Linux Kernel Hardening                                  Alvaro Soto ( @alsotoes )                          http://headup.w...
Alvaro que?       • Developer       • Infraestructura // Arquitecturas OpenSource       • Hardening & Tuning geek... freak...
Por que hardening al                                Kernel ?                      •   Por triste que suene... el Kernel de...
Estatus de                                  vulnerabilidades                              Integer Overflows                ...
Entonces:                          ¿ Es seguro el Kernel de Linux ?                                  ¿ Que tan seguro es ?...
Entonces:                          ¿ Se puede asegurar ?                                      ¿ Que tanto ?Friday, Februar...
Estatus de                                  vulnerabilidades                              Integer Overflows                ...
Contra que necesitamos                        protección?                            ?Friday, February 15, 13
Contra que necesitamos                        protección?Friday, February 15, 13
Contra que necesitamos                        protección?Friday, February 15, 13
Contra que necesitamos                        protección?        •       Controles de acceso                    •     DAC ...
Condideraciones                             “básicas”             • De bajo a alto nivel.             • Configurar cada rin...
RTFMFriday, February 15, 13
DAC v/s MACFriday, February 15, 13
DAC v/s MAC            • Usuarios no pueden cambiar sus politicas de                    seguridad.            • Se puede s...
Memory Protection        •       DEP (Data execution prevention).                     •    Se divide la memoria en ejecuta...
GRSecurity & PAX                                V/S                              SELinuxFriday, February 15, 13
GRSecurity & PAX                      •   Control de acceso Mandatorio por medio de RBAC definidas en ACL.                 ...
SELinux                      •   Un ejemplo de Mandatory Access Control para Linux.                      •   Etiquetar tod...
Preguntas ????Friday, February 15, 13
GRACIAS !!!!!Friday, February 15, 13
Upcoming SlideShare
Loading in...5
×

Linux Kernel Hardening - BugCON 2013

761
-1

Published on

Slides for BugCON 2013 Security Conferences

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
761
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
23
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Linux Kernel Hardening - BugCON 2013

  1. 1. Linux Kernel Hardening Alvaro Soto ( @alsotoes ) http://headup.ws - alsotoes@gmail.comFriday, February 15, 13
  2. 2. Alvaro que? • Developer • Infraestructura // Arquitecturas OpenSource • Hardening & Tuning geek... freak • Linux (Gentoo Lover) • Kernel Vanilla SourcesFriday, February 15, 13
  3. 3. Por que hardening al Kernel ? • Por triste que suene... el Kernel de Linux no posee herramientas contra muchos tipos de ataques. • En cuanto a la memoria, por defecto deja hacer lo que se antoje. • Y en controles de acceso DAC estrictamente no cuenta como esquema de seguridad... avanzadoFriday, February 15, 13
  4. 4. Estatus de vulnerabilidades Integer Overflows Buffer Overflows Race/tmpfiles Race/non-tmpfiles Bad malformed data handling Lack of environment checks Generic bugs and bad design Kernel/Generic Kernel/Buffer Overflow 0 12.50 25.00 37.50 50.00 USN AnalysisFriday, February 15, 13
  5. 5. Entonces: ¿ Es seguro el Kernel de Linux ? ¿ Que tan seguro es ?Friday, February 15, 13
  6. 6. Entonces: ¿ Se puede asegurar ? ¿ Que tanto ?Friday, February 15, 13
  7. 7. Estatus de vulnerabilidades Integer Overflows Buffer Overflows Race/tmpfiles Race/non-tmpfiles Bad malformed data handling Lack of environment checks Generic bugs and bad design Kernel/Generic Kernel/Buffer Overflow 0 12.50 25.00 37.50 50.00 USN AnalysisFriday, February 15, 13
  8. 8. Contra que necesitamos protección? ?Friday, February 15, 13
  9. 9. Contra que necesitamos protección?Friday, February 15, 13
  10. 10. Contra que necesitamos protección?Friday, February 15, 13
  11. 11. Contra que necesitamos protección? • Controles de acceso • DAC v/s MAC..... no mas chmod 777 a todo lo que se pueda. • El usuario root es omnipotente. • Memoria. • Modificación del address space. • Ejecución de codigo arbitrario. • Filesystem. • Races (tmp races). • chrootFriday, February 15, 13
  12. 12. Condideraciones “básicas” • De bajo a alto nivel. • Configurar cada rincón del sistema. • Estándares y politicas de seguridad. • Instalar parches de seguridad continuamente. • Auditar cada acción del sistema.Friday, February 15, 13
  13. 13. RTFMFriday, February 15, 13
  14. 14. DAC v/s MACFriday, February 15, 13
  15. 15. DAC v/s MAC • Usuarios no pueden cambiar sus politicas de seguridad. • Se puede separar el espacio de trabajo de los usuarios con distintos contextos. • Politicas muy bien definidas: • Usuarios, archivos, directorios • Memory, Sockets, tcp/udp ports... etc., etc.Friday, February 15, 13
  16. 16. Memory Protection • DEP (Data execution prevention). • Se divide la memoria en ejecutable y lectura. • ASLR (Address space layout randomization). • Tareas del kernel. • Posición de las librerias. • Tareas del usuario (userland stack). • UNA VIOLACION DE ALGUNA DE ESTAS POLITICAS PRODUCE QUE EL KERNEL MATE EL PROCESO, CAMBIANDO UN POSIBLE ACCESO POR UN DOS.Friday, February 15, 13
  17. 17. GRSecurity & PAX V/S SELinuxFriday, February 15, 13
  18. 18. GRSecurity & PAX • Control de acceso Mandatorio por medio de RBAC definidas en ACL. • Generación automatica de reglas. • Proteccion del filesystem con bloqueos de: • chroot • mount • mknodFriday, February 15, 13
  19. 19. SELinux • Un ejemplo de Mandatory Access Control para Linux. • Etiquetar todo a lo que necesita aplicar una politica. • user:role:type:level(opcional) • Comandos con argumentos extendidos ----->>>> -Z • ls -Z • id -Z • ps -Z • netstat -ZFriday, February 15, 13
  20. 20. Preguntas ????Friday, February 15, 13
  21. 21. GRACIAS !!!!!Friday, February 15, 13
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×