LINUX.ORG.RU

Уязвимости по умолчанию.

 ,


0

4

У меня приступ паранойи.

Вот предположим, что человек вот только что поставил gentoo, поднял иксы, залил LXDE. Какие на этом компьютере есть критические уязвимости? Любой цели - rm -rf /*, удаленное управление и пр. Интересуюсь с целью закрыть сразу после установки.

Перемещено Dimez из talks

aptitude install harden-doc

GotF ★★★★★
()

имх. надо сразу в /etc/iptables/iptables.rules нечто такое(хотя точно не помню чего там надо):
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Bad_ptr ★★★★★
()
Ответ на: комментарий от AlexCones

А ssh кто тянет? Или оно напрочь привязано к иксам?

Ёксель-моксель, и у него две звезды.

aptitude install матчасть

GotF ★★★★★
()

если сетевые -

sockstat
покажет что нужно конфигурировать на локалхост или интерфейс без прямого ip.
но, если стоит маршрутизатор, то проще убрать нат или прокинуть только 22 и 3306 порты, по надобности.

system-root ★★★★★
()

Если после установки обновил систему то никаких уязвимостей быть не должно (по идее)

xorik ★★★★★
()
Ответ на: комментарий от AlexCones

И никто не ответил, кто тянет.

fads@extensa ~ $ sudo emerge -avc virtual/ssh

Calculating dependencies... done!
  virtual/ssh-0 pulled in by:
    @system

fads ★★
()

Пока к сети не подключат, точно никаких не будет. Я гарантирую.

segfault ★★★★★
()
Ответ на: комментарий от AlexCones

У Gentoo тот дефолт, который ты сам сделал.

Про фаервол - да, правильно сказали. Когда-то наблюдал иксовый порт открытый - ну да, тоже фаервол.

От каких уязвимостей хочешь предохраниться?

- Физический доступ на комп - запароль grub чтобы single mode нельзя зайти. BIOS чтобы с LiveDVD никак, в идеале отключи USB (а что - в R&D так делают).
- Всякие эксплоиты? NX-бит в ядре. Да и вообще SELinux, а вообще - да gentoo-hardened.
- Автозагрузка autorun.sh не помню в KDE/Gnome работает?
- На соответствующие разделы поставь noexec в fstab.
- Если пользуешься wine - не давай ему доступ ни к чему кроме ~/.wine или специального каталога (по умолчанию он к хомяку имеет полный доступ)
- Я еще доступ на запись люблю со всякого убирать, да долгоживущим данным ставить owner=root.
- Логам тоже убираю все младшие биты (те которые others), дабы лазил только тот кто в группе root или нужной группе, но не все.
- В sudoers люблю опцию targetpw .
- всякие ftp, ssh, torrent, samba ни в коем случае не а автозапуске. На рутере ssh, ftp тоже только по надобности открывается и сразу закрывается. samba ни в коем случае за пределы локалки не должна выходить.
- Настройку ftp и др. сервисов, надеюсь не рассматриваем.
- Про браузер - отдельная тема
- Wi-Fi - про WPA и скрытие не нужно рассказывать?
- Службы всякие в chroot
- Пароли правильные делать
- от DDos можешь предохраняться
- Хочешь диски зашифруй, IPSec до рутера прокинь, только молись чтобы что-то случайно не лягло, а то нахлебаешься ;)

То что вспомнил навскидку...

Вообще зависит от степени твоей паранойи, доступного времени, и количества мануалов и Интернете (последнее - чуть больше чем дофига)

Kroz ★★★★★
()

У меня приступ паранойи.

Паранойя - это плохо. Кормить её - вредить себе.

rm -rf /*

Бекапы есть? Похер.

удаленное управление

Данные есть? А если найду?

Из личного опыта: храни в постоянной доступности как можно меньше критических данных, которые ты боишься потерять. Загружайся с LiveCD и делай бекапы на винты, которые не будут крутиться. Всё-таки вирусов под линуксы ещё не так много, а у злоумышленников обычно нет целей выше запуска знаменитого однострочника или зомбификации машины с целью рассылки спама. Одна из самых уязвимых и толстых программ - браузер, типа фокса. С флешем ещё хуже. Его (браузер) следует запихать под другого юзера. Если остальной софт доверенный - на него можно забить. И меньше приступов паранойи. Они заставляют тебя искать чёрную кошку в тёмной комнате, которой никогда не существовало.

anonymous
()
Ответ на: комментарий от Black_Shadow

И как ты Gentoo смог поставить?

Из хендбука в камсоль копипастил же.

anonymous
()

netstat -nlp тебе в помощь.

tazhate ★★★★★
()
Ответ на: комментарий от Spirit_of_Stallman

Что в очередной раз доказало, что есть как минимум 2 пути получить звёзды..

Второй - как в шоубизнесе - через постель модератора?

anonymous
()
Ответ на: комментарий от anonymous

Второй - как в шоубизнесе - через постель модератора?

Уже 3 :) Жаль что знающий этот способ - не показал себя))

Spirit_of_Stallman ★★★
()
Ответ на: комментарий от anonymous

Теперь понятно, почему здесь мало многозвёздных женского пола, учитывая пристрастия модеров к продукции одной компании.

anonymous
()

Посмотрите на мою аватарку, затем на лого своего дистрибутива. Затем снова посмотрите на моё лого. Да, я на харденед генте!

А если серьёзно, то основные уязвимости десктопа за натом - это переполнение буфера в разных сетевых клиентах (плеер, флеш, браузер, IM). И ты от этого только в hardened генте (можно просто перейти на харденед тулчейн. Тебя никто не заставляет даже ядро с паксом юзать для этого, не говоря уже про selinux. Тогда разницы между обычной гентой и HG вообще почти не будет). Ну есть другие дистрибутивы с защитой от переполнений буфера, но с ними куда сложнее, чем с HG. Либо они (как либерте линукс или пенту) на HG основаны (они и есть HG, только сразу настроенная).

ktulhu666 ☆☆☆
()
Ответ на: комментарий от anonymous

И меньше приступов паранойи. Они заставляют тебя искать чёрную кошку в тёмной комнате, которой никогда не существовало.

Ой, нашелся тут. Вали на эксплойтдб, как прочтешь, сколько узвимостей под вские клиенты и пейджеры находится, тогда и приходи. Нашел тут, блин, доверенный софт. Ни так давно kvirc вообще имел бал с переполнением, при котором можно весело поиметь права процесса. Я уж молчу, что перехватить права рута можно просто поставив алиас в .bashrc в подавляющем большинстве случаев.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Я уж молчу, что перехватить права рута можно просто поставив алиас в .bashrc в подавляющем большинстве случаев

Как? Было бы неплохо узнать. Для общего развития, так сказать...

AlexCones ★★★
() автор топика
Ответ на: комментарий от AlexCones

Как? Было бы неплохо узнать. Для общего развития, так сказать...

Да я понял. Тут же все задают вопросы только для того, чтобы сделать свою систему более безопасной. Взлом же у нас по закону запрещен.

У тебя при запуске баша запускается всё, что в .bashrc . Кто тебе мешает запустить поддельный баш внутри этого? Или вообще приложение-прокси? Которое проксирует стандартный ввод и вывод между консольным устройством и реальным башем, сама, какбе в фон уходя при запуске?

А вообще самый простой вариант, это тупо делай алиас sudo и su на свои (в локальном каталоге) версии прокси. Теперь уже между bash и sudo.



Просто вопрос в том, нужно ли тебе за того же самого сеанса рута что-то запустить (допустим логи входов валятся на внешний сервер, поэтому заходить просто так нельзя), или тебе нужно тупо пароль узнать.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от AlexCones

Но если мы про иксы говорим, то проще кейлоггер поставить :) Это будет даже незаметнее, а заодно кучу другой инфы стыришь.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

сколько узвимостей под вские клиенты и пейджеры находится

Кто мешает с ними поступать также, как и с браузером?

Ни так давно kvirc вообще имел бал с переполнением

Рад за kvirc в очередной раз (пользователь irssi).

Я уж молчу, что перехватить права рута можно просто поставив алиас в .bashrc

Да хоть в inittab. Современные системы разжирели до такого уровня, что быстренько пройтись по всем местам и посмотреть, а не наставили ли мне всяких алиасов - трудная задача. «А знаете ли вы, что динамические библиотеки делают систему намного более уязвимой?»

Вали на эксплойтдб

Нет ты. Как найдёшь чёрную кошку без переполнения стека - скажешь? Паранойю лечить нужно, а не кормить.

anonymous
()

Рассмотрю только удалённые уязвимости. По умолчанию их нет, потому что это не винда и сервисы сами не запускаются. В голой системе никакие порты ничего не слушает, поэтому и угрозы нет.

Если будет нужен SSH - включай авторизацию по publickey, по паролям сразу убирай.

Всякие FTP, HTTP - своевременно обновлять (хотя вообще-то всё надо своевременно обновлять) + запускать из-под специальных пользователей, а не root. При необходимости вообще оборачивать в chroot, но при относительной стабильности исполняемых веб-приложений это не обязательно.

Если будет нужна Samba - дальше локалки ни в коему случае не пускать. Правилами на роутере (если за NAT), в iptables... И вообще пускать в интернет только те службы, которые ты действительно хочешь сделать общедоступными, а не все подряд.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

Рассмотрю только удалённые уязвимости. По умолчанию их нет, потому что это не винда и сервисы сами не запускаются.

Дебиановцы с вами не согласны, там запускается всё что поставилось. :-)

anonymous
()
Ответ на: комментарий от anonymous

кстати да, меня офигенно удивляет такая политика в debian и ubuntu. В ubuntu ещё можно понять, но debian вроде как позиционируется для людей, которые знают как управлять инициализацией.

vyazovoi ★★★
()
Ответ на: комментарий от KivApple

Рассмотрю только удалённые уязвимости. По умолчанию их нет, потому что это не винда и сервисы сами не запускаются.

Да ну? Читать до просветления http://ru.wikipedia.org/wiki/Сетевая_модель_OSI и помнить что на каждом уровне могут быть уязвимости, вы рассмотрели только транспортный.

Да и на транспортном тоже. Надеюсь про знаменитый баг 98й (или 95й) венды слышали, когда особым пингом ее можно было в даун увести?

Kroz ★★★★★
()
Ответ на: комментарий от Kroz

Рассмотрю только удалённые уязвимости. По умолчанию их нет, потому что это не винда и сервисы сами не запускаются.

Да ну? Читать до просветления http://ru.wikipedia.org/wiki/Сетевая_модель_OSI и помнить что на каждом уровне могут быть уязвимости, вы рассмотрели только транспортный.

Сам бы свой линк прочитал бы чтобы не путать транспортный и прикладной уровень.

anonymous
()
Ответ на: комментарий от anonymous

Сам бы свой линк прочитал бы чтобы не путать транспортный и прикладной уровень.

ICMP - сетевой, да, попутал. Но и вы не блещете я смотрю - сначала критикуете потом проверяете?

Kroz ★★★★★
()

Любой цели - rm -rf /*, удаленное управление и пр. Интересуюсь с целью закрыть сразу после установки.

вдоль.

drBatty ★★
()
Ответ на: комментарий от drBatty

> Надеюсь про знаменитый баг 98й (или 95й) венды
это ты кому вообще сказал-то?

Это я привел пример того, что, даже если у тебя все tcp/udp порты закрыты, это еще не означает что ты надежно защищен от атак извне.

Kroz ★★★★★
()
Ответ на: комментарий от drBatty

Вообще я давно админил, вот то, что помню. Не воспринимай как догму, но по крайней мере направление, в котором копать, оно тебе даст.

Ну, первое и самое простое- syn cookies. Подробней, например, здесь: http://www.protocols.ru/modules.php?name=News&file=article&sid=139 . В последних ядрах включено по умолчанию, и если ты ползуешься торрентами, то видел сообщения в логах ядра вида «TCP: Possible SYN flooding on port 60000. Sending cookies.». Хотя, говорят нагружает ядро, поэтому испольуй аккуратно.

Следующее - ограничить колличество запросов в секунду с помощью -m limit в iptables. Я бы ограничивал не только tcp/ip, udp/ip но и icmp и другие если используются. Нужное значение определяется экспериментами, обычно от 10 до 100 в секунду.

Еще потюнить ядро на предмет keepalive, размер окна, таймауты и что-то там еще. Гугл поможет.

Вот еще хорошая статья http://www.xakep.ru/post/49752/default.asp?print=true

...

Kroz ★★★★★
()
Ответ на: комментарий от drBatty

Вообще, ИМХО все эти автоматизации могут только уменьшить атаку, а чтобы реально отбить нужен человек. Поэтому поможет логирование и самописный скриптик, который обрабатывает лог и при обнаружении подозрительной активности сообщает админу (я использовал комманду write ), да и вообще отправляет ежедневные отчеты.

Еще по моему СУБЪЕКТИВНОМУ мнению большое колличество reject'ов не есть хорошо, поэтому на «популярных» портах (22, 138 ...) я всегда ставил DROP.

Еще я резал «неправильные» пакеты, так как нельзя гарантировать как система на них отреагирует. Например TCP/UDP с SPORT или DPORT рывным 0. Еще есть критерий unclean , но я его не использовал, да и его не очень рекомендуют.

Не особо относится к DDos, но для временных сервисов, таких как ssh, прикольная штука - port knocking.

Но это мы защищались на сетевом/транспортном уровнях. Далее зависит от того, какие серваки у тебя крутятся.

Если WEB-сервер, то nginx считается предназначенным именно для высоких нагрузок. Насколько я помню, его можно использовать в связке с apache.

...

Kroz ★★★★★
()
Ответ на: комментарий от drBatty

Любому серверу я бы ограничивал колличество потоков и памяти, которую он может юзать, колличество сессий (для ftp, например).

Далее, учитывая что отказ в обслуживании можно сделать не только большой активностью, но и «парвильными» запросами которые активируют определнные уязвимости - следи за обновлениями.

Ну, а дальше в гугл.

Hope it helps.

Kroz ★★★★★
()

уязвимости могут быть, например, если в свежеустановленной генте софт какой-то версии, в которой недавно нашли уязвимость, 0-day короче

еще насколько знаю, по дефолту обновление дерева portage происходит по открытому каналу и без проверки подписей, лучше сразу настроить обновление с проверкой

http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=2&chap=3#webr...

Harald ★★★★★
()
Ответ на: комментарий от Kroz

Это я привел пример того, что, даже если у тебя все tcp/udp порты закрыты, это еще не означает что ты надежно защищен от атак извне.

а... это наверное для тех ты сказал, кто никогда не работал (и даже не играл) с Windows95...

Для всех остальных разъясняю: этот баг никак не проявлялся, система висла/падала и без всяких запросов, и без всякого интернета вовсе.

drBatty ★★
()
Ответ на: комментарий от Kroz

Любому серверу я бы ограничивал колличество потоков и памяти, которую он может юзать, колличество сессий (для ftp, например).

ты вообще похоже не в теме: где ты видел сервер с неограниченным числом потоков? В 95й венде что-ли?

drBatty ★★
()
Ответ на: комментарий от Kroz

Ну, а дальше в гугл.

понятно. типичный лоровский аналитег. А теперь представь себе, что твой сервер атакуют 100500 запросов в секунду. Не, не хакеры, просто тупой флуд без смысла. Твои действия? DROP? Что, 80й порт? Дык у тебя там web-сервер крутится... Nginx? Ну с апачем твоё железо держало Over9000 запросов, с nginx будет держать 19000, с потерей функционала. А у тебя, напомню, 100500 запросов.

Вообще, ИМХО все эти автоматизации могут только уменьшить атаку, а чтобы реально отбить нужен человек.

и?

я использовал комманду write

открой для себя xmessage, gxmessage, gmessage... Хотя, если тебя будут DDoSить, ты это и так заметишь, по реакции «радостных» клиентов.

ЗЫЖ и да, «коМанда», КО Манда! Сложно запомнить что-ли?

drBatty ★★
()
Ответ на: комментарий от drBatty

понятно. типичный лоровский аналитег.

Понятно, типичный лоровский нытик, который ничего предложит не может, только критиковать умеет. Страницу текста перед этим ты, видать случайно, не заметил?

открой для себя xmessage, gxmessage, gmessage

Зачем? У меня все работает, и именно так, как надо.

А теперь представь себе, что твой сервер атакуют 100500 запросов в секунду. Не, не хакеры, просто тупой флуд без смысла. Твои действия?

Мои действия - активировать моск! А пищей ему будут служить те логи, которые старательно до этого настроил.

Хотя, если тебя будут DDoSить, ты это и так заметишь, по реакции «радостных» клиентов.

Нормальный админ проблему обнаруживает ДО того, как ему звонит клиент.

ЗЫЖ и да, «коМанда», КО Манда! Сложно запомнить что-ли?

Проходи, мальчик, тебе не сюда, тебе на лингвофорум...

Kroz ★★★★★
()
Ответ на: комментарий от Kroz

Мои действия - активировать моск! А пищей ему будут служить те логи, которые старательно до этого настроил.

внезапно: логи пишут, что

твой сервер атакуют 100500 запросов в секунду.

твои действия?

drBatty ★★
()
Ответ на: комментарий от drBatty

внезапно: логи пишут, что твой сервер атакуют 100500 запросов в секунду. твои действия?

Если твои логи только это и пишут, то ты плохо настроил систему логов. Кроме того, если ты ищешь универсальное решение, которое подходит всегда и везде - проходи мимо, потому его нет и не может быть. Моск нужен именно потому, что позволяет учесть огромное количество факторов и принимать разумные решения.

Вот возможный вариант развития событий:

Можно ли выделить перечень хостов с которых происходит атака (логи - привет)? Если да - блеклистить их. Скрипт, который парсит логи и автоматом банит по IP пишется за 10 минут. Хуже, если приходится банить подсети - больший процент ошибочно забаненых пользователей. Опять-таки, смотрим логи включаем моск. Кого обслуживает сервер? Корпоративных клиентов? Сколько их? Если их с десяток, может можно просто сделать white list. Их до 50? Если атака на один порт (логи - привет!) - поменять порт на нестандартный, попросить кол-центр обзвонить клиентов, попросить переконфигурить. Может они вообще идут через одну точку, на которой можно сменить порт - тогда звоним тамошнему админу.

Насколько критичен сервис? Может можно дропать каждый второй запрос на соединение.

Как проявляется отказ в обслуживании? Чего не хватает? Памяти? Пропускной способности канала? Процессора? Можно ли это как-то расширить, например, попросить у прова временно шире полосу? Может есть бекапный сервак и трафик идет через какую-то точку из которой можно сделать load-balancer?

Есть ли что-то общее у атакующих (логи - еще раз привет), например, запрос с зомби-машины поступает с определенной периодичностью, например, каждую секунду - пишем скрипт, баним такие машины.

Далее. Есть ли возможность у нас сменить IP? Если мы важный клиент для прова, думаю, провайдер может нам это предоставить временно, платно или нет. Меняем IP, переписываемся в DNS-серваках (кооперация с провайдером - привет). Думаю, зомби-машины не каждый раз резолвят наш IP шник. Можно вообще сменить IP, не менять DNS запись, прозвонить клиентов и распространить /etc/host .

И т. д. и т. п. Тут вариантов - масса, и, как видишь все зависит от реально ситуации. Если бы была одна пилюля, которая защищала бы от всех DoS атак, то эта проблема канула бы в историю.

Kroz ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.