Посоветуйте книгу по безопасности linux

Что значит хосту? Хост это не «лицо», это сервер и есть. Данные у него, очевидно, всегда должны быть.

Ну допустим я поднимаю сайт, там хранится конфиденциальная информация моих пользователей, как сделать так что бы хост ни при каких обстоятельствах не смог ее заполучить, и возможно ли такое вообще?

Какие есть уязвимости linux

Открой любую базу CVE и посмотри.

Как им противостоять

Не игнорировать обновления в основном. MAC тоже не повредит.

Как сделать так что бы данные, размещенные на сервере, не попали третьим лица

Слишком широко сформулирован вопрос.

В чем принципиальная разница между ядрами linux, linux-lts, linux-hardened

Зависит от дистрибутива. Если не очевидно, то тебе рано в безопасность, разберись с пакетным менеджером — там есть описания.

Как настроить сервер с OpenRC, и doas вместо sudo (тут стоит оговориться что я не фанат теорий заговоров связанных с RedHat, а скорее мне не нравится что systemd и sudo слишком раздутые утилиты)

Хороший способ понизить уровень безопасности. systemd умеет (и это активно используется) ограничивать сервисы, например. Одно это уже может сделать многие уязвимости менее опасными.

Если не нравится sudo, то надо использовать su. doas для Linux никем всерьёз не используется и может содержать большое количество ошибок, включая уязвимости.

Да и в принципе любая другая информация про безопасность персонального компьютера и сервера

Да в принципе полон интернет, было бы умение читать.

никак.
хост имеет полный доступ к железу и все твои замудрения с шифрацией может полностью обойти.
запомни простое правило: все данные что лежат не у тебя - тебе не принадлежат.

вся информация по ентим вопросам есть в интернете, кучами.
вариантов всего два:
первое: сам ищешь и учишь.
второе: оплачиваешь знания специалиста.

Методичку от Даниила Безсонова прочитай для начала. Иначе можешь все свои ssh-ключи перевести на безопасный счёт.

Да, для защиты конфиденциальности гостевых систем есть AMD SEV.

никак

Как. Это возможно, и большие хостеры сильно заинтересованы в этом. У AMD это SEV, у Intel не знаю, но всё равно не важно — наверняка оно дырявое как решето.

Хоспади, ну и бредятина.

Таких книг не существует.

Такие штуки принципиально не могут быть рабочими, это изначально маркетинговый развод, нацеленный на богатые организации.

Любая система взламываема.

Прочитал описание SEV - красивое. и та прокладка что нужна кагбэ.
но не видел отчетов практического применения :)
опять же надо помнить, что у всякого хостера имеется проработанная законно обоснованная дырочка для управления им от гос.структур.
и уж как он будет изголятся, если его попросят доподлинно не известно…

Раньше очень популярен автор Колесниченко был, ищи по библиотекам. Но, только книги пользуются таким успехом, что их на полках и не сыскать, удачки!

Это так не работает, ты задаёшь неосмысленные вопросы, не имеющие осмысленных ответов. Предлагаю тебе взять учебник по информационной безопасности в целом, например: «Информационная безопасность. Учебное пособие // Гродзенский Я. С. М.: РГ-Пресс».

Почитаешь, разберёшься, придёшь задавать конкретные вопросы, имеющие конкретные ответы.

Исходный код прошивки открыт, у тебя есть возможность всем показать, почему оно не может работать.

опять же надо помнить, что у всякого хостера имеется проработанная законно обоснованная дырочка для управления им от гос.структур

Я не знаю, как оно в РФ, но в родной юрисдикции Microsoft, Amazon, Google и Oracle стойкая криптография без дыр не запрещена.

Код прошивки ни на что не влияет. Всё, что ты хостишь на физически неподконтрольном железе, находится в 100% власти того, кто контролирует железо (при наличии у него такого желания, разумеется). И никакие фокусы этого не отменят.

Вы на полном серьезе рекомендуете эту книгу? Полистав ее кроме воды и сносок с закона рф ничего более полезного не увидел, мне интересно устройство систем, а не стандарты, придуманные не понятно

дыкыть конечно :) дырка никак не ограничивает наличия суперкрутой криптографии. главное чтобы дырка была где надо…

Как сделать так что бы данные, размещенные на сервере, не попали третьим лица

1. Использовать актуальный серверный дистрибутив с актуальными обновлениями;
2. Отключить парольную аутентификацию в ssh.

Остальное все зависит от приложений, которые запускаются на сервере.

Nemeth, E., Snyder, G., Hein, T., Whaley, B., and Makin, D., Unix and Linux System Administration Handbook, 5th edition, Prentice Hall, 2017.

Есть глава про безопасность. Есть ссылки на дополнительную литературу по темам.

Заглитчат по питанию хвалебные amd epyc, а они раз и ключи шифрования ram гостевых систем вывалят :DDD

Что я хочу узнать:

«Язык программирования Си» K&R.

при наличии у него такого желания, разумеется

И возможности разобрать процессор для отладки (окей, бывают ещё уязвимости, но для простоты забудем о них). Собственно, эта фича нужна не только клиентам, но и хостерам. Последним, наверное, даже больше. Во-первых, это слой защиты от эксплуатации других дыр, когда один гость может читать память другого. В последние годы это уже привычно. Во-вторых, хостеру самому как раз хочется НЕ иметь к гостю ненужного доступа. Причины, думаю, понятны. Речь здесь, разумеется, о больших хостинг-провайдерах типа Amazon и Microsoft. Для мелких это просто лишние заморочки.

главное чтобы дырка была где надо

Проблема с такой логикой в том, что большинство бэкдоров в итоге используют не те, для кого они оставлены. К сожалению, многих это ничему не научило, а у некоторых идея напихать таких дыр как будто в ДНК. AMD и Intel в использовании бэкдоров я бы подозревать ее стал.

Во-вторых, хостеру самому как раз хочется НЕ иметь к гостю ненужного доступа.

Может и хочется, да кто ж ему разрешит то? Запросы от государства надо исполнять, а для этого доступ нужен. Крупных это особенно касается.

И возможности разобрать процессор для отладки

Самая большая неприятность, которая там может быть - это зашифрованный исполняемый код на входе. Я не знаю, используется ли это или нет. Если используется - то всё что нужно это разово как-то достать ключ расшифровки. Разово - всмысле реально один раз, а работать он будет хоть 100 лет. Доставание этого ключа это лишь вопрос достаточных денег на реверс/кражу/покупку, или государственных полномочий на приказ его сообщить.

кроме воды и сносок с закона рф ничего более полезного не увидел, мне интересно устройство систем, а не стандарты, придуманные не понятно

Английский очень хорошо знаешь?

Можешь ограничится рекомендациями по безопасности с дистрибутивов. И рекомендациями с тестов *NIX: lynis.

Какие есть уязвимости linux

Прокладка между креслом и клавиатурой.

ППКС

Какие есть уязвимости linux

Какие проги наставишь, в таких и будут уязвимости

Как им противостоять

Использовать контейнеры (flatpak), виртуалки для запуска почти всех графических приложений, не использовать левые репы и тп

В чем принципиальная разница между ядрами linux, linux-lts, linux-hardened

Я с арча 7-ой год сижу и скажу так: никакой. Перехожу на LTS, например, если глючит новый драйвер невидии. Такое бывает крайне редко. Аналогично приходится с X11 на Wayland переключаться иногда.

Как настроить сервер с OpenRC, и doas вместо sudo (тут стоит оговориться что я не фанат теорий заговоров связанных с RedHat, а скорее мне не нравится что systemd и sudo слишком раздутые утилиты)

Ставить OpenRC — это стрелять себе в ногу, если ты программист. Эникеям энивей все равно.

Да и в принципе любая другая информация про безопасность персонального компьютера и сервера

Это миф. Используй gnome-keyring/kwallet, gnu pass, LUKS, шифруй весь свой трафик, никогда не используй полное имя (только ради самопиара)

Запросы от государства надо исполнять, а для этого доступ нужен.

Если доступа нет, то исполнять не обязательно. Только не надо конспирологии про то, что всё везде пробэкдорено и возможности спецслужб безграничны, у нас тут не форум про НЛО.

приказ его сообщить

Ха-ха, да, удачи. Если бы это так работало, то компании, торгующие софтом для эксплуатации уязвимостей, давно бы разорились — их основные клиенты как раз силовики, в том числе той страны, в которой находятся штаб-квартиры Intel, AMD и всех остальных значимых компаний.

Достаточно хорошо знаю что бы читать литературу на английском

В чем принципиальная разница между ядрами linux, linux-lts, linux-hardened

Я с арча 7-ой год сижу и скажу так: никакой.

Не обманывай. Давай сюда тесты с Arch: https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309

Не знаю сколько времени есть на безопасность. Можно просмотреть это:

На сайте ФСТЭК России опубликован Методический документ «Рекомендации по обеспечению безопасной настройки операционных систем Linux». (комментарий)

Для сайтов много времени на безопасность не тратят и дорогую безопасность не внедряют. Бери с безопасности сначала то что можно сделать быстро и дёшево, а потом добавляй необходимое.

учи язык программирования си, ассемблер и устройство железа, иначе не поймешь, как многие уязвимости работают

Государство не интересуют отмазы про какие-то там доступы в своему собственному железу. Если пришёл запрос сообщить содержимое хостинга - его надо выполнять. И если мелкие хостеры ещё могут надеяться что авось пронесёт, то у крупных на этот случай должна иметься штатная процедура, иначе бы они не выжили.

их основные клиенты как раз силовики

Ну конечно, данные то не только из локальных хостингов надо получать, но и из иностранных иногда. Иностранные то вполне могут отказать. И не надо путать две ситуации: активный бекдор, который по удалённой команде шлёт в инет что угодно - это сложно и может отсутствовать, и открытое саботирование запроса в виде «железо с данными хранится у нас, но данные мы вам не дадим».

Не может админ сайта знать все.

Надо знать перечень существующих технологий защиты, от каких векторов атак они защищают, сколько времени займет внедрение и сопровождение конкретной технологии защиты.

Прикинуть примерно какие векторы атак можно быстро перекрыть, а какие перекрыть необходимо в будущем.

поступай в институт. тогда параллельно будешь изучать линукс.

UPD: шутки про ректальный криптоанализатор оставьте при себе, а мне нужна информация

+1

https://cdn.kernel.org/pub/linux/libs/security/Orange-Linux/refs/

Как-то обмельчал лор, вроде заданы вполне конкретные вопросы, а никакого намека в какую сторону копать нету. То книжки которые даже для школьников бесполезны, то си и асм учить посылают.

Какие есть уязвимости linux

Наверно имелось ввиду какие типы уязвимостей бывают, типа эсплуатирующие переполнение выделенной памяти, разные способы получения рута, разные сетевые атаки…

Как им противостоять

Что с этим озвученными пунктами делается и как повысить эффективность борьбы с этими уязвимостями

linux, linux-lts, linux-hardened

Тут тоже не очевидно, почему патчи безопасности нужно делать для специального ядра.

Как настроить сервер с OpenRC

Тут наверно прям книгу не найдешь, хендбуки читать только

Да и в принципе любая другая информация про безопасность персонального компьютера и сервера

Тоже интересно, не столько почитать, а чтобы иметь под рукой источники для справки, когда потребуется.

Ну допустим я поднимаю сайт, там хранится конфиденциальная информация моих пользователей, как сделать так что бы хост ни при каких обстоятельствах не смог ее заполучить, и возможно ли такое вообще?

Нужно не так было задать вопрос. Лучше так: вот я размещаю свои сервисы на стороннем хосте, впс/вдс, контейнер или еще что, что выбирать, какие риски и как мне максимально обезопасить свои данные в каждом из случаев.

Как сделать так что бы данные, размещенные на сервере, не попали третьим лица (к примеру хосту)

А что написано в договоре с организацией, предоставляющей сервер?

Какие есть уязвимости linux

Хочешь все узнать?)

Как им противостоять

Достаточно стандартных методов администрирования. Если твой сервер сообщается с сетью, всегда найдется тот, кто может войти на него без спроса и даже подметет и дверь за собой закроет потом.

Как сделать так что бы данные, размещенные на сервере, не попали третьим лица (к примеру хосту)

Самый простой вариант - локалхост.

В чем принципиальная разница между ядрами linux, linux-lts, linux-hardened

Принципиальной разницы нет, лтс поддерживается дольше, хард - укрепленная в плане безопасности.

Как настроить … слишком раздутые утилиты

Тут надо гуглить в интернете…

Да и в принципе любая другая информация про безопасность персонального компьютера и сервера

В интернете много инфы, даже в электронных энциклопедиях обзорно есть.

чем и кому это поможет? там ядро трехлетней давности без исправление критических уязвимостей последних лет, поддержки нового железа, устранения всяких регрессий, ошибок…

Можно пойти от обратного – установить Kali, ну а дальше само пойдет.

Тестируй, убедись, что эксплоиты не работают..

Lts версии ядра, со всеми исправлениями, поддерживаются.

Если самое новое железа пробуй бету.

Тест кали выложи: Посоветуйте книгу по безопасности linux (комментарий)

с чего ты решил что они работают? об эксплойтах обычно узнают через 5-10 лет после того как проэксплатируют все кому не лень.

Вот пример уязвимого кода:

vuln.c

#include <stdio.h>
#include <string.h>

void vulnerable_function(const char *input) {
    char buffer[64];
    // Копируем входные данные в буфер без проверки длины
    strcpy(buffer, input);
    printf("Buffer: %s\n", buffer);
}

void secret_function() {
    printf("Secret function has been called!\n");
}

int main(int argc, char *argv[]) {
    if (argc < 2) {
        printf("Usage: %s <input>\n", argv[0]);
        return 1;
    }

    vulnerable_function(argv[1]);
    return 0;
}

В результате переполнения буфера можно вызвать любую функцию, зная ее адрес:

./vuln $(python -c 'print "A"*64 + "<адрес функции>"')

Проблема лишь с его вычислением из-за ASLR, механизма, который меняет адреса при каждом вызове программы… Но чем сложнее програ, тем больше возможностей сделать «невозможное»

https://ethicalhacking.uk/cve-2023-0179-a-buffer-overflow-vulnerability-in-the-linux-kernel/#gsc.tab=0

Я не знаю как тебя какое-то говноядро защитит, если там не коммитили 3 года, а уязвимости выше 1 год

W^X защищает от переполнения буфера. И не важно 10 лет известна уязвимость или 0-day.

https://www.gnu.org/software/libc/manual/html_node/Source-Fortification.html