chroot
Защита POP3 с помощью Stunnel.
Метки: chroot | Stunnel | РОР3
Дата: 21/10/2009 09:09:06
Подписаться на комментарии по RSS
Даже если РОРЗ/IМАР-сервер не поддерживает ни один из вариантов безопасных протоколов (SPOP и IMAPS), можно применить Stunnel, который дает возможность создавать TCP-туннели, по которым данные пересылаются в зашифрованном виде.
Stunnel предназначен для универсального туннелирования ТСР-соединений. Если Stunnel еще не установлен, можно загрузить его с сайта: http://www.stunnel.org (конечно, понадобится SSL-библиотека, к примеру OpenSSL). Co стороны сервера можно употреблять Stunnel, чтобы предоставлять сервисы SPOP и IMPAS пользователям.
Защита DNS: продолжение.
Метки: chroot | DNS | TSIG
Дата: 09/09/2009 08:57:41
Подписаться на комментарии по RSS
Запуск BIND от имени непривилегированного пользователя.
Обычно BIND всегда запускался от имени root, но, учитывая все его уязвимости, это делать нежелательно, так как позволяет легко скомпрометировать систему.
Начиная с версии 8.1.2, появилась возможность запуска BIND от имени простого пользователя. Прежде BIND стартует от имени root - для того, чтобы сесть на 53 порт, а затем сбрасывает полномочия root и принимает полномочия указанного с помощью опции -n пользователя:
# named -n namedДля запуска named нужно создать новую учетную запись, а не запускать от имени nobody, от имени которого и так запущено много процессов.
Apache в chroot-окружении.
Метки: Apache | chroot | Fedora
Дата: 06/08/2009 08:45:31
Подписаться на комментарии по RSS
Создание структуры каталогов.
Первый шаг - это создание необходимой для запуска Apache структуры каталогов. Предположим, что для chroot-окружений был создан каталог /chroot. Chroot-окружение Apache будет в каталоге /chroot/httpd. Создадим в данном каталоге необходимую структуру каталогов:
# mkdir -p /chroot/httpd/etc
# mkdir -p /chroot/httpd/usr/bin
# mkdir -p /chroot/httpd/usr/sbin
# mkdir -p /chroot/httpd/usr/lib
# mkdir -p /chroot/httpd/usr/libexec
# mkdir -p /chroot/httpd/usr/local/apache/bin
# mkdir -p /chroot/httpd/usr/local/apache/logs
# mkdir -p /chroot/httpd/usr/local/apache/conf
# mkdir -p /chroot/httpd/usr/share/zoneinfо
# mkdir -p /chroot/httpd/var/www
# mkdir -p /chroot/httpd/tmp
# mkdir -p /chroot/httpd/lib
В зависимости от дистрибутива и от способа установки Apache (из пакета или из исходных кодов) структура каталогов может отличаться. Владельцем всех каталогов должен быть root, права доступа 0755:
Grsecurity: Аудит ядра.
Метки: chroot | Grsecurity | proc
Дата: 29/06/2009 17:33:58
Подписаться на комментарии по RSS
Это меню дает возможность записывать некоторые системные вызовы (например, execve() и fork()). Нужно включить все эти опции:
Grsecurity: Защита файловой системы.
Метки: chroot | FIFO | Grsecurity | proc
Дата: 23/06/2009 10:26:09
Подписаться на комментарии по RSS
Защита файловой системы (Filesystem Protection).
Как говорилось ранее, псевдофайловая система /prос предоставляет информацию о процессах, которую может употреблять хакер в своих целях. Эта опция дает возможность ограничить доступ к /proc двумя способами:
- Restrict /proc to User Only (CONFIG_GRKERNSEC_USER) - не root- пользователи не смогут просматривать /proc-информацию о процессах других пользователей, а также информацию о сети и информацию, относящуюся к ядру.
- Allow Special Group (CONFIGGRKERNSEC USERGROUP)
— создается специальная группа, которой можно просматривать /proc-информацию. GID этой группы должен быть указан в опции GID for Special Group (CONFIG_GRKERNSEC_PROC_GID).
Зависимости библиотек chroot.
Метки: chroot | strace
Дата: 26/05/2009 16:51:19
Подписаться на комментарии по RSS
Создать минимальную файловую систему изрядно просто, значительно сложнее выяснить, какие файлы обязательны. Прежде всего нужно выяснить зависимости библиотек. Ведь сервер может требовать наличия всего двух-трех библиотек, а каждой из них надо еще 1-2-3-4 библиотеки - без них они не будут работать, и, следовательно, не будет работать сервер.
Выяснить, какие библиотеки надобны той или иной программе, нужно с помощью команды ldd. Посмотрим, что надо для нормальной работы программы ls:
Chroot-окружение.
Метки: chroot | FTP | root
Дата: 26/05/2009 15:13:49
Подписаться на комментарии по RSS
Небезопасные сервисы - это потенциальные дыры в системе безопасности. Взломав такой сервис, хакер часто получает возможность исполнять команды от имени пользователя, который запустил этот сервис. Если сервис работает от пользователя root, можно представить, что хакер сделает с системой.
Идеально было бы запускать сервисы в «песочницах» - то есть задать такие ограничения для сервиса, при которых хакер не может разрушить систему или повлиять на работу прочих сервисов. Такой «песочницей» представляется chroot-окружение.
Идея chroot-окружения крайне проста: в некотором каталоге создается минимальная структура каталогов, необходимая для запуска этого сервиса, которая эмулирует корневую файловую систему, то есть в этом подкаталоге будут подкаталоги /bin, /lib, /etc и другие.