Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011             Imbunatatirea securitatii                 si...
Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011                                                         ...
Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011                                                         ...
Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011                              PaX – randomizarea paginilo...
Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011                               Controlul accesului bazat ...
Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011                                                         ...
Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011                                         Servicii de audi...
Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011                                                         ...
Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011                                                         ...
Upcoming SlideShare
Loading in …5
×

Imbunatatirea securitatii sistemelor Linux cu ajutorul grsecurity

623 views
570 views

Published on

Imbunatatirea securitatii sistemelor Linux cu ajutorul grsecurity

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
623
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Imbunatatirea securitatii sistemelor Linux cu ajutorul grsecurity

  1. 1. Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011 Imbunatatirea securitatii sistemelor Linux cu grsecurityDragoş Acostăchioaie http://www.unixinside.org dragos@unixinside.org
  2. 2. Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011 Ce este grsecurity? ✗ set de patch-uri pentru nucleul Linux care imbunatatesc securitatea sistemului ✗ componente: - PaX – protectia paginilor de memorie - RBAC - controlul accesului bazat pe roluri - restrictii privind chroot - servicii de auditare la nivel de nucleu ✗ se aplica ca patch la nucleul standard ✗ este inclus in cateva distributii (eg Hardened Gentoo) ✗ permite definirea de patru tipuri de niveluri de securitate: Low, Medium, High si Custom ✗ parametrii pot fi modificati prin intermediul sysctlDragoş Acostăchioaie - http://www.unixinside.org
  3. 3. Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011 Ce este PaX? ✗ se poate utiliza si independent de grsecurity ✗ asigura protectia spatiului de memorie executabil ✗ utilizeaza facilitatea NX oferita de majoritatea procesoarelor Intel recente. Pentru procesoarele care nu suporta, aceasta este emulata ✗ nu permite aplicatiilor sa seteze zonele de cod ca writable si nici zonele de date ca executabile; in acest mod nu se permite injectarea de cod in cadrul programelor ✗ anumite aplicatii (cum ar fi cele Java) pot intampina probleme atunci cand se foloseste PaX; pentru acestea administratorul poate stabili exceptii ✗ asigura randomizarea structurii spatiului de adrese, pentru a preveni atacurile de tip ret2libc (executia de cod rau intentionat) ✗ randomizeaza zonele unde sunt stocate datele din stiva sau heap, zonele alocate cu mmap() sau zonele alocate codului executabil ✗ previne atacurile de tip buffer overflow, stack overflow, integer overflow etc. precum si cele in care atacatorul cunoaste structura memoriei virtuale corespunzatoare aplicatiilor ✗ se administreaza cu ajutorul utilitarului paxctlDragoş Acostăchioaie - http://www.unixinside.org
  4. 4. Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011 PaX – randomizarea paginilor de memorie Structura memoriei virtuale Randomizarea alocarii paginilor a unei aplicatii de memorieDragoş Acostăchioaie - http://www.unixinside.org
  5. 5. Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011 Controlul accesului bazat pe roluri - RBAC ✗ permite restrictionarea accesului utilizatorilor si proceselor, pentru a avea privilegii minime, ✗ suplimentar fata de sistemul de control al accesului standard UNIX (utilizatori, grupuri, drepturi de acces la fisiere) ✗ se administreaza cu ajutorul utilitarului gradm ✗ politica de securitate este alcatuita din roluri, subiecte si obiecte (/etc/grsec/policy) - roluri = utilizatori si grupuri - subiecte = procese sau directoare - obiecte = fisiere, capabilitati, resurse, socket-uri, optiuni PaX, liste de acces de IP-uri ✗ alte facilitati oferite: - accesul fara root la anumite roluri speciale - roluri speciale care nu necesita autentificare - posibilitatea de a utiliza variable in fisierul de configurare - posibilitatea de a efectua operatii de SAU, SI, SAU EXCLUSIV intre variabile - controlul atributelor SUID/SGID pentru fisiere executabile - posibilitatea de a stabili implicit privilegii minime pentru intreg sistemul - set pot stabili politici si pentru procese sau fisiere inexistente - posibilitatea de a ascunde procesele nucleului - mod de auto-invatare - pot fi definite ierarhii de politiciDragoş Acostăchioaie - http://www.unixinside.org
  6. 6. Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011 Restrictii privind chroot ✗ nu se pot atasa zone de memorie comuna din afara chroot ✗ nu poate fi utilizat apelul kill din afara chroot ✗ nu pot fi transmise semnale din afara chroot ✗ nu pot fi obtinute date despre procese din afara chroot, chiar daca sistemul /proc este montat ✗ nu poate fi utilizat apelul mount ✗ restrictii pentru apelul chdir ✗ nu poate fi setat atributul SUID/SGID in interiorul chrootDragoş Acostăchioaie - http://www.unixinside.org
  7. 7. Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011 Servicii de auditare la nivel de nucleu ✗ se poate audita un anumit grup de utilizatori ✗ montarea/demontarea de dispozitive ✗ modificarea timpului sistemului ✗ apelul chdir si alte apeluri de sistem ✗ accesul neautorizat la resurse ✗ apelurile fork() nereusite ✗ crearea si stergerea de resurse IPC (zone de memorie comuna, semafoare, cozi de mesaje) ✗ apelurile exec()Dragoş Acostăchioaie - http://www.unixinside.org
  8. 8. Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011 Alte facilitati ✗ optiunea de a interzice utilizatorilor executia de fisiere binare care nu sunt detinute de root sau care au drept de scriere ✗ restrictionarea accesului utilizatorilor obisnuiti la comenzile dmesg si netstat ✗ nu permite identificarea utilizatorului proprietar al proceselor ✗ restrictii privind legaturile in directorul /tmpDragoş Acostăchioaie - http://www.unixinside.org
  9. 9. Şcoala de vară “Informatica la castel”, Macea, 29.08 – 03.09.2011 Exemplu subject /bin/bash /home rw /dev /mnt rwx RLIMIT_NPROC 2 2 RLIMIT_FNUMBER 10 20 subject /usr/bin/ssh connect 192.168.0.0/24:22 stream tcp role admin subject / /home rwx /bin rw /dev /dev/cdrom r role sshd u subject / / h /var/run/sshd r -CAP_ALL bind disabled connect disabledDragoş Acostăchioaie - http://www.unixinside.org

×