LINUX.ORG.RU

Советов тред по настройке безопасности.

 , , ,


2

2

В связи с АХТУНГ: Пишу из горящего танка , ко мне на linux ПК влез майнер! накатываю свежий Debian. Чтобы избежать детских ошибок чтобы вы посоветовали в плане безопасности системы.

Будет роутер, в промежутке между провайдером и мною.

  • iptables

  • fail2ban

  • авторизация по ключу

  • Монтирование с noexec, но всё же веду разработку и надо запускать бинари из хомячка, это удобно.

Это с вашими советами по конфигурации и иное что порекомендуете касательно настройки свежей системы?

Всем спасибо.

★★★★★

Последнее исправление: LINUX-ORG-RU (всего исправлений: 2)

но всё же веду разработку и надо запускать бинари из хомячка, это удобно

Безопасность и удобство — вещи зачастую взаимоисключающие

XMs ★★★★★
()
Ответ на: комментарий от anonymous

Скажу, что мочератору вот свободы не по нраву. Он пришел и взмахнул молотом, почувствовав «свою маленькую власть». Вот так же и с политиками. Будь свободным по духу. И тогда тебе не будет страшно ничего. Человека можно кинуть в застенки, но не лишив его внутренней свободы, даже если иголки под ногти совать. Такие дела.

anonymous
()
Ответ на: комментарий от anonymous

Там про форточника был линк. Погугли сам.

anonymous
()
Ответ на: комментарий от anonymous

Так отстал, то даже testing юзаю на домашнем ноуте, лол)

Как будто у человека не может быть хобби. Не огрызком единым страдать теперь :)

ololoid ★★★★
()
Ответ на: комментарий от ololoid

И ты таки хошь сказать, что в дебиане все карашо? Ну там по сравнению с 7 версией, например.

anonymous
()

Начни с определения модели угроз своей. От чего защищаемся, чему доверяем. Без этого вся «настройка безопасности» не имеет смысла. Исходя из модели ужа настраивай. Выяснил как тебя похачили-то?

slowpony ★★★★★
()
Ответ на: комментарий от ololoid

Ну а прибивание гвоздями поняшных ненужностей? Открытие по дефолту брешей. Неоднозначность и ояпонивание документации. Топ 1 cvedetails. И все долго можно продолжать. Не позорь одминскую братию!

anonymous
()
Ответ на: комментарий от ololoid

А стоило бы! Бородатые уже все кто на дженту/слаках, кто на девуане, а кто и на бсде.

Огламурился ты батенька со своими огрызками в ыгылах!)

anonymous
()
Ответ на: комментарий от anonymous

Мдеее дожили. Када-то бубунту считалась апогеем вантузятничества. А теперича вон дебиан… такие времена :(

anonymous
()
Ответ на: комментарий от ololoid

Я хз. Умвр. Свитчингом не увлекаюсь. Лет 10 все настроенное стоит…

anonymous
()
Ответ на: комментарий от slowpony

Я всё уже =) Система свежая,настройки из бекапов (на даже они вычищенны от мусора накопившегося и просмотрены глазами), ssh исключительно по ключам, все входящие соединения запрещены, но там где требуется задано разрешение явно (сейчас такого нет, был kdeconnect, но я им не пользуюсь,убрал). WAN торчит в роутере, на его стороне всякие UPNP вырублены, некоторые сетевые службы вроде поддержки ActiveDirectory и подобные убраны ибо я ими в жизни не пользовался. Для компеляния виртуалка и пару chroot окружений на разделе который по дефолту в ro,noexec заодно в системе не будет 10005000 dev пакетов, перемонтируется по хоткею =) зачёркнутое убрал, неудобно всё же домашний ПК просто. Ну и всё чё. Rsync бекапы ,gufw фаервол с запретом на входящие подключения убраны мусорные сервисы, отключены бесполезные финьтифлюшки на роутере. Даже clamTK накатил, но удалю, нахер он мне нужен в принципе. Ну и ещё докучи lynis прогнал, по его советам вписал забытый secure репозиторий дебиана, доставил libpam-tmpdir,needrestart,debsecan,debsums. И ещё по мелочи. Поимели меня через видимо слабый ssh пароль, но только вот как загадочка ибо никакого внешнего ip у меня не было, подозреваю что в WAN сети есть машинка заражённая или типа того. Или возможно админы провайдера что-то там химича у себя (в этом месяце сеть 4 раза гасили) выдали мне белый ip на какое то время.

LINUX-ORG-RU ★★★★★
() автор топика
Ответ на: комментарий от LINUX-ORG-RU

Я всё уже =)

Это точно

ssh исключительно по ключам

Прям как в бункере.

вырублены, некоторые сетевые службы вроде поддержки ActiveDirectory и подобные убраны ибо я ими в жизни не пользовался.

А такое в дебе уже по дефолту? Кгасота.

gufw

Ты так и не вынес урок :(

Поимели меня через видимо слабый ssh пароль,

Поставь пороль qwerty12345 и файл2бан на 3 попытки. По вкусу порт кнокинг. Все.

Остальные догадки повесилили. Где трипвайр, где файл2бан, где чекруткит итд итп? Тут нафига стоквма страниц разводили?

anonymous
()
Ответ на: комментарий от anonymous

файл2бан есть и настроен, но сейчас мне на мой Пк не надо ходить по ссх, кроме как с 1 места, а там по ключам. Если даже забуду расслаблюсь и включу по паролю файл2бан уже работает. Это я так что-бы не парится.

Ты так и не вынес урок :(

Я больше поломаю чем понастраиваю. айпитаблю надо с умом писать, а не копировать с интеретов. Вот разберусь тогда и. А пока запрещены все входящие и точка кроме разрешённых явно.

Тут нафига стоквма страниц разводили?

По ходу дела, повторюсь если все советы учесть то вся система в ro вход по аппаратному ключу и так далее. Я не в пентагоне. НО многие советы ещё потыкаю, надо же понимать что делаешь, а не слепо наустанвливать всё подряд и есь оно кнём.

Если на двери в дом замка нет, то ловушки по дому расставлять в первую очередь бесполезная затея. Лучше замок повесить сначала.

А тред не только для меня единолично, а для всех. вы аноны по поводу советов своих же тут посрались =)

К тому же советы в 99% случаев были поверхностные. Мол поставь тото… и чё? Но всё равно спасибо.

А такое в дебе уже по дефолту? Кгасота.

Не по дефолту, просто декстоп с полным фаршем накатил, а потом вычищал ненужное. Это быстрее чем накатывать только нужное.

LINUX-ORG-RU ★★★★★
() автор топика
Ответ на: комментарий от LINUX-ORG-RU

файл2бан есть и настроен, но сейчас мне на мой Пк не надо ходить по ссх,

Так то оно от брута защищает, вообще.

пока запрещены все входящие и точка кроме разрешённых явно.

Айпитабля нормальных людей так и работает. Выбрось свой гуфв. Налуркай на мови слайды по таблицам. Там в ютубчике на мунспике все есть. Напиши один раз и забудь. Иначе твои бекэнды снова сиграют с тобой злую шапокляк.

то вся система в ro вход по аппаратному ключу и так далее.

Это были не советы. А пичаль о нонешнем положении вещей в пингвине.

вы аноны по поводу советов своих же тут посрались =)

Легион не срется никогда. Легион - единый организм получающий тайное знание из космического эфира. К этому организму решил щакосплеиться мочератор и фалломорфировал. Но это не делает его частью Легиона, несмотря на плашку. Такие дела.

К тому же советы в 99% случаев были поверхностные

Чобы не поверхностна, надо чейтать источнеги. Тебе давали направления щито читать.

Не по дефолту, просто декстоп с полным фаршем накатил, а потом вычищал ненужное. Это быстрее чем накатывать только нужное.

Лол. Это и есть по дефолту. Быстрее то быстрее, но на выходе…и все таки это пакетное. Там зависимости…

anonymous
()
Ответ на: комментарий от LINUX-ORG-RU

И да. Поставь хоть chkrootkit и запихай в крон. Лишним не будет.

anonymous
()
Ответ на: комментарий от anonymous

ssh исключительно по ключам

Прям как в бункере.

Без правильной реализации и настройки хотябы DAC это сортир, а не бункер!

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/Documentation/security/Yama.txt?h=v4.12

"One particularly troubling weakness of the Linux process interfaces is that a single user is able to examine the memory and running state of any of their processes. For example, if one application (e.g. Pidgin) was compromised, it would be possible for an attacker to attach to other running processes (e.g. Firefox, SSH sessions, GPG agent, etc) to extract additional credentials and continue to expand the scope of their attack without resorting to user-assisted phishing.

This is not a theoretical problem. SSH session hijacking (http://www.storm.net.nz/projects/7)…"

anonymous
()
Ответ на: комментарий от anonymous

Без правильной реализации и настройки хотябы DAC это сортир, а не бункер!

Я вообще не про то. Тыж читай сначала все…

По факту у мну с паролями проблем нет. А вот с сертификатами да, быаает интересно…

anonymous
()
Ответ на: комментарий от LINUX-ORG-RU

Расслабьсо. В твоем сценарии все было не так.

Главное по одним граблям не ходи.

anonymous
()
Ответ на: комментарий от LINUX-ORG-RU

Я всё уже =)

Дай вывод команд: Советов тред по настройке безопасности. (комментарий)

Также доставь пакеты, можно временно: paxtest, hardening-check, checksec

И дай вывод:

paxtest blackhat /tmp/test
hardening-check /bin/ls
checksec -pl 1
checksec -f /bin/ls
checksec -ff /bin/ls
checksec -k

Эту информацию стоит собрать со всех дистров. Также рейтинг lynis после дефолтной установки и обновления системы. Данная информация поможет не только с выбором более безопасного дистрибутива пользователям, но и заимствования технологий безопасности между дистрибутивами.

RedHat дистры имеют свои понятия правильности и технологии безопасности у них сильно отличаются от классически принятых в UNIX.

anonymous
()

Если это домашний комп то убери (не ставь) sshd и запрети входящие подключения:

iptables --append INPUT -p tcp --destination-port 1024:65535 -m state --state ESTABLISHED --jump ACCEPT
iptables --append INPUT -p tcp --jump DROP

Первая команда разрешит принимать tcp-пакеты от уже устновленных исходящих подключений, вторая - запретит все остальные tcp-пакеты.

fail2ban и авторизация по ключу - не нужны, ведь никто к тебе по сети не залогинится.

noexec лишнее

firkax ★★★★★
()
Ответ на: комментарий от anonymous

paxtest blackhat /tmp/test

touch: cannot touch '/tmp/test': Permission denied
tee: /tmp/test: Permission denied
PaXtest - Copyright(c) 2003-2016 by Peter Busser <peter@adamantix.org> and Brad Spengler <spender@grsecurity.net>
Released under the GNU Public Licence version 2 or later

/usr/bin/paxtest: 45: cannot create /tmp/test: Permission denied
/usr/bin/paxtest: 50: cannot create /tmp/test: Permission denied
/usr/bin/paxtest: 52: cannot create /tmp/test: Permission denied
/usr/bin/paxtest: 54: cannot create /tmp/test: Permission denied
/usr/bin/paxtest: 55: cannot create /tmp/test: Permission denied
/usr/bin/paxtest: 56: cannot create /tmp/test: Permission denied
/usr/bin/paxtest: 58: cannot create /tmp/test: Permission denied
/usr/bin/paxtest: 61: cannot create /tmp/test: Permission denied
Writing output to /tmp/test
It may take a while for the tests to complete
Test results:
tee: /tmp/test: Permission denied
Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable stack (mprotect)              : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments                   : Vulnerable
Anonymous mapping randomization test     : 28 quality bits (guessed)
Heap randomization test (ET_EXEC)        : 28 quality bits (guessed)
Heap randomization test (PIE)            : 28 quality bits (guessed)
Main executable randomization (ET_EXEC)  : 28 quality bits (guessed)
Main executable randomization (PIE)      : 28 quality bits (guessed)
Shared library randomization test        : 28 quality bits (guessed)
VDSO randomization test                  : 20 quality bits (guessed)
Stack randomization test (SEGMEXEC)      : 30 quality bits (guessed)
Stack randomization test (PAGEEXEC)      : 30 quality bits (guessed)
Arg/env randomization test (SEGMEXEC)    : 22 quality bits (guessed)
Arg/env randomization test (PAGEEXEC)    : 22 quality bits (guessed)
Offset to library randomisation (ET_EXEC): 28 quality bits (guessed)
Offset to library randomisation (ET_DYN) : 28 quality bits (guessed)
Randomization under memory exhaustion @~0: 28 bits (guessed)
Randomization under memory exhaustion @0 : 29 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Killed
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : 

Надо что то делать? )))

SANyaSmol
()
Ответ на: комментарий от SANyaSmol

touch: cannot touch ‘/tmp/test’: Permission denied

Поменяй на каталог доступный у тебя на запись:

paxtest blackhat ${TMP}/test paxtest blackhat ${HOME}/test

Executable anonymous mapping (mprotect) : Vulnerable Executable bss (mprotect) : Vulnerable Executable data (mprotect) : Vulnerable Executable heap (mprotect) : Vulnerable Executable stack (mprotect) : Vulnerable Executable shared library bss (mprotect) : Vulnerable Executable shared library data (mprotect): Vulnerable Writable text segments : Vulnerable

Должно быть Killed, ядро патчить и пересоберать надо. Глянь checksec -k

20 quality bits (guessed)

Мало! Или у тебя 32битная система?

anonymous
()
Ответ на: комментарий от SANyaSmol

touch: cannot touch '/tmp/test': Permission denied

Поменяй на каталог доступный у тебя на запись:

paxtest blackhat ${TMP}/test

или

paxtest blackhat ${HOME}/test

Executable anonymous mapping (mprotect) : Vulnerable
Executable bss (mprotect) : Vulnerable
Executable data (mprotect) : Vulnerable
Executable heap (mprotect) : Vulnerable
Executable stack (mprotect) : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments : Vulnerable

Должно быть Killed, ядро патчить и пересоберать надо. Глянь checksec -k

20 quality bits (guessed)

Мало! Или у тебя 32битная система?

anonymous
()
Ответ на: комментарий от anonymous

Еще интересен тест рандома, доставте rng-tools и скинте вывод команды: [code] dd if=/dev/urandom status=none |rngtest -c 100000 [/code] Интересует общие failed. У меня меньше 100.

anonymous
()
Ответ на: комментарий от anonymous

Еще интересен тест рандома, доставте rng-tools и скинте вывод команды:

dd if=/dev/urandom status=none |rngtest -c 100000
Интересует общие failed. У меня меньше 100.

anonymous
()
Ответ на: комментарий от anonymous

xubuntu 21.04

uname -a Linux aspire 5.11.0-34-generic #36-Ubuntu SMP Thu Aug 26 19:22:09 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux

Поменяй на каталог доступный у тебя на запись:

из под юзера

paxtest blackhat ${HOME}/test
PaXtest - Copyright(c) 2003-2016 by Peter Busser <peter@adamantix.org> and Brad Spengler <spender@grsecurity.net>
Released under the GNU Public Licence version 2 or later

Writing output to /home/*/test
It may take a while for the tests to complete
Test results:
Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable stack (mprotect)              : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments                   : Vulnerable
Anonymous mapping randomization test     : 28 quality bits (guessed)
Heap randomization test (ET_EXEC)        : 28 quality bits (guessed)
Heap randomization test (PIE)            : 28 quality bits (guessed)
Main executable randomization (ET_EXEC)  : 28 quality bits (guessed)
Main executable randomization (PIE)      : 28 quality bits (guessed)
Shared library randomization test        : 28 quality bits (guessed)
VDSO randomization test                  : 20 quality bits (guessed)
Stack randomization test (SEGMEXEC)      : 30 quality bits (guessed)
Stack randomization test (PAGEEXEC)      : 30 quality bits (guessed)
Arg/env randomization test (SEGMEXEC)    : 22 quality bits (guessed)
Arg/env randomization test (PAGEEXEC)    : 22 quality bits (guessed)
Offset to library randomisation (ET_EXEC): 28 quality bits (guessed)
Offset to library randomisation (ET_DYN) : 28 quality bits (guessed)
Randomization under memory exhaustion @~0: 28 bits (guessed)
Randomization under memory exhaustion @0 : 28 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Killed
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Killed

Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments : Vulnerable

Должно быть Killed, ядро патчить и пересоберать надо.

Не, не. Уже забыл как это делается )

Глянь checksec -k

Из под рута

checksec --kernel
* Kernel protection information:

  Description - List the status of kernel protection mechanisms. Rather than
  inspect kernel mechanisms that may aid in the prevention of exploitation of
  userspace processes, this option lists the status of kernel configuration
  options that harden the kernel itself against attack.

  Kernel config:
    /boot/config-5.11.0-34-generic

  Warning: The config on disk may not represent running kernel config!
           Running kernel: 5.11.0-34-generic

  Vanilla Kernel ASLR:                    Full
  NX protection:                          Disabled
  Protected symlinks:                     Enabled
  Protected hardlinks:                    Enabled
  Protected fifos:                        Disabled
  Protected regular:                      Enabled
  Ipv4 reverse path filtering:            Disabled
  Kernel heap randomization:              Enabled
  GCC stack protector support:            Enabled
  GCC stack protector strong:             Enabled
  SLAB freelist randomization:            Enabled
  Virtually-mapped kernel stack:          Enabled
  Restrict /dev/mem access:               Enabled
  Restrict I/O access to /dev/mem:        Disabled
  Enforce read-only kernel data:          Enabled
  Enforce read-only module data:          Enabled
  Exec Shield:                            Unsupported

  Hardened Usercopy:                      Enabled
  Harden str/mem functions:               Enabled
  Restrict /dev/kmem access:              Enabled

* X86 only:            
  Address space layout randomization:     Enabled

* SELinux:                                Disabled

  SELinux infomation available here: 
    http://selinuxproject.org/

* grsecurity / PaX:                       No GRKERNSEC

  The grsecurity / PaX patchset is available here:
    http://grsecurity.net/

20 quality bits (guessed)

Мало! Или у тебя 32битная система?

Нет, 64. НАверно потому чо проц дохлый старый? .

PS. .. Нет, на 3900x те же цифры, проверил специально

Еще интересен тест рандома,

dd if=/dev/urandom status=none |rngtest -c 100000
rngtest 5
Copyright (c) 2004 by Henrique de Moraes Holschuh
This is free software; see the source for copying conditions.  There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

rngtest: starting FIPS tests...
rngtest: bits received from input: 2000000032
rngtest: FIPS 140-2 successes: 99921
rngtest: FIPS 140-2 failures: 79
rngtest: FIPS 140-2(2001-10-10) Monobit: 12
rngtest: FIPS 140-2(2001-10-10) Poker: 9
rngtest: FIPS 140-2(2001-10-10) Runs: 33
rngtest: FIPS 140-2(2001-10-10) Long run: 25
rngtest: FIPS 140-2(2001-10-10) Continuous run: 0
rngtest: input channel speed: (min=3.424; avg=1055.831; max=4768.372)Mibits/s
rngtest: FIPS tests speed: (min=2.224; avg=53.346; max=60.169)Mibits/s
rngtest: Program run time: 38176106 microseconds

SANyaSmol
()
Последнее исправление: SANyaSmol (всего исправлений: 1)
Ответ на: комментарий от SANyaSmol

Должно быть Killed, ядро патчить и пересоберать надо.

Не, не. Уже забыл как это делается )

Тебе дали подсказки:

NX protection: Disabled

grsecurity / PaX: No GRKERNSEC

20 quality bits (guessed)

Мало! Или у тебя 32битная система?

Нет, 64. НАверно потому чо проц дохлый старый? .

PS. .. Нет, на 3900x те же цифры, проверил специально

PAX и процессор надо смотреть.

rngtest: FIPS 140-2 failures: 79

Вот и у меня двухзначное число ошибок и больше трех девяток в качестве urandom нет.

Интересен тест /dev/hwrng у кого есть быстрый.

PS: а со сборкой бинарей как в убунтологов? Что там с /bin/ls и процессом 1 ?

anonymous
()
Ответ на: комментарий от anonymous

Что там с /bin/ls

hardening-check поставить в убунту еще то занятие. Притянуло за собой 100500 либ (

hardening-check /bin/ls
Command 'hardening-check' not found, but can be installed with:
apt install devscripts
apt install devscripts
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
The following additional packages will be installed:
  diffstat dput gettext intltool-debian libaliased-perl libapt-pkg-perl libarchive-zip-perl libarray-intspan-perl libb-hooks-endofscope-perl
  libb-hooks-op-check-perl libcapture-tiny-perl libclass-data-inheritable-perl libclass-method-modifiers-perl libclass-xsaccessor-perl
  libcommon-sense-perl libconfig-tiny-perl libconst-fast-perl libcontextual-return-perl libcpanel-json-xs-perl libdata-dpath-perl
  libdata-messagepack-perl libdata-optlist-perl libdata-validate-domain-perl libdevel-callchecker-perl libdevel-size-perl
  libdevel-stacktrace-perl libdistro-info-perl libdynaloader-functions-perl libemail-address-xs-perl libexception-class-perl
  libexporter-tiny-perl libfile-chdir-perl libfile-dirlist-perl libfile-find-rule-perl libfile-homedir-perl libfile-touch-perl
  libfile-which-perl libfont-ttf-perl libgetopt-long-descriptive-perl libgit-wrapper-perl libgitlab-api-v4-perl libhash-fieldhash-perl
  libhtml-html5-entities-perl libhttp-tiny-multipart-perl libimport-into-perl libio-prompter-perl libio-string-perl libipc-run-perl
  libipc-run3-perl libiterator-perl libiterator-util-perl libjson-maybexs-perl libjson-perl libjson-xs-perl liblist-compare-perl
  liblist-moreutils-perl liblist-moreutils-xs-perl liblist-someutils-perl liblist-someutils-xs-perl liblist-utilsby-perl
  liblog-any-adapter-screen-perl liblog-any-perl libmarkdown2 libmodule-implementation-perl libmodule-runtime-perl libmoo-perl
  libmoox-aliases-perl libmoox-struct-perl libmouse-perl libnamespace-autoclean-perl libnamespace-clean-perl libnet-domain-tld-perl
  libnumber-compare-perl libnumber-range-perl libobject-id-perl libpackage-stash-perl libpackage-stash-xs-perl libparams-classify-perl
  libparams-util-perl libparams-validate-perl libpath-iterator-rule-perl libpath-tiny-perl libperlio-gzip-perl libpod-constants-perl
  libpod-parser-perl libre-engine-re2-perl libreadonly-perl libref-util-perl libref-util-xs-perl libregexp-pattern-license-perl
  libregexp-pattern-perl librole-tiny-perl libsereal-decoder-perl libsereal-encoder-perl libsort-key-perl libsort-versions-perl
  libstrictures-perl libstring-copyright-perl libstring-escape-perl libstring-shellquote-perl libsub-exporter-perl
  libsub-exporter-progressive-perl libsub-identify-perl libsub-install-perl libsub-name-perl libsub-quote-perl libtext-glob-perl
  libtext-levenshteinxs-perl libtext-markdown-discount-perl libtext-xslate-perl libtime-duration-perl libtime-moment-perl libtype-tiny-perl
  libtype-tiny-xs-perl libtypes-serialiser-perl libunicode-utf8-perl libvariable-magic-perl libwant-perl libxml-libxml-perl
  libxml-namespacesupport-perl libxml-sax-base-perl libxml-sax-expat-perl libxml-sax-perl libyaml-libyaml-perl licensecheck lintian lzip lzop
  patchutils python3-magic python3-unidiff python3-xdg t1utils wdiff

SANyaSmol
()
Ответ на: комментарий от anonymous

Что там с /bin/ls и

hardening-check /bin/ls
/bin/ls:
 Position Independent Executable: yes
 Stack protected: yes
 Fortify Source functions: yes (some protected functions found)
 Read-only relocations: yes
 Immediate binding: yes
 Stack clash protection: yes
 Control flow integrity: yes
checksec --file=/bin/ls
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH	Symbols		FORTIFY	Fortified	Fortifiable	FILE
Full RELRO      Canary found      NX enabled    PIE enabled     No RPATH   No RUNPATH   No Symbols	  Yes	5		17		/bin/ls
checksec --fortify-file=/bin/ls
* FORTIFY_SOURCE support available (libc)    : Yes
* Binary compiled with FORTIFY_SOURCE support: Yes

 ------ EXECUTABLE-FILE ------- . -------- LIBC --------
 Fortifiable library functions | Checked function names
 -------------------------------------------------------
 gethostname                    | __gethostname_chk
 wcstombs                       | __wcstombs_chk
 printf_chk                     | __printf_chk
 readlink                       | __readlink_chk
 mempcpy                        | __mempcpy_chk
 getcwd                         | __getcwd_chk
 fprintf_chk                    | __fprintf_chk
 mbstowcs                       | __mbstowcs_chk
 memmove                        | __memmove_chk
 snprintf_chk                   | __snprintf_chk
 snprintf                       | __snprintf_chk
 memset                         | __memset_chk
 memcpy_chk                     | __memcpy_chk
 memcpy                         | __memcpy_chk
 stpncpy                        | __stpncpy_chk
 strcpy                         | __strcpy_chk
 sprintf_chk                    | __sprintf_chk

SUMMARY:

* Number of checked functions in libc                : 79
* Total number of library functions in the executable: 131
* Number of Fortifiable functions in the executable : 17
* Number of checked functions in the executable      : 5
* Number of unchecked functions in the executable    : 12


SANyaSmol
()
Ответ на: комментарий от anonymous

и процессом 1 ?

checksec --proc-libs=1
* System-wide ASLR (kernel.randomize_va_space): Full (Setting: 2)

  Description - Make the addresses of mmap base, heap, stack and VDSO page randomized.
  This, among other things, implies that shared libraries will be loaded to random 
  addresses. Also for PIE-linked binaries, the location of code start is randomized.

  See the kernel file 'Documentation/sysctl/kernel.txt' for more details.

* Does the CPU support NX: Yes

* Process information:

         COMMAND    PID RELRO           STACK CANARY            SECCOMP        NX/PaX        PIE                     Fortify Source
         systemd      1 No read permissions for '/proc/1/exe' (run as root).

checksec --proc-libs=1
* System-wide ASLR (kernel.randomize_va_space): Full (Setting: 2)

  Description - Make the addresses of mmap base, heap, stack and VDSO page randomized.
  This, among other things, implies that shared libraries will be loaded to random 
  addresses. Also for PIE-linked binaries, the location of code start is randomized.

  See the kernel file 'Documentation/sysctl/kernel.txt' for more details.

* Does the CPU support NX: Yes

* Process information:

         COMMAND    PID RELRO           STACK CANARY            SECCOMP        NX/PaX        PIE                     Fortify Source
         systemd      1 Full RELRO      Canary found            No Seccomp       NX enabled    PIE enabled             Yes


    RELRO           STACK CANARY   NX/PaX        PIE            RPath       RunPath   Fortify Fortified   Fortifiable

* Loaded libraries (file information, # of mapped files: 1):

  /usr/lib/systemd/libsystemd-shared-247.so:
    Full RELRO      Canary found      NX enabled    DSO             No RPATH   No RUNPATH   No Symbols	  Yes	16		38		


SANyaSmol
()
Последнее исправление: SANyaSmol (всего исправлений: 1)

Монтирование с noexec, но всё же веду разработку и надо запускать бинари из хомячка, это удобно.

У вас пропущено слово «SELinux» в этой фразе. Оно несзалуженно пользуется репутацией сложного в использовании, но это совсем не так. Крайне рекомендую освоить. Единственный минус – вендорлок, фактически.

i586 ★★★★★
()
Ответ на: комментарий от SANyaSmol

Что там с /bin/ls

Это чсе хорошо! Для разделяемых библиотек так и должно быть.

anonymous
()
Ответ на: комментарий от SANyaSmol

процессом 1

По поводу сборки, тоже хорошо.

-D_FORTIFY_SOURCE=3 пока экспериментально, потом это даст больше фортифицированных функций.

Ubuntu надо бы с PAX mprotect в ядро Linux притянуть для лучшей защиты памяти. И решить появившуюся проблему с JIT.

anonymous
()
Ответ на: комментарий от anonymous

Форточник, а ответь мне на такой вопрос:

Настройка только MAC и игнорирование DAC допустимо для безопасности OS?

anonymous
()
Ответ на: комментарий от anonymous

ответь мне на такой вопрос

Сперва форточку закрой, эксперт по макдаку. И научись без ошибок перепечатывать из неиспользуемой системы, эксперт по безопасности.

anonymous
()
Ответ на: комментарий от anonymous

На вопрос для троечника ответа нет?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.