем, я не думаю, что rbac/selinux тут как-то поможет.

Виртуализация единичных сервисов неплоха, хотя, возможно, в случае bind - оверкил.

ivlad ★★★★★
()

> сломали скорее всего через named, запущенный от рута (да, да, я дурак, я знаю:)

А что, разве BIND часто ломают? Если я не ошибась, последняя уязвимость в BIND, позволяющая удаленно получить root, была несколько лет назад...

bigbit ★★★★★
()
Ответ на: комментарий от ivlad

да, читал, но все пугают, что из chroot выйти очень просто

я как бы не спец по взломам, просто раз уж стал разбираться - хочется выбрать самую оптимальную технологию защиты

а selinux никто не использовал? там rsbac, по умолчанию поставляется с FC4

и про linux-vserver чего никто не говорит? на сайте пишут, что это практически аналог jail

theserg ★★★
() автор топика
Ответ на: комментарий от theserg

> да, читал, но все пугают, что из chroot выйти очень просто

если root внутри chroot нет, и ты там mknod всякие не даешь делать, то все не так страшно.

ivlad ★★★★★
()
Ответ на: комментарий от bigbit

>А что, разве BIND часто ломают? Если я не ошибась, последняя уязвимость в BIND, позволяющая удаленно получить root, была несколько лет назад...

ломают, что bind, что sendmail, независимо от качества настройки. Я сам не ломал.

просто после появления очередной дыры не времени обновлять ПО, и так работы много. Выходит, нужно изолировать и бэкапить почаще.

theserg ★★★
() автор топика
Ответ на: комментарий от ivlad

я подумал. Смысла в обновлении нету, т.к. всё равно многое пересобирается вручную, например апач, php

обновление ПО - это неправильная идея, правильно - обеспечить устойчивость к взломам (при потенциально дырявом ПО), и, в случае взлома, оградить остальную систему.

буду рыть в сторону pax и grsecurity (или как там её)

theserg ★★★
() автор топика

однако, первый анонимус был, в общем-то, аслолютно прав

как мало на лоре значат звёзды:(

theserg ★★★
() автор топика
Ответ на: комментарий от theserg

кубок с йадом этому товарищу уже поднесли?

Zulu ★★☆☆
()
Ответ на: комментарий от theserg

>ломают, что bind, что sendmail, независимо от качества настройки. Я сам не ломал.

Однако же, ты не прав.. От качества и особенностей настройки многое зависит..

В данном случае, учитывая, что это домашняя машинка, а не сервер предприятия, вполне можно обойтись качественной настройкой, chroot, iptables.. Но если тебе хочется поиграть, изучить иные средства безопасности, то пожалуйста, однако, в данном случае, это не является необходимым..

MiracleMan ★★★★★
()
Ответ на: комментарий от MiracleMan

ну вот на данный момент хочется разобраться с grsecurity, на будущее, так сказать

уже соорудил отдельным комп для этого, непонятно только как проверять защиту - я ж не умею ломать бинды и пр.

на ум приходит только nessus, ну и есть стандартные тесты, что с PAX/grsecurity идут

theserg ★★★
() автор топика
Ответ на: комментарий от theserg

Пробовать - это всегда полезно, иначе откуда же приобретать опыт.. Вообще-то проверка систем на защищённость - это отдельная серьёзная и обьёмная тема. Можно самому стандартные тесты погонаять, возможные эксплойты поискать, воспользоваться различным тестирующим ПО или обратится к общественности за помощью в данном вопросе.

MiracleMan ★★★★★
()
Ответ на: комментарий от theserg

> непонятно только как проверять защиту

Выставь в интернет и объяви конкурс на взлом за пиво или другие общечеловеческие ценности.

Lumi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Plausible deniability (вопрос к специалистам)
Security
apache-php-shell -> ping ERROR