Пользуетесь ли вы безопасной операционной системой?

Не слишком ли жирно?

Другого пути нет! Ядра Винды, Мака, Опёнка делают это тоже, с разным успехом...

К вашему откровению для ядра Линукс уже сегодня есть патчи позволяющие ВЫЯВЛЯТЬ и АКТИВНО противодействовать эксплоитам не найденных уязвимостей в том числе класса 0 дня: Обнаружена уязвимость в ядре Linux от 2.6.37 до 3.8.10 (комментарий)

А кто будет IO заниматься? Человек и пароход?

Если хочешь помучится и поломать систему, но возможно отчасти увеличить её безопасность дай ещё вывод:

gcc --version |grep gcc

А кто будет IO заниматься? Человек и пароход?

Что IO? Главное чтобы IO было строго с политикой партии ядра. Если чё чуть всторону - убить процесс с этим ИО!

Пока там работают иксы, можно особо не чесаться.

Решето с закладками эти никсы..

Кагбэ там на это и намекалось.

Парадокс, САШ приняли законы делающие не возможным разработку и экспорт ОС класса OpenBSD на своей территории, но дают деньги, на конкретные фичи разрабам опёнка!

Тео живёт в Канаде.

Да, знаю, и большинство разрабов тоже.

Тем не менее гос органы САШ иногда выделяют им деньги...

Тем не менее гос органы САШ иногда выделяют им деньги...

Пруф?

3. Системы спроектированные, собранные и настроенные так чтобы противостоять всем известным способам атак. Защищают от существующих но «не найденных» уязвимостей включая не известные вирусы и «уязвимости 0 дня». Система без обновлений и устранения уязвимостей с может успешно противостоять эксплоитам.

ЛОЛ =)

А вообще, читай приказ №17 ФСТЭКа.

На сайте http://www.openbsd.org есть отчёт о том что было сделано за миллионы от правительства САШ, я его видел но пока не нашел.. Найду, дам пруф, на ЛОРе тоже видел.

А по теме недекларрированных возможностей (НДВ) пока можно посмотреть:

http://www.opennet.ru/opennews/art.shtml?num=2378

http://www.opennet.ru/opennews/art.shtml?num=28998

http://www.openbsd.org/donations.html

ЛОЛ =)

Давай поговорим конкретно?

А вообще, читай приказ №17 ФСТЭКа.

Я эти приказы читать не успеваю, времени нет.

Давай поговорим конкретно?

Ты правда думаешь, что есть какой-нибудь реальный прок от системы, защищающей от неизвестных ей угроз?

Ты правда считаешь, что параноидально-безопасной системой удобно пользоваться?

Ты правда веришь, что если тобой заинтересуются, тебе ничего не смогут предъявить?

Какие технологии защиты используются дома

Я на винде сейчас в основном, так что Avira + Sandboxie как средства защиты от вирей + NAT, закрывающий от скрипткиддизов из инета. Другая какая-то защита мне особо не нужна, шифровать диски с музыкой и киношками мне не надо.

системы виртуализации (убеждён что это не метод защиты, но поскольку 99% ЛОРа думают иначе пусть будет)

Поясните мысль.

на рабочем месте, на серверах

Большие злые замки и охрана при входе на территорию. Вся остальная защита на работе условна.

Самая большая опасность, это уверенность в собственной безопасности.

Ты правда думаешь, что есть какой-нибудь реальный прок от системы, защищающей от неизвестных ей угроз?

Да! Невозможно эксплуатировать не известные уязвимости и можно не торопится с обновлением известных.

Ты правда считаешь, что параноидально-безопасной системой удобно пользоваться?

Пользоваться и создавать, за исключением RBAC-MAC просто и удобно. Разницы ты не заметишь. Замедления на современных процах не почти будет! Я ею пользуюсь уже много лет.

Ты правда веришь, что если тобой заинтересуются, тебе ничего не смогут предъявить?

Мне нечего не предъявят! Но вопрос не в этом, если позовут, приду и отвечу на интересующие вопросы.

Вопрос о безопасности ваших ОС!

Поясните мысль.

Пока гром не грянет — мужик не перекрестится (комментарий)

Самая большая опасность, это уверенность в собственной безопасности.

Сегодня в мире таких людей нет.

Ну, это несколько другой класс атак. Естественно, при использовании виртуализации добавляются дыры, связанные с ней. Но нужно оценивать, какая доля взломщиков сможет попасть внутрь виртуалки и выбраться из неё. Ещё на виртуализацию часто завязан такой метод, как ханипоты. Естественно, это не панацея.

«мне нечего скрывать» (С)

«мне нечего скрывать» (С)

выкладывая IP, пароли, номера кредиток и пароли к ним, ...

если на кампе и на счете ничего не найдётся не страшно, комп можно использовать для взлома компов с более ценной инфой, а счёт для отмывания денег!!!

ты только не удевляйся если к тебе потом придут с отдела К и налоговой... «мне нечего скрывать» - отсидишь за взлом и уплатишь за кого-то налоги.

Поверь это два самых безобидных примера. Жизнь при либеральной демократии намного страшнее!

Пацаны! Что делать? Я уже скоро год как забыл рутовый пароль. Может у меня под рутом уже все давно взломано, и вирусы гроздьями на харде висят?

# hardening-check /bin/bash
/bin/bash:
 Position Independent Executable: no, normal executable!
 Stack protected: yes
 Fortify Source functions: yes (some protected functions found)
 Read-only relocations: yes
 Immediate binding: no, not found!

# scanelf -a /bin/bash
 TYPE    PAX   PERM ENDIAN STK/REL/PTL TEXTREL RPATH BIND FILE 
ET_EXEC PeMRxS 0755 LE RW- R-- RW-    -      -   LAZY /bin/bash

Fedora 20

Грузи с livecd

mount ..

chroot ..

passwd

Федора тестовый дистр, там последние версии ПО криво писаны и технологии защиты будут их определять как вирус :)

Надо брать чё-то более по стабильнее там где разрабам дали по шляпе и заставили наложить патчи выпрямляющие код...

выкладывая IP, пароли, номера кредиток и пароли к ним, ...
«мне нечего скрывать» (С)

Не от тебя, а от АНБ :-D

Не от тебя, а от АНБ :-D

Ясно, ты с АНБ заодно!

Скажем так - тебе я свои пароли не скажу. А если АНБ будет надо, они и без них обойдутся. Вот только... Зачем им вдруг будет надо?

gradm, у меня продукты NSA и система безопасности теперь диаметрально разные...

Из-за шумихи вокруг NSA, код SELinux и других ихних продуктов в очередной раз были выверены вдоль и поперёк, так что я бы не был так категоричен, и осторожнее относился к левым маловыверенным проектам. У них сервера на linux, на них hadoop c ихней базой apache accumulo, ничего криминального в этом нет.

ага, и пишешь в каждой второй строчке sudo. Офигительное увеличение безопасности)

Да! Невозможно эксплуатировать не известные уязвимости и можно не торопится с обновлением известных.

Это клиника.

Пользоваться и создавать, за исключением RBAC-MAC просто и удобно. Разницы ты не заметишь. Замедления на современных процах не почти будет! Я ею пользуюсь уже много лет.

Первое правило безопасности гласит: чем безопаснее система, тем неудобнее ей пользоваться. Вы флешки втыкаете сначала на тестовых стендах? У вас грамотно организован контроль пропусков к помещениям с ограниченным доступом? Предстоящие изменения в конфигурации системы согласовывается с инспектором безопасности?

К врачу, короче.

Main executable randomisation (ET_EXEC) : No randomisation

Почему?

Вообще для рабочей станции, как минимум - это noexec на home и tmp, те откуда может записаться и запустится левый код от рядового юзера.

Это не очень полезно, если не озаботиться защитой /lib/ld-linux.so.2 (см. LOR Security FAQ).

блин, я не знаю, как хомячки такой выпад парируют =(

и это... русский не родной язык?

Скажем так - тебе я свои пароли не скажу. А если АНБ будет надо, они и без них обойдутся. Вот только... Зачем им вдруг будет надо?

Чтобы за тобой и другими шпионить, контролировать. Использовать твой комп для взлома других. Так что безопасность твоего компа важна для безопасности сети в целом.

Из-за шумихи вокруг NSA, код SELinux и других ихних продуктов в очередной раз были выверены вдоль и поперёк, так что я бы не был так категоричен, и осторожнее относился к левым маловыверенным проектам. У них сервера на linux, на них hadoop c ихней базой apache accumulo, ничего криминального в этом нет.

А selinux без дыр, да? https://grsecurity.net/~spender/exploits/exploit2.txt

Это как старая история с ipsec в OpenBSD и новая, доказаная с openssl. Любят в АНБ закладки в криптографические средства вставлять, чтобы тырить ключи/пароли и не тратить времени на расшифровку.

А с SELinux, закладка от АНБ как суслик, её невидно но она там наверняка есть.

Это клиника.

Давай эксплоит я покажу как настроить систему чтобы она имея уязвимости и без обновлений успешно ему противостояла. Твой аргумент принял как слив.

Первое правило безопасности гласит: чем безопаснее система, тем неудобнее ей пользоваться.

Это далеко на всегда правда, многие технологии безопасности никак не заметны для пользователя.

Вы флешки втыкаете сначала на тестовых стендах? У вас грамотно организован контроль пропусков к помещениям с ограниченным доступом? Предстоящие изменения в конфигурации системы согласовывается с инспектором безопасности?

Здесь хочу с акцентировать только на безопасности самой ОС. А не организационных бумажках.

Хотя в описанных тобой выше случаях поможет:

Для тго чтобы вирусную USB не воткнули или инфу на неё не слили: echo 1 > /proc/sys/kernel/grsecurity/deny_new_usb или даже GRKERNSEC_DENYUSB_FORCE = y

Для защиты конфигов и бинарей от изменений: ro / & /usr; noexec /tmp /home /var и echo 1 > /proc/sys/kernel/grsecurity/romount_protect

echo 1 > /proc/sys/kernel/grsecurity/grsec_lock

Main executable randomisation (ET_EXEC) : No randomisation

Почему?

У меня в системе нет бинарей ET_EXEC и это правильно.

Чтобы работала ASLR для бинарей тебе надо их собрать с позиционно независимым кодом PIC: -pie -fPIE, но тогда их рандомизация в памяти будет по:

Main executable randomisation (PIE) : 27 bits (guessed)

Или у меня что-то не работало (python, X) и я её отключил.

Вообще для рабочей станции, как минимум - это noexec на home и tmp, те откуда может записаться и запустится левый код от рядового юзера.

Да, именно с этого надо начинать укрепление безопасности компов, настраивать мало, а выхлоп большой.

/tmp /var /home - noexec

echo 1 > /proc/sys/kernel/grsecurity/tpe

echo 0 > /proc/sys/kernel/grsecurity/tpe_gid

echo 1 > /proc/sys/kernel/grsecurity/tpe_invert

Потом дозреть до:

/ /usr - ro

echo 1 > /proc/sys/kernel/grsecurity/romount_protect

Это не очень полезно

:D

Это НЕОБХОДИМО! Ибо неотемлемая часть первогоосновного правила создания безопасной системы:

Всё что изменяется в процессе работы не должно исполнятся, а всё что исполняется в процесе работы не должно изменятся!

Это относится как дискам / /usr - ro; /tmp /home /var - noexec

Так и к оперативной памяти! Все страныцы с исполняемым кодом должны быть помечены - ro, а все страницы и изменяемыми данными должны быть помечены - noexec

Даже Ынтел для этого noexec bit в свои процы добавил ;)

От рута мне нужен только пакетный менеджер раз в месяц

несправедливо для embedded

а был бы админом, бОльшая часть твоих программ так или иначе требовала бы вмешательство рута

Приходим к новой теме: грамотное и своевременное оказание медецинской помощи профессионалам

У нас один безпасник, когда утраивался на работу, по привычке устроился под чужим именем, например. Потом ему пропуск на чужое имя отказывались выдать по настоящему паспорту, и бухгалтерию пришлось переделывать

gcc (GCC) 4.9.0 20140521 (prerelease)

русский не родной язык?

очевидно же, что он школу прогуливает Ж)

несправедливо для embedded

Справедливо, давно руки чешутся: А собрать свой «Ъ» дистр для смартфонов слабо?

gcc (GCC) 4.9.0 20140521 (prerelease)

gcc (Gentoo Hardened 4.7.3-r1 p1.3, pie-0.5.5) 4.7.3

У тебя pie нет. Ты не сможешь собирать позиционно непривязаный бинарь...

Долго, надо сначала pie в gcc добавлять ssp там уже есть. Потом всё пересобирать с определёнными параметрами компилятора и линковщика... Но я бы не рискнул. Выдели раздел и ставь Gento Hardened.

для СМАРТФОНОВ? Это где четырехголовые процы и оперативки гигабайтами?

я про тот embedded, где оперативную память считают байтами

чтобы имело смысл использовать ручное разворачивание кода, например