Concreto FW
Luis Sandoval
zerox en systat.cl
Dom Ene 9 01:33:41 CLST 2005
El sáb, 08-01-2005 a las 12:37 -0300, Horst von Brand escribió:
> Luis Sandoval <zerox en systat.cl> dijo:
>
> [...]
>
> > si, eso es cierto, pero la diferencia puede estar en que en OpenBSD hay
> > protecciones que aunque tengas un software vulnerable este no pueda ser
> > explotado. Ahi hay una diferencia con Linux... si?
>
> No. P.ej. en FC al menos los nucleos estan configurados con proteccion
> contra ejecutar datos (no tener eso limpiamente es uno de los lindos
> errores de la arquitectura ia32). Si, son ideas tomadas de OpenBSD.
Osea si hay una diferencia entre OpenBSD vs Distribuciones Linux que no
tengan implementadas este tipo de protecciones?
Y Fedora si incluye protecciones? detalles?
Segun lei FC4 vendra con todas esas protecciones full, osea se compilara
usando esas caracteristicas de gcc, algo asi y parte de fc3 ya las
implemento??
Hoy estuve probando un ejemplo, y si en FC3 no pude ejecutar el test,
ya que no lo permite, y no era por lo de SeLinux, ya que aunque
estuviera desactivado igual no lo permitio al igual que en OpenBSD. En
cambio en Mandrake (cooker default) el mismo test si se ejecuto.
[zerox en mdk10 xp]$ uname -a
Linux mdk10.2 2.6.8.1-20mdk-i586-up-1GB #1 Mon Nov 8 12:18:01 CET 2004
i686 Pentium Pro unknown GNU/Linux
[zerox en mdk10 xp]$ id
uid=500(zerox) gid=500(zerox) grupos=500(zerox)
[zerox en mdk10 xp]$ ls -lha abo1
-rwsr-xr-x 1 root root 4,9K ene 8 16:40 abo1*
[zerox en mdk10 xp]$ ./xp
sh-2.05b# id
uid=0(root) gid=0(root) groups=500(zerox)
> [...]
>
> > Si es en Linux deberia haber una diferencia entre uno que tenga SeLinux
> > default? SeLinux da ese tipo de protecciones?
>
> Con SELinux puedes decidir caso a caso que cosa puede hacer un
> proceso. Como dije antes, hubo maquinas con SELinux conectadas a Internet,
> todos los servicios instalados, cuenta root sin password. No fueron
> comprometidas.
pero los test se hicieron con servicios vulnerables?
osea un apache vulnerable, cosas asi?¿
no lo creo... entonces eso lo hace mas dificil.
> Claro que es horrible de configurar y administrar sin
> diluir, por lo que FC esta experimentando con configuraciones que solo
> restringen a los servidores.
Las configuraciones son estandar de SELinux, o cada distribucion creara
las politicas? Osea se encontraran las mismas politicas en SELinux en
Suse o Mandrake? o cada distro tendra lo suyo?
a, corri el mismo test en mdk usando el kernel -secure que trae la
distro, y igual se ejecuto.
saludos,
Luis
Más información sobre la lista de distribución BSD