1. libsafe, libparanoja, GCC extension for protecting applications
from stack-smashing attacks, snort...?
Какие подводные камни в установке и использовании, поделитесь, пожалуйста.
Что лучше поставить на сервер, на котором крутятся bind & sendmail ?
Не совсем понятно, Linux IDS не предотвращает подобные атаки ?
На www.lids.org упомянуты ACL, защита файлов и процессов, встроенный
детектор сканирования, а про buffer overflow явно ничего не говорится, может,я что упускаю?
2. Если этот вопрос совсем ламерский, прошу сильно не пинать самоучку-линуксоида :)
Возьмем, например,bind. Когда происходит buffer overflow, к 53 порту приатачивается /bin/sh.
Что будет дальше происходить со взломанным сервером зависит от фантазии взломщика и от кода, которым он воспользовался.
Но, чтобы дальше не происходило, им будут использованы стандартные unix-команды.
Нет ли таких средств, которые контролировали бы наличие в пакетах, присылаемых на конкретный порт,
определенных команд: например, на 53 порт приходит пакет, в котором находится одна из следующих команд:
login, ls, cat, find, make,..., rm :) Программка это дело обнаруживает и разрывает соединение,
а для полного счастья, заденаивает этот ip пакетным фильтром и шлет админу mail.
Тогда,например, если и произошел buffer overflow над bind, то взломщик ничего больше сделать не сможет.
А если зайдет с другого ip, то этот страж опять его распознает.
Может быть, это и лишнее, если уже стоит система обнаружения buffer overflow, ну а если
придумали что-то новенькое в области buffer overflow, и его не распознает ни одна
из систем обнаружения, такая программа была бы полезна.
И пожалуйста, не советуйте мне выключить комп и спать спокойно, все-равно я этого не сделаю :)
Sciurus.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.