Comments 15
Спасибо. Прочитал сначала следующую статью, и показалось, местами, неясно. Теперь многое стало на свои места. Сам пользую генту, но слышал о selinux и пр только по USE-флагам =). Как раз собираю сейчас домашний сервер под генту, и статья будет оч полезной.
это в основном для домашних пользователей или для серверов?
Если для серверов - зачем им драйвера Nvidia и xmms? Если для декстопов - разве у линукс и так не всё в порядке с безопасностью?
Если для серверов - зачем им драйвера Nvidia и xmms? Если для декстопов - разве у линукс и так не всё в порядке с безопасностью?
>разве у линукс и так не всё в порядке с безопасностью?
Но ведь нам "все в порядке" не подходит. Нам надо "все отлично!". Тем более в линкс все в порядке, лишь до тех пор, пока не ставится дырявый софт, а в десктопном софте довольно часто находят уязвимости. Тем более если есть возможность повысить безопасность на пордок, почти бесплатно, так почему бы и нет?
Но ведь нам "все в порядке" не подходит. Нам надо "все отлично!". Тем более в линкс все в порядке, лишь до тех пор, пока не ставится дырявый софт, а в десктопном софте довольно часто находят уязвимости. Тем более если есть возможность повысить безопасность на пордок, почти бесплатно, так почему бы и нет?
ну... Не совсем бесплатно. Откатываемся на чуть более раннюю версию компилятора и т.д.
Согласен, "почему бы и нет". Но я лично бы не стал запариваться.
Согласен, "почему бы и нет". Но я лично бы не стал запариваться.
Потому и написал "почти бесплатно", учитывая в т.ч. и время затраченное на настройку. В моем случае (сервак домашний) вполне допустимо иметь задержку версий компилятора некоторую и, как ниже написали, потерю производительности до 7%. Вот с отставанием ядра - немного тоскливее, т.к. бывают и в нем критические заплатки, но думаю этим можно пожертвовать.
Это и для домашних, и для серверов. Просто с серверами проще, а у домашних куча дополнительных проблем, влияющих на безопасность не лучшим способов: например, вынужденная поддержка подгрузки модулей в ядро из-за использования VMware, бинарные дрова nVidia/ATI (которые никто не компилировал с PIE/SSP), etc.
Как насчет влияния этих фич на производительность?
По мануалам RedHat включение SELinux стоит примерно 7% производительности.
По мануалам RedHat включение SELinux стоит примерно 7% производительности.
UFO just landed and posted this here
Я это понимаю, но... Кому это интересно - те прочитают. Или найдут позже через поисковики. Меня на хабре интересует обмен информацией, а не зарабатывание очков.
Так что публиковать статьи я буду тогда, когда они написаны, а не дождавшись "часа пик" на хабре и цедя статьи по капле ровно раз в неделю, для максимального эффекта.
Так что публиковать статьи я буду тогда, когда они написаны, а не дождавшись "часа пик" на хабре и цедя статьи по капле ровно раз в неделю, для максимального эффекта.
спасибо за Ваши статьи.
сейчас только бегло просмотрел, в понедельник на работе почитаю внимательно :)
гентушнику с многолетним стажем, каковым я являюсь, будет полезно почитать про ветку Hardened :) (хоть и был у меня сервак на Gentoo с харденед профайлом, но я особо им не занимался, были еще два админа)
сейчас только бегло просмотрел, в понедельник на работе почитаю внимательно :)
гентушнику с многолетним стажем, каковым я являюсь, будет полезно почитать про ветку Hardened :) (хоть и был у меня сервак на Gentoo с харденед профайлом, но я особо им не занимался, были еще два админа)
не проще обновляться вовремя и поставить фаервол ?
>Ограничение прав процессов и юзеров, в т.ч. (я бы даже сказал - в основном) юзера root:
ну а зачем *? :(
> и хакер получит "root", то ЭТОТ "root" сможет делать только вышеперечисленные операции...
поставьте на пользователя root (и на групу) какойто левый UID 999 к примеру
а вместо рута поставьте adm или типа того -) и даже если хакер будет за вашей машиной - на это посмотреть будет весело
>Ограничение прав процессов и юзеров, в т.ч. (я бы даже сказал - в основном) юзера root:
ну а зачем *? :(
> и хакер получит "root", то ЭТОТ "root" сможет делать только вышеперечисленные операции...
поставьте на пользователя root (и на групу) какойто левый UID 999 к примеру
а вместо рута поставьте adm или типа того -) и даже если хакер будет за вашей машиной - на это посмотреть будет весело
> не проще обновляться вовремя и поставить фаервол ?
Увы, не проще. Возможно, для Вас это будет новостью, но между обнаружением дыры, информированием о ней разработчиков, выпуском патча, тестированием патча, и выпуском обновления конкретного дистрибутива - между всеми этими этапами проходит куча времени. И всё это время Ваш сервер подставляет свою дырку всем желающим.
> ну а зачем *? :(
Зачем ограничивать root описано в примере, приведённом в статье. Взлом сервиса, работающего с правами root, не приведёт к захвату всей системы. Обыкновенная многоуровневая оборона, ничего нового.
> поставьте на пользователя root (и на групу) какойто левый UID 999
Весело будет хакеру, а не админу. Трюк со сменой UID давно всем известен. Гораздо проще использовать цифровой UID 0, чем текстовый root. А 0 Вы на что-то другое не поменяете - слишком много софта рассчитывает, что 0 - это суперпользователь. К тому же после взлома сервиса, работающего под root, хакер уже имеет полномочия суперпользователя, и ему пофиг, какой у него UID и имя.
Увы, не проще. Возможно, для Вас это будет новостью, но между обнаружением дыры, информированием о ней разработчиков, выпуском патча, тестированием патча, и выпуском обновления конкретного дистрибутива - между всеми этими этапами проходит куча времени. И всё это время Ваш сервер подставляет свою дырку всем желающим.
> ну а зачем *? :(
Зачем ограничивать root описано в примере, приведённом в статье. Взлом сервиса, работающего с правами root, не приведёт к захвату всей системы. Обыкновенная многоуровневая оборона, ничего нового.
> поставьте на пользователя root (и на групу) какойто левый UID 999
Весело будет хакеру, а не админу. Трюк со сменой UID давно всем известен. Гораздо проще использовать цифровой UID 0, чем текстовый root. А 0 Вы на что-то другое не поменяете - слишком много софта рассчитывает, что 0 - это суперпользователь. К тому же после взлома сервиса, работающего под root, хакер уже имеет полномочия суперпользователя, и ему пофиг, какой у него UID и имя.
Прочитал данную статью ни 1 раз. Идея понравилась. Пробую осуществить. Я пока новичок в Gentoo - тока 2 недели мучаю. Ставлю версию 2008.0 B2. И вот в чем вопрос - чем отличаются профили
hardened/x86/2.6 [5]
hardened/linux/x86 [13]
?
Перекл. на [5], там совсем мало флагов стоит, на [13] побольше. Логически мне понравился больше [13], пока играю с ним. Статья указывает [5]. Есть ли между ними отличия по набору софта или тока базовые флаги?
Спасибо
hardened/x86/2.6 [5]
hardened/linux/x86 [13]
?
Перекл. на [5], там совсем мало флагов стоит, на [13] побольше. Логически мне понравился больше [13], пока играю с ним. Статья указывает [5]. Есть ли между ними отличия по набору софта или тока базовые флаги?
Спасибо
Не думаю, что есть какие-то принципиальные отличия.
Кроме того можно просто сравнить эти профайлы diff-ом и изучить отличия. Если интересно, из каких соображений создали два разных профайла для одной задачи - напишите в mail list gentoo-user-ru@ или gentoo-hardened@, там Вам скорее всего квалифицированно ответят сами разработчики Gentoo.
Кроме того можно просто сравнить эти профайлы diff-ом и изучить отличия. Если интересно, из каких соображений создали два разных профайла для одной задачи - напишите в mail list gentoo-user-ru@ или gentoo-hardened@, там Вам скорее всего квалифицированно ответят сами разработчики Gentoo.
Sign up to leave a comment.
Hardened Gentoo: описание