Protecciones en Linux [Was: Re: Concreto FW]
Horst von Brand
vonbrand en inf.utfsm.cl
Dom Ene 9 02:07:45 CLST 2005
Luis Sandoval <zerox en systat.cl> dijo:
> El sáb, 08-01-2005 a las 12:37 -0300, Horst von Brand escribió:
> > Luis Sandoval <zerox en systat.cl> dijo:
> >
> > [...]
> >
> > > si, eso es cierto, pero la diferencia puede estar en que en OpenBSD hay
> > > protecciones que aunque tengas un software vulnerable este no pueda ser
> > > explotado. Ahi hay una diferencia con Linux... si?
> >
> > No. P.ej. en FC al menos los nucleos estan configurados con proteccion
> > contra ejecutar datos (no tener eso limpiamente es uno de los lindos
> > errores de la arquitectura ia32). Si, son ideas tomadas de OpenBSD.
> Osea si hay una diferencia entre OpenBSD vs Distribuciones Linux que no
> tengan implementadas este tipo de protecciones?
Si. Aunque creo que todas las 2.6-isticas las tienen, y muchas de las
anteriores.
> Y Fedora si incluye protecciones?
Proteccion contra ejecucion de datos en el stack. (stack es rw, no
ejecutable; me parece que todas las areas de datos estan asi). Usan PAE
para ello (solo PPro en adelante, IIRC; requiere manejo de memoria virtual
que es menos eficiente).
> detalles?
Puedes probarlo p.ej. con los programas que desarrolla Aleph1 en Phrack con
lo de "Stack Smashing for Fun and Profit".
> Segun lei FC4 vendra con todas esas protecciones full, osea se compilara
> usando esas caracteristicas de gcc, algo asi y parte de fc3 ya las
> implemento??
No he seguido las especulaciones del caso.
> Hoy estuve probando un ejemplo, y si en FC3 no pude ejecutar el test,
> ya que no lo permite,
FC2 tampoco.
[...]
> > Con SELinux puedes decidir caso a caso que cosa puede hacer un
> > proceso. Como dije antes, hubo maquinas con SELinux conectadas a Internet,
> > todos los servicios instalados, cuenta root sin password. No fueron
> > comprometidas.
> pero los test se hicieron con servicios vulnerables?
Para que? Tienes acceso a root (o a cualquier cuenta que quieras) via un
chancho ssh.
[...]
> > Claro que es horrible de configurar y administrar sin
> > diluir, por lo que FC esta experimentando con configuraciones que solo
> > restringen a los servidores.
> Las configuraciones son estandar de SELinux, o cada distribucion creara
> las politicas? Osea se encontraran las mismas politicas en SELinux en
> Suse o Mandrake? o cada distro tendra lo suyo?
SELinux es un mecanismo sobre el cual se pueden implementar modelos de
seguridad que permitan describir politicas especificas. Ni siquiera seran
necesariamente los mismos modelos...
> a, corri el mismo test en mdk usando el kernel -secure que trae la
> distro, y igual se ejecuto.
Bueno saberlo. Puedes compartir el proggie? Via correo personal, si
prefieres.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
Más información sobre la lista de distribución BSD