Protecciones en Linux [Was: Re: Concreto FW]

Horst von Brand vonbrand en inf.utfsm.cl
Dom Ene 9 02:07:45 CLST 2005 

Luis Sandoval <zerox en systat.cl> dijo:
> El sáb, 08-01-2005 a las 12:37 -0300, Horst von Brand escribió:
> > Luis Sandoval <zerox en systat.cl> dijo:
> > 
> > [...]
> > 
> > > si, eso es cierto, pero la diferencia puede estar en que en OpenBSD hay
> > > protecciones que aunque tengas un software  vulnerable este no pueda ser
> > > explotado. Ahi hay una diferencia con Linux... si?
> > 
> > No. P.ej. en FC al menos los nucleos estan configurados con proteccion
> > contra ejecutar datos (no tener eso limpiamente es uno de los lindos
> > errores de la arquitectura ia32). Si, son ideas tomadas de OpenBSD.

> Osea si hay una diferencia entre OpenBSD vs Distribuciones Linux que no
> tengan implementadas este tipo de protecciones?

Si. Aunque creo que todas las 2.6-isticas las tienen, y muchas de las
anteriores.

> Y Fedora si incluye protecciones?

Proteccion contra ejecucion de datos en el stack. (stack es rw, no
ejecutable; me parece que todas las areas de datos estan asi). Usan PAE
para ello (solo PPro en adelante, IIRC; requiere manejo de memoria virtual
que es menos eficiente).

>                                   detalles?

Puedes probarlo p.ej. con los programas que desarrolla Aleph1 en Phrack con
lo de "Stack Smashing for Fun and Profit".

> Segun lei FC4 vendra con todas esas protecciones full, osea se compilara
> usando esas caracteristicas de gcc, algo asi  y parte de fc3 ya las
> implemento??

No he seguido las especulaciones del caso.

> Hoy estuve  probando un ejemplo, y si en FC3 no pude ejecutar el test,
> ya que no lo permite, 

FC2 tampoco.

[...]


> > Con SELinux puedes decidir caso a caso que cosa puede hacer un
> > proceso. Como dije antes, hubo maquinas con SELinux conectadas a Internet,
> > todos los servicios instalados, cuenta root sin password. No fueron
> > comprometidas. 

> pero los test se hicieron con servicios vulnerables?

Para que? Tienes acceso a root (o a cualquier cuenta que quieras) via un
chancho ssh.

[...]

> > Claro que es horrible de configurar y administrar sin
> > diluir, por lo que FC esta experimentando con configuraciones que solo
> > restringen a los servidores.

> Las configuraciones son estandar de SELinux, o cada distribucion  creara
> las politicas? Osea se encontraran las mismas  politicas en SELinux en
> Suse o Mandrake? o cada distro tendra lo suyo?

SELinux es un mecanismo sobre el cual se pueden implementar modelos de
seguridad que permitan describir politicas especificas. Ni siquiera seran
necesariamente los mismos modelos...

> a, corri el mismo  test en mdk usando el kernel -secure  que trae la
> distro, y igual se ejecuto.

Bueno saberlo. Puedes compartir el proggie? Via correo personal, si
prefieres.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513

Más información sobre la lista de distribución BSD