The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Увеличение безопасности Linux

   Корень / Администратору / Система / Linux специфика / Увеличение безопасности Linux

----* Использование SSH поверх UNIX-сокета вместо sudo (доп. ссылка 1)   [комментарии]
  Тимоти Равье (Timothee Ravier) из компании Red Hat, мэйнтейнер проектов Fedora Silverblue и Fedora Kinoite, [[https://tim.siosm.fr/blog/2023/12/19/ssh-over-unix-socket/ предложил]] заслуживающий внимания способ ухода от применения утилиты sudo, использующей suid-бит для повышения привилегий. Вместо sudo для выполнения обычным пользователем команд с правами root предлагается задействовать утилиту ssh с локальным соединением к той же системе через UNIX-сокет.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание шифрованных образов виртуальных машин (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
  Инструкция по созданию полностью зашифрованного образа гостевой системы, в котором шифрование охватывает корневой раздел и стадию загрузки.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Отключение LD_PRELOAD в Linux (доп. ссылка 1)   [комментарии]
  Для блокирования работы переменной окружения LD_PRELOAD, позволяющей принудительно загрузить разделяемую библиотеку со своими обработчиками для функций используемых в программе библиотек, можно использовать следующий скрипт.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Запуск Skype в изолированном окружении Apparmor (доп. ссылка 1)   [комментарии]
  Для защиты от потенциального доступа закрытого приложения Skype к данным других программ можно организовать выполнение Skype в изолированном окружении.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Использование systemtap для устранения уязвимости в реализации /proc/pid/mem (доп. ссылка 1)   [комментарии]
  Для устранения [[https://www.opennet.ru/opennews/art.shtml?num=32872 уязвимости]] CVE-2012-0056 в /proc/pid/mem без обновления ядра Linux можно использовать systemtap для ограничения системного вызова. Systemtap из коробки доступен в RHEL/CentOS и может быть установлен из репозитория в Debian/Ubuntu. Без systemtap обходным путем решения проблемы является блокирования доступа пользователя на запуск setuid-программ.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Запрещение загрузки модулей Linux-ядра (доп. ссылка 1)   [комментарии]
  Повысить безопасность серверов и защитить их от внедрения руткитов в системах на базе Linux-ядра младше 2.6.25 (например, CentOS/RHEL 5) можно используя режим Capability Bounding, включаемый через файл /proc/sys/kernel/cap-bound. Capability Bounding действует на все процессы, если какой-то из Capability-режимов запрещен через /proc/sys/kernel/cap-bound, то использовать данную возможность не сможет ни один процесс, независимо от его привилегий. Используя данный режим можно блокировать для пользователя root возможность загрузки модулей ядра, изменения правил пакетного фильтра, использования raw-сокетов, изменения владельца файлов, монтирования разделов и других системных действий.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание шифрованного загрузочного LiveUSB c Debian GNU/Linux (доп. ссылка 1)   [комментарии]
  Добавление Loop-AES шифрования к Debian Live.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Изменение метода хэширования паролей в Red Hat подобных дистрибутивах (доп. ссылка 1)   [комментарии]
  В будущих версиях RHEL и Fedora Linux появится возможность
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка аутентификации по отпечаткам пальцев в Ubuntu Linux   [комментарии]
  Устанавливаем пакеты необходимые для сборки системы fprint:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Изменение атрибутов ext2fs и ext3fs используя chattr (доп. ссылка 1)   [обсудить]
 
Команда chattr позволяет изменять параметры ФС для отдельного файла или директории:
   chattr +a - только добавление данных (append-only), удаление и переименование запрещено;
   chattr +i - запрещено удаление, изменение или переименование (immutable);
   chattr +A - запретить сохранение данных о каждом обращении к файлу (no atime)
   chattr +S - синхронное изменение всех данных на диск, без кэширования;
   chattr +c - файл будет хранится на диске в сжатом виде (нужен отдельный патч для ядра);
   chattr +s - после удаления файла, место на диске забивается нулями (внешний патч);
   chattr +u - резервирование данных файла после удаления (внешний патч);

Пример:
   chattr -R +i /bin /sbin /usr/bin /usr/sbin - запрещаем изменение бинарников
   chattr +a /var/log/secure - предотвращаем модификацию лога злоумышленником

Для просмотра расширенных атрибутов используется утилита lsattr.

Для FreeBSD см. man chflags и man security
 
----* Как защитить Linux от некоторых DoS атак.   [комментарии]
 
Настройки для увеличения безопасности:
  /sbin/sysctl -w net.ipv4.conf.all.send_redirects=0
  /sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0
  /sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0
  /sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0
  /sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
  /sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
  /sbin/sysctl -w net.ipv4.conf.all.log_martians=1
  /sbin/sysctl -w net.ipv4.conf.all.rp_filter=1
 
----* Как в linux преобразовать /etc/passwd в shadow   [обсудить]
 
/usr/sbin/pwconv
 
----* Как в linux разрешить su только для членов группы wheel   [комментарии]
 
Добавить в /etc/pam.d/su
auth     required       pam_wheel.so
 

 Версия для печати





Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру