LINUX.ORG.RU
ФорумTalks

Пользуетесь ли вы безопасной операционной системой?

 ,


1

3

Задумывались ли вы над степенью защищённости вашей ОС?

В общем для защиты ОС и ПО используют следующие три технологии:

1. Специализированное ПО: антивирусы, сетевые экраны, системы обнаружения вторжений, системы контроля и гарантий целостности, аудита, итп.

2. Системы минимизации ущерба при взломах: мандатный контроль доступа (RBAC), системы изоляции процессов chroot,jail, итп., системы виртуализации (убеждён что это не метод защиты, но поскольку 99% ЛОРа думают иначе пусть будет)

3. Системы спроектированные, собранные и настроенные так чтобы противостоять всем известным способам атак. Защищают от существующих но «не найденных» уязвимостей включая не известные вирусы и «уязвимости 0 дня». Система без обновлений и устранения уязвимостей с может успешно противостоять эксплоитам.

Какие технологии защиты используются дома, на рабочем месте, на серверах (если не секрет!!!)

По 3 пункту, есть ли в репах вашего Линукса следующие пакеты:

* paxtest http://pax.grsecurity.net PaX regression test suite

* hardening-check https://wiki.debian.org/Hardening Report the hardening characterists of a set of binaries

* pax-utils http://hardened.gentoo.org/pax-utils.xml ELF related utils for ELF 32/64 binaries that can check files for security relevant properties

Если есть дайте вывод команд : 

# paxtest blackhat
# hardening-check /bin/bash
# scanelf -a /bin/bash
Вместо /bin/bash может быть любой бинарник из дистра.

Обязательно укажите имя и версию дистра.

BattleField3 for free
ebuild для .deb-пакета
1 2 3

Пользуетесь ли вы безопасной операционной системой?

Нет, я люблю рисковать.

theNamelessOne ★★★★★
()

paxtest blackhat

Прочитал выхлоп, устыдился. ☺ Да и пофиг, я неуловимый Джо.

Axon ★★★★★
()

Вот моя сборка Hardened Gentoo:

1

антивирусом clamav проверяю флешки и не шифрованный http трафик (havp). rkhunter & chekrootkit - использую реже (никогда ничего не ловили).

фильтрую весь входящий и исходящий трафик с учётом состояния и пользователей (iptables). Некоторым пользователям запрещено создавать сетевые сокеты вообще.

hash всех бинарей и конфигов имеется но при запуске не проверяю, только при желании. Базу хешей на отдельный ro носитель некопирую. Гарантию целлосности обеспечиваю програмно ro / & /usr с /proc/sys/kernel/grsecurity/romount_protect = 1

логирую запуск всех файлов, смены каталогов и тп.

2.

RBAC не пользую ибо долго настраивать. Смотрю в сторону gradm.

chroot - использую для инет сервисов и тп

/proc - доступны только процессы пользователя

/sys - только для root

sandbox - для компиляции

3

# paxtest blackhat
Mode: blackhat
Linux host 3.11.2-hardened 

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Killed
Executable bss (mprotect)                : Killed
Executable data (mprotect)               : Killed
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Killed
Executable shared library bss (mprotect) : Killed
Executable shared library data (mprotect): Killed
Writable text segments                   : Killed                                                                                                           
Anonymous mapping randomisation test     : 29 bits (guessed)                                                                                                
Heap randomisation test (ET_EXEC)        : 23 bits (guessed)                                                                                                
Heap randomisation test (PIE)            : 35 bits (guessed)                                                                                                
Main executable randomisation (ET_EXEC)  : No randomisation                                                                                                 
Main executable randomisation (PIE)      : 27 bits (guessed)                                                                                                
Shared library randomisation test        : 29 bits (guessed)                                                                                                
Stack randomisation test (SEGMEXEC)      : 35 bits (guessed)                                                                                                
Stack randomisation test (PAGEEXEC)      : 35 bits (guessed)                                                                                                
Return to function (strcpy)              : paxtest: return address contains a NULL byte.                                                                    
Return to function (memcpy)              : Vulnerable                                                                                                       
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.                                                                    
Return to function (memcpy, PIE)         : Vulnerable                                                    
host ~ # hardening-check /bin/bash                                                                                                                          
/bin/bash:                                                                                                                                                  
 Position Independent Executable: yes                                                                                                                       
 Stack protected: yes                                                                                                                                       
 Fortify Source functions: yes (some protected functions found)                                                                                             
 Read-only relocations: yes                                                                                                                                 
 Immediate binding: yes

# scanelf -a /bin/bash
 TYPE    PAX   PERM ENDIAN STK/REL/PTL TEXTREL RPATH BIND FILE 
ET_DYN ---xe- 0755 LE RW- R-- RW-    -      -   NOW /bin/bash

Пока так, при наличии времени думаю где и как ещё подкрутить гайки.

multihead
() автор топика

Под рутом не сижу, нормальные пароли на учетки, ПК из интернетов не виден, считаю что больше ничего не нужно, тем более что степень необходимой защиты информации определяется ее ценностью, так что не думаю что кому-то будет много профита если он стырит мой пак с котиками или shell-велосипеды. В своих проектах где много участников использую DMZ с контролем того, что пытается войти из вне (тех кто внутри я знаю и сук на котором сидят они, мне кажется, пилить не станут), но вообще скорее в моем коде будет какая-нибудь глупая дыра, чем в используемых инструментах.

P.S. А антивирусы имхо вообще не нужны.

alozovskoy ★★★★★
()
Последнее исправление: alozovskoy (всего исправлений: 1)
Ответ на: комментарий от multihead


selinux


После откровений Сновдена кто-то ещё верит АНБ?!!!


я верю opensource, а не АНБ. И за такими вещами как selinux пристально наблюдают... (хотя у меня его все равно нет).

dikiy ★★☆☆☆
()
Ответ на: комментарий от alozovskoy

Сколько ресурсов жрет пункт 1 ?

Кода проверяет clamav флешки и сетевый пользовательские папки то много.. Но на серверах пускаю только по воскресеньям. Там всё больше в IO носителей упрётся (100% загрузит) чем в проц-память..

HAVP и iptables не тормозят в пропускную способность канала больше упирается.

логирование всех телодвижений syslog-ng тоже незаметно вообще, логи ротирую.

multihead
() автор топика
Ответ на: комментарий от Eddy_Em

shorewall'а хватит.

а я аккуратно всегда пишу сам, мучаюсь долго.. бывают фильтры в сотни строк.

multihead
() автор топика

Пользуетесь ли вы безопасной операционной системой?

Да, называется Mac OS X

Задумывались ли вы над степенью защищённости вашей ОС?

Нет, нафиг?

Miguel ★★★★★
()
Ответ на: комментарий от multihead

После откровений Сновдена кто-то ещё верит АНБ?!!!

А зачем кому-то верить, когда исходники доступны для аудита любому желающему?

edigaryev ★★★★★
()
Ответ на: комментарий от Miguel

Да, называется Mac OS X

К сведению ЛОРа, операционки Mac OS X, MS Windows, OpenBSD в части пункта 3 в последние годы прибавили ОЧЕНЬ МНОГО!!! Две первые просто в наглую тырят фичи с https://grsecurity.net/ для своих ядер. Хотя, если чесно то технологии PaX появились в NT-4.0 раньше чем в Линуксе, а Mac OS X изначально заботилась о правильности своих ельф бинарей. OpenBSD чуть отстаёт от grsecurity но они долго думают о не тормозящей реализации...

Нет, нафиг?

Хотя-бы чтобы АНБ не подглядывало за тобой через вебкамеру.

multihead
() автор топика
Ответ на: комментарий от edigaryev

А зачем кому-то верить, когда исходники доступны для аудита любому желающему?

Код может быть идеален и безошибочен. Вопрос в закладках на уровне алгоритмов и мат моделей.

multihead
() автор топика
Ответ на: комментарий от multihead

Хотя-бы чтобы АНБ не подглядывало за тобой через вебкамеру.

Мои мысли на это ну никак не повлияют.

Miguel ★★★★★
()
Ответ на: комментарий от Miguel

Мои мысли на это ну никак не повлияют.

Почему? Закрой шторку на веб камере, выдернуть её с USB. Сменить ОС на зделаную вне САШ...

multihead
() автор топика
Ответ на: комментарий от swwwfactory

Что понимается под безопасной?

Способность противостоять каким-та классам угроз в какой-то способ (активный, пассивный, выявление, итп).

multihead
() автор топика
Ответ на: комментарий от multihead

Закрой шторку на веб камере, выдернуть её с USB.

Это не мысль.

Сменить ОС на зделаную вне САШ

Вне чего?

Miguel ★★★★★
()
Ответ на: комментарий от Miguel

Это я тебя навожу на правильные мысли, сперва подумать потом сделать то что сможешь.

Вне страны распространяющей «эталонную» демократию.

multihead
() автор топика
Ответ на: комментарий от multihead

А свет?

Ненужно.

А Лор?

Тогда поставь gentoo hardered, в ней виртуальная машина с debian oldstable, в ней виртуальная машина с Tails Linux, оттуда соединения через I2P, оттуда Tor с подключением через https.

zorg ★★
()
Ответ на: комментарий от multihead

Две первые просто в наглую тырят фичи с https://grsecurity.net/ для своих ядер

Что значит «тырят»? Разве это не широкое признание общественности большей продуктивности открытых систем безопасности?

stave ★★★★★
()
Ответ на: комментарий от multihead

сперва подумать потом сделать то что сможешь

Подумать о «степени безопасности»? А смысл?

Ну, допустим, я сделаю вывод, что «степень безопасности три». И толку?

Вне страны распространяющей «эталонную» демократию.

Не понял.

Miguel ★★★★★
()
Ответ на: комментарий от multihead

Пока так, при наличии времени думаю где и как ещё подкрутить гайки.

И ты делаешь это все на домашней машине?

stave ★★★★★
()

Кто знает, сложно ли ставить и пользоваться на десктопе OpenBSD?

Кстати, там шланг или гцц главный?

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 1)
Ответ на: комментарий от stave

Разве это не широкое признание общественности большей продуктивности открытых систем безопасности?

Скорее вселенское признание неспособности языка С корректно работать с памятью и криворукости писателей не только прикладного но и системного ПО.

multihead
() автор топика
Ответ на: комментарий от vertexua

Кто знает, сложно ли ставить и пользоваться на десктопе OpenBSD?

Ты посмотри на размер официального дистра, ~200М.

Для роутеров, шлюзов, то что надо!

Все кеды и либры для опёнка собраны фан клубом пионеров, лежат в отдельном репе и Тео за ним не следит и ничего не гарантирует...

multihead
() автор топика
Ответ на: комментарий от multihead

А что из иксов в принципе поддерживается?

Могу ли я поставить какой-то минималистичный WM, который в инеты нини, порты никуда не открывает, а потом поставить какой-то огороженый Firefox/Iceweasel и жить в нем?

vertexua ★★★★★
()
Ответ на: комментарий от vertexua

Кстати, там шланг или гцц главный?

Там всё до предела сложно. Сначала они уехали с САШ. Потом поругались с RMS, удаляют всё GPL с своей ОС. У них модель разработки типа более закрыта, ну не хотят чтобы M$, АНБ, и пионеры в их ядро, компилятор, и другое ПО свои закладки комитили.

multihead
() автор топика

UAC не отключал, а линуксы живут исключительно в виртуалках.

ranka-lee
()
Ответ на: комментарий от vertexua

А что из иксов в принципе поддерживается?

Всегда ставлю только с многопроцессорным ядром и без X, потом с пионерского репозитория nano и если есть другие админы то по желанию mc, wget.

Так что за Х мало скажу...

По умолчанию ipfw - все порты открыти, ядро реджектит пакеты если сервиса нет.

Разрабы опёнка прячутся в горах, нискем не общаются и на другие ОС НЕ СМОТРЯТ! По этому у них свой минималистичный X...

Можно кеды или гном с пионерских реп поставить и разныцы Линукс не заметишь.

Hardened Gentoo даст больше фитч безопасности и нового софта! На счёт не декларированых возможностей, опёнок, думаю, будет получш

multihead
() автор топика
Ответ на: комментарий от vertexua

А что такое не декларированные возможности?

не декларированные возможности (НДС) - степень гарантии отсутствия специально кем-то внедрённых СКРЫТЫХ закладок, для ведения разведывательной или деверсионной деятельности в ИТ инфраструктуре.

Другими словами степень гарантии того что, к алгоритмам коду друзья Сновдена «советов» не давали.

multihead
() автор топика
Ответ на: комментарий от multihead

Код может быть идеален и безошибочен. Вопрос в закладках на уровне алгоритмов и мат моделей.

Что мешает проверить спецификацию/алгоритмы/мат. модель на наличие закладок?

edigaryev ★★★★★
()

мандатный контроль доступа (RBAC)

«Гуру» системной безопасности палятся с первых строчек.

Какие технологии защиты используются дома, на рабочем месте

Пока там работают иксы, можно особо не чесаться. Виртуалка на крайняк.

на серверах

SELinux. Альтернатив для серверов по факту и нет. tomoyo вынесет мозг сисадминам, apparmor слишком десктпоная, об остальных системах MAC слышали единицы и они редко встречаются в природе.

shahid ★★★★★
()
Ответ на: комментарий от multihead

По умолчанию ipfw - все порты открыти, ядро реджектит пакеты если сервиса нет.
ipfw
OpenBSD

Вруша.

edigaryev ★★★★★
()
Ответ на: комментарий от multihead

А в Hardened Gentoo с этим хуже?

Есть основания нацепить шапку из фольги и верить что OpenBSD еще один проект АНБ чтобы все верили что он безопасен?

vertexua ★★★★★
()
Ответ на: комментарий от multihead

Способность противостоять каким-та классам угроз в какой-то способ (активный, пассивный, выявление, итп).

Безопасность, основанная на противостоянии? Например live-cd - противостоит записи т.к. модификация не возможна - вполне безопасна, но это вырожденный случай. Противостояние требует ресурсов, что не очень выгодно. Идеальная модель противостояния - жидкость - например прыгаешь в воду, чтобы с ней сразиться, а она тебя обнимает...

выявление

ОС должен этим заниматься?

swwwfactory ★★
()
Ответ на: комментарий от multihead

чтобы АНБ не подглядывало за тобой через вебкамеру

Эй! А если мне нравится?!

buddhist ★★★★★
()
Ответ на: комментарий от shahid

мандатный контроль доступа (RBAC)

«Гуру» системной безопасности палятся с первых строчек.

Да, я имел ввиду минимальное управление доступом на основе ролей. Мандатное управление доступом (MAC) строится по верху выбранной конкретной RBAC, по этому в строгом определении терминов ошибся.

Пока там работают иксы, можно особо не чесаться.

Решето с закладками эти никсы..

SELinux. Альтернатив для серверов по факту и нет.

gradm, у меня продукты NSA и система безопасности теперь диаметрально разные...

multihead
() автор топика
Ответ на: комментарий от swwwfactory

ОС должен этим заниматься?

Да, выявлением вредоносного действия должен заниматься не антивирус, а ядро ОС!

multihead
() автор топика
Ответ на: комментарий от vertexua

А в Hardened Gentoo с этим хуже?

Hardened Gentoo - это слишком широкое понятие. 10 тыс серверов Микрософт работают на Hardened Gentoo. Почти все наработки NSA в области безопасности Линукс тоже входят Hardened Gentoo..

По крайней мере: PAX & grsecurity свободны от влияния АНБ.

Есть основания нацепить шапку из фольги и верить что OpenBSD еще один проект АНБ чтобы все верили что он безопасен?

Сегодня верить можно только Богу ну и отчасти себе.

Парадокс, САШ приняли законы делающие не возможным разработку и экспорт ОС класса OpenBSD на своей территории, но дают деньги, на конкретные фичи разрабам опёнка!

multihead
() автор топика

всё плохо? 

fil@sxe ~ $ lsb_release -a
LSB Version:    1.4
Distributor ID: Arch
Description:    Arch Linux
Release:        rolling
Codename:       n/a

fil@sxe ~ $ paxtest blackhat
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: blackhat
Linux sxe 3.14.4-2-uksm-ck #1 SMP PREEMPT Tue May 20 02:32:05 MSK 2014 x86_64 GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable stack (mprotect)              : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments                   : Vulnerable
Anonymous mapping randomisation test     : 28 bits (guessed)
Heap randomisation test (ET_EXEC)        : 14 bits (guessed)
Heap randomisation test (PIE)            : 28 bits (guessed)
Main executable randomisation (ET_EXEC)  : 28 bits (guessed)
Main executable randomisation (PIE)      : 28 bits (guessed)
Shared library randomisation test        : 28 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 28 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 28 bits (guessed)
Arg/env randomisation test (SEGMEXEC)    : 20 bits (guessed)
Arg/env randomisation test (PAGEEXEC)    : 20 bits (guessed)
Randomization under memory exhaustion @~0: 28 bits (guessed)
Randomization under memory exhaustion @0 : 28 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Killed
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Killed

fil@sxe ~ $ hardening-check /bin/bash
/bin/bash:
 Position Independent Executable: no, normal executable!
 Stack protected: yes
 Fortify Source functions: yes (some protected functions found)
 Read-only relocations: yes
 Immediate binding: no, not found!

fil@sxe ~ $ scanelf -a /bin/bash
 TYPE    PAX   PERM ENDIAN STK/REL/PTL TEXTREL RPATH BIND FILE 
ET_EXEC PeMRxS 0755 LE RW- R-- RW-    -      -   LAZY /bin/bash

xfilx ★★
()
Ответ на: комментарий от swwwfactory

К вашему откровению для ядра Линукс уже сегодня есть патчи позволяющие ВЫЯВЛЯТЬ и АКТИВНО противодействовать эксплоитам не найденных уязвимостей в том числе класса 0 дня: Обнаружена уязвимость в ядре Linux от 2.6.37 до 3.8.10 (комментарий)

multihead
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3
BattleField3 for free
Talks
ebuild для .deb-пакета