Exploity I Wyłączone Konto Root

[wojtekjs]

Czy zablokowanie konta root:

passwd -l root

zabezpieczy komputer przed exploitami umożliwiającymi uzyskanie przywilejów roota czy tylko przed np. atakiem brute-force via ssh?

[Gość _PaT]

Nie jestem rzeczoznawcą, ale troszkę się w temacie orientuję. Oczywiście przed fizycznym logowaniem przez np. SSH zabezpieczy, ale przed exploitami niestety nie. Dzieje się tak dlatego, że znaczna większość root exploitów nie polega na haśle roota, one po prostu w różnoraki sposób (podszywając się pod procesy, stosują przepełnienie bufora itp.) podszywają się pod roota i zaczynają odwalać "swoją robotę". Jeśli obawiasz się ataków brute-force ustaw lokacje, z których można się zalogować (lokalnie, jakiś konkretny IP). Sposób na exploity jest prosty: aktualizować system, ew. instalować odpowiednie wersje programów, patche (zależy od polityki dystrybucji). Jak chcesz postawić "niezniszczalny" serwer, którego raczej rzadko się aktualizuje ze starymi, betonowymi zabezpieczeniami to polecam Debiana. Jeśli częsta aktualizacja Ci nie straszna, to Fedora jest dobrym wyborem.

 

Rozmowa na podobny temat, wiedziałem że gdzieś to trzymam

Edytowane Grudzień 14, 2005 przez _PaT

[wojtekjs]

Dzięki za info.

Interesuje mnie raczej betonowa Fedora Często aktualizowana oczywiście.

Chciałem teraz uzyskać takie zabezpieczenie, że np. gdy ktoś się dostanie na mój komp poprzez LimeWire to się nie dostanie brute forcem do roota. Podobnie z innymi usługami (mam rację?).

Myślę także o tym, żeby się pobawić selinuxem. Więc - jest taka możliwość, żeby tak ograniczyć (np. MAC) przywileje roota, żeby nie mógł robić praktycznie nic, pod warunkiem, że zabotuję np. kernela z wyłączonym seliuxem?

[Gość amdfanatyk]

zainteresuj sie:

 

grsecurity & pax (chpax, paxctl) & libsafe - www.grsecurity.net

http://q3fan.no-ip.org/forum/viewtopic.php?t=14

 

dla weteranow:

 

www.lids.org

[gajownik]

czy tylko przed np. atakiem brute-force via ssh?

Jak chcesz zabezpieczyć sie przed tym to zainteresuj się pam_abl albo denyhosts (obie paczki sa w Extras). Poza tym, to zmień standardowy port i będziesz miał mniej problemów.

ze starymi, betonowymi zabezpieczeniami to polecam Debiana. Jeśli częsta aktualizacja Ci nie straszna, to Fedora jest dobrym wyborem.

Można wiedzieć co to za betonowe zabezpieczenia? Oni tam chyba dalej używają jakiegoś starego gcc (starego czyli < 4.x) i nie korzystają nowych zabezpieczeń. Przykładowo w Fedorze pakiety kompilowane są z FORTIFY_SOURCE, a w FC5 będzie Stack Smaching Protector (jak w OpenBSD). Do tego dochodzi "address space radomization", Execshield, ograniczony dostep do /dev/mem ograniczający możliwośc zainstalowania rootkita (te trzy są dostępne tylko w przypadku używaniu dystrybucyjnego kernela lub źródeł), demony kompilowane jako Position Independent Executables, ELF Data Hardening oraz SELinux. Więcej info tutaj → http://fedoraproject.org/wiki/Security/Features

[wojtekjs]

@gajowik

Niestety ja nie używam kernela z fedry. Dlatego chciałem poznać sposób jak wyłączyć szybko większość możliwości konta roota (etc, boot, home, usr i podobne tylko do odczytu, var/log do odczytu i zapisu), jeśli się da, aby móc zostawić na noc kompa. Kosztem nawet niedziałających niektórych usług, po to tylko, żeby spać spokojnie.

Da się coś takiego zrobić szybko... zmieniając niektóre wpisy w regułach selinuxa? No i jak to zrobć? Bo kurczę nie mam na tą dokumentację czasu...

Hm... pam_abl zabezpieczy przed rootkitami? Ale i tak się przyda. Dzięki.

[Gość _PaT]

ze starymi, betonowymi zabezpieczeniami to polecam Debiana. Jeśli częsta aktualizacja Ci nie straszna, to Fedora jest dobrym wyborem.

Można wiedzieć co to za betonowe zabezpieczenia?

Jasne, chodziło mi o specyfikę systemu. Fedora korzysta z rowiązań nowatorskich, nowoczesnych. Wiele innych dystrybucji wzoruje się na niej Ale trzeba przyznać, że dla kogoś, kto nie lubi dbać o system Debian może być lepszym rozwiązaniem. "Betonowe zabezpieczenia" to te stare, dość proste, ale od wielu lat niezłamane. Nie na darmo wziąłem tę frazę w cudzysłów - jest to tekst jednego z polskich hackerów, którego miałem okazję oglądać w TV podczas udzielania wywiadu. Chodziło mu o to, że w młodych dystrybucjach, które często wymagają aktualizacji łatwiej trafić na element systemu, który po jakimś czasie przynajmniej przez kilka godzin nie będzie zaktualizowany, a będzie znana w nim dziura bezpieczeństwa. Aktualizacje dla Debiana są bardzo rzadkie, stare wersje oprogramowania powodują, że znalezienie w nich nowych dziur jest bardzo mało prawdopodobne.

 

Ogólnie rzecz biorąc im prostszy w budowie program (o ile jest dobrze napisany), tym trudniej o dziurę w zabezpieczeniach.

[gajownik]

Niestety ja nie używam kernela z fedry.

Jeśli używasz źródeł z kernel.org to trochę tracisz na bezpieczeństwie (np. brak ochrony przed wpływem przepełnień buforów).

Dlatego chciałem poznać sposób jak wyłączyć szybko większość możliwości konta roota

W politykach selinux-policy-targeted-strict root ma w pewien sposób ograniczone uprawnienia. Żeby je użyskać trzeba zmieniać rolę (newrole → http://www.linuxsecurity.com/content/view/120622/49/ )

Hm... pam_abl zabezpieczy przed rootkitami?

Nie. On zabiezpiecza przed atakami brute-force na konta przez ssh.

[y4kk0@X src]$ yum info pam_abl
Setting up repositories
Reading repository metadata in from local files
Available Packages
Name   : pam_abl
Arch   : i386
Version: 0.2.2
Release: 2.fc4
Size   : 23 k
Repo   : extras
Summary: A Pluggable Authentication Module (PAM) for auto blacklisting
Description:
Provides auto blacklisting of hosts and users responsible for repeated
failed authentication attempts. Generally configured so that
blacklisted users still see normal login prompts but are guaranteed to
fail to authenticate. A command line tool allows to query or purge the
databases used by the pam_abl module.

[y4kk0@X src]$

Możliwośc zainstalowania rootkita w systemie ograniczają łatki z kernela.

Ale trzeba przyznać, że dla kogoś, kto nie lubi dbać o system Debian może być lepszym rozwiązaniem.

Dlaczego?

Aktualizacje dla Debiana są bardzo rzadkie

Veto ;-) Są tak samo częste jak w innych dystrybucjach.

http://secunia.com/product/5307/

stare wersje oprogramowania powodują, że znalezienie w nich nowych dziur jest bardzo mało prawdopodobne.

Tu tez można polemizować ;-) Jak się popatrzy na jakieś informacje o lukach w programach, to one bardzo czesto występują w starszych wersjach. Przykładowo dość czesto te same błędy są łatane w Sarge i Woodim (jak to odmieniać? ;] ) → http://lists.debian.org/debian-security-announce/ Trzeba tylko przypomnieć, że Woody ma fest stare wersje programów.

 

Sytuacja jest szczególnie widoczna w przypadku głownych systemowych pakietów. Aplikacje desktopowe szybciej się rozwijają i tu może być troszkę inaczej ;-)

[Gość _PaT]

Ale trzeba przyznać, że dla kogoś, kto nie lubi dbać o system Debian może być lepszym rozwiązaniem.

Dlaczego?

Aktualizacje dla Debiana są bardzo rzadkie

Veto ;-) Są tak samo częste jak w innych dystrybucjach.

http://secunia.com/product/5307/

stare wersje oprogramowania powodują, że znalezienie w nich nowych dziur jest bardzo mało prawdopodobne.

Tu tez można polemizować ;-) Jak się popatrzy na jakieś informacje o lukach w programach, to one bardzo czesto występują w starszych wersjach. Przykładowo dość czesto te same błędy są łatane w Sarge i Woodim (jak to odmieniać? ;] ) → http://lists.debian.org/debian-security-announce/ Trzeba tylko przypomnieć, że Woody ma fest stare wersje programów.

 

Sytuacja jest szczególnie widoczna w przypadku głownych systemowych pakietów. Aplikacje desktopowe szybciej się rozwijają i tu może być troszkę inaczej ;-)

Eh, rozmowa polemika poszła w złym kierunku. Fedora i Debian w dość znaczy sposób różnią się polityką systemu. Przyznam się szczerze, że z Sargem 3.1 nie miałem wcale styczności. Wiem natomiast, że właśnie zróżnicowanie pomiędzy systemami powoduje, że dla jednych userów są one bardziej przystępne itd. Gdyby któraś z tych dystrybucji nie była bezpieczna na pewno nie byłyby tak powszechnie używane na serwerach.

 

Jak już napisałem "betenowe zabezpieczenia" to nie mój pogląd, jednak się z nim zgadzam. Każdy, kto choć trochę programował wie, że rozwijanie programu wiąże się ściśle ze zwiększeniem ilości popełnianych w nim błędów (nawet najlepszy programista nie jest w stanie przewidzieć wszystkiego). Stare programy są na ogół skromniejsze, więc statystycznie prawdopodobieństwo występowania luk jest mniejsze.

 

Znam serwer postawiony na testowej wersji Woodiego, który pracuje do dziś, łatany jest jedynie przy security updates. Może stąd te mity o Debiania...

[gajownik]

Gdyby któraś z tych dystrybucji nie była bezpieczna na pewno nie byłyby tak powszechnie używane na serwerach.

Zgadza się :] Obie dystrybucje mają szybki przyrost (Fedora trochę wolniej niż Debian) → http://news.netcraft.com/archives/2005/12/...for_debian.html

Jak już napisałem "betenowe zabezpieczenia" to nie mój pogląd, jednak się z nim zgadzam.

Może chodziło o http://www.debian-hardened.org/ ?

Znam serwer postawiony na testowej wersji Woodiego, który pracuje do dziś, łatany jest jedynie przy security updates. Może stąd te mity o Debiania...

A ja znam też serwer, który w ogóle nie jest łatany i też chodzi od dłuższego czasu. Czasami to kwestia szczęścia ;-) (oczywiście to niczego nie dowodzi ).

 

[suwagem]

Panowie..........

Fedora to tak (_na prawdę_ &#8594; naprawdę) ORT RED HAT!!!

Dystrybucje oparte są na RED HACIE a nie na Fedorze

To tak gwoli ścisłości.

[Ponury]

Panowie..........

Fedora to tak (_na prawdę_ &#8594; naprawdę) ORT RED HAT!!!

Dystrybucje oparte są na RED HACIE a nie na Fedorze

To tak gwoli ścisłości.

 

Sokoro już przyjmujemy że coś na czymś jest oparte to raczej RedHat jest oparty na Fedorze, gdyż na Fedorze są testowane rozwiązania, które są następnie stosowane w RedHat. Właśnie przez ten "poligon doświadczalny" niektórzy ludzie nie lubią "naszego" disto. Niestety z tego co czytałem sami deweloperzy za bardzo nie wiedzą jak tą łatkę "poligonu" odkleić.