Protecciones en Linux [Was: Re: Concreto FW]
Luis Sandoval
zerox en systat.cl
Dom Ene 9 02:46:26 CLST 2005
El dom, 09-01-2005 a las 02:07 -0300, Horst von Brand escribió:
> Luis Sandoval <zerox en systat.cl> dijo:
> > El sb, 08-01-2005 a las 12:37 -0300, Horst von Brand escribi:
> > > Luis Sandoval <zerox en systat.cl> dijo:
> > >
> > > [...]
> > >
> > > > si, eso es cierto, pero la diferencia puede estar en que en OpenBSD hay
> > > > protecciones que aunque tengas un software vulnerable este no pueda ser
> > > > explotado. Ahi hay una diferencia con Linux... si?
> > >
> > > No. P.ej. en FC al menos los nucleos estan configurados con proteccion
> > > contra ejecutar datos (no tener eso limpiamente es uno de los lindos
> > > errores de la arquitectura ia32). Si, son ideas tomadas de OpenBSD.
>
> > Osea si hay una diferencia entre OpenBSD vs Distribuciones Linux que no
> > tengan implementadas este tipo de protecciones?
>
> Si. Aunque creo que todas las 2.6-isticas las tienen, y muchas de las
> anteriores.
ok
> > Y Fedora si incluye protecciones?
>
> Proteccion contra ejecucion de datos en el stack. (stack es rw, no
> ejecutable; me parece que todas las areas de datos estan asi). Usan PAE
> para ello (solo PPro en adelante, IIRC; requiere manejo de memoria virtual
> que es menos eficiente).
> > detalles?
>
> Puedes probarlo p.ej. con los programas que desarrolla Aleph1 en Phrack con
> lo de "Stack Smashing for Fun and Profit".
si hice pruebas de buffer de ese tipo de ejemplos.
Pero existe algun detalles de todas estas proteccioned en FC, busque en
google y no encontre mucho. a eso me referia. Me gustaria ver que tipo
de ataques ya estan cubiertos.
> > Hoy estuve probando un ejemplo, y si en FC3 no pude ejecutar el test,
> > ya que no lo permite,
>
> FC2 tampoco.
ok, gracias.
> [...]
>
>
> > > Con SELinux puedes decidir caso a caso que cosa puede hacer un
> > > proceso. Como dije antes, hubo maquinas con SELinux conectadas a Internet,
> > > todos los servicios instalados, cuenta root sin password. No fueron
> > > comprometidas.
>
> > pero los test se hicieron con servicios vulnerables?
>
> Para que? Tienes acceso a root (o a cualquier cuenta que quieras) via un
> chancho ssh.
a... es que eso no lo especifico.
> [...]
>
> > > Claro que es horrible de configurar y administrar sin
> > > diluir, por lo que FC esta experimentando con configuraciones que solo
> > > restringen a los servidores.
>
> > Las configuraciones son estandar de SELinux, o cada distribucion creara
> > las politicas? Osea se encontraran las mismas politicas en SELinux en
> > Suse o Mandrake? o cada distro tendra lo suyo?
>
> SELinux es un mecanismo sobre el cual se pueden implementar modelos de
> seguridad que permitan describir politicas especificas. Ni siquiera seran
> necesariamente los mismos modelos...
OK, otro punto imagino para las distros grandes, queines tendran buenos
modelos... lo que marcara diferencias si? (sobre todo para las peleas
jeje)
saludos,
Luis
Más información sobre la lista de distribución BSD