Средства защиты в Linux

Кто что юзал\юзает и какие впечатления. Вообще какие мнения\прогнозы\мысли по поводу защитного ПО под Linux.

 

я уж думал все самые тупые и не конкретные вопросы были уже заняты. Защиты от чего? для начала. Фаерволы есть, есть "песочницы". Антивирусы есть. я хз короче, но на такие вопросы ответ один "потому что гладиолус"

 

Уточняю вопрос.
Я знаю что защитное ПО для линукс есть и знаю какое оно есть, и даже пользовалась большинство из этого ПО. Посему прошу поделится своим опытом и мыслями на тему будущего этого ПО, качества этого ПО, юзабельностью этого ПО и т.д.
Если уж совсем уточнить то в дипломе пишу краткий обзор на эту тему и ограничится чисто своим мнением не могу, а в сети соответственно есть только руководства по использованию, которые конечно очень хорошие и полезные но не в данной ситуации.

P.S. Вопросов "почему" я не спрашивала =)

 

А какое "защитное ПО" Вы имеете в виду?

Брандмауэры ли, антивирусы или вообще - антиотладку?

 

rommanio
Ну вообще хочется услышать про антивирусы, SELinux, PaX, AppArmor и так далее.

 

http://www.opennet.ru/base/sec/intro_selinux.txt.html
http://www.opennet.ru/search.shtml?exclude=index%7C%2Fman.shtml&words=apparmor

И так далее

 

Кхм... Попробуем немного по другому.
Я пользовалась SeLinux, и у этой системы есть недостатки. Она некорректно себя ведет с кдешным окружением, так как там создаются потоки с одинаковыми именами. AppArmor вообще в таких ситуациях ориентируется на имя файла бинарника, что по моему мнению вообще не корректно так как бинарник может быть подменен. Также для SeLinux необходима поддержка со стороны файловой системы чтобы задавать объектам контексты, что для меня неудобно так как основная инфа на разделе с нтфс (для совместимости с виндой), а в нтфс естественно и думать не думают ни про какой селинукс. А еще у этих утилит политики слишком тонкие и гибкие да еще и ровно той длины чтобы прострелить себе ногу.
Также одним из моих любимых инструментов является iptables, мне очень нравится его архитектура, и мне кажется что интерфейс его настройки полностью соответствует философии прхождения пакета и очень удобен и понятен. Мне сильно не нравится новые тенденции в его развитии где предлагается делать настройки с помошью очень путанных и сложных как для распарсивания так и для понимания конфигов, я не понимаю зачем это нужно.

Давайте продолжим дисскусию примерно в таком ключе.

 

какова цель дискуссии?

 

Дайте мощное руководство по поиску руткитов и вирусов в linux системах. (кроме своих ручек и дизассемблера)

 

Dian

linuxmodule
Ан нет его =) Есть checkrootkit и rootkithunter для поиска руткитов но как то они не убедительны. Есть еще ClamAv и антивирусы от касперского и ессета, а также апаратные фаерволы про которые Крис много писал, но это скорее чтобы защитить виндовых клиентов от распространения заразы.

 

И превратим WASM в LSECURITY. Хип хипом, но меру надо знать Благо по Линуксу есть много нормальных форумов.

 

friackazoid
> а также апаратные фаерволы про которые Крис много писал, но это
> скорее чтобы защитить виндовых клиентов от распространения заразы.
не только виндовых. в том числе чтобы палить попытки на атаки. допустим мы видим травелсинг директорий. возможно, он к чему-то приводит, а, возможно, и нет. но сам факт!!! или взять sql иньекции. или дыры в php скриптах. их так же можно ловить путем анализа траффика.

"аппаратность" фаеров главным образом обуславливается рынком. крупная рыба предпочитает готовые решения из коробки. это дороже, зато геморра меньше. плюс существуют аппаратные реализации мульти-паттерн матчинга. типа куча примитивных "ядер". программно на интелях это потянуть сложнее. да еще и дороже. разница особо хорошо заметна на высоконагруженных каналах.

что же касается защиты линуха, то тут главное не переусердстовать. неисполняемый хип со стеком плюс качественная рандомизация оччччень осложняют атаку. в виндах у рандомизации энтропия всего 8 бит. ломается тупым перебором. ну то есть если у нас в сети есть пара сотен машин, то при первой же итерации одна - две уже зараженные. очень хорошая защита, да? а деп в винде отключается специальной функой. просто кладем ее адрес на стек и усе. единственная проблема, что этот адрес системно-зависим. но сколько у нас систем? если отбросить локальные версии и оставить только разные сервис паки, то и дюжины не наберется. причем на клиенской машине скорее всего будет хрюша с третьим ну или вторым сервис паком. возможно виста.

что же до антивирусов в линухе... почти каждый второй -- сплошное уродство. каких-то демонов там ставят... на хрена нам такая проактивка? все равно она ничего не словит. руткиты вообще богомерзость и забава для детского сада. нормальные атаки совершаются молча. и боевой код сидит только в памяти. делает что надо (обычно тырит что-то) и вычищает себя.

самые большие убытки компании терпят тогда, когда не ясно как определить факт компроментации узлов. допустим, атау таки засекли на поздней стадии. и теперь нужно выяснить какие машины были изнасилованы, а какие все еще целочки. руткиты (после того как их пропалят) позволяют это установить надежно. зараза, существующая только в памяти, не дает такой уверенности (ну разве что остались следы в каких-то логах). и компании в полной панике. кстати говоря, до сих пор не известен реальное кол-во атак. успешных и профессионально организованных. "огромное кол-во атак на пентагон" проистекает из того, что атакой считается любая подозрительная активность. ну типа кто-то попытался с дуру применить sql иньекцию или просканировал порты.

короче, защита линуха это бред. во всяком случае в том виде в котором она есть сейчас. на проверку. берем сплоиты для линя (а их дохренища в паблике). смотрим как они работают и понимаем, что в паблике лежит тупой PoC. пишем его по умному. провряем защиту. защита лажает.

браузеры и pdf'ы это вообще тихий ужас. потому как жаба открывает просто ошеломляющий возможности для морфинга. и все, что может предложить антивирусная индустрия это детекция самого факта обфускации. ну это как если в банк заходит человек в маске, то скорее всего грабитель. и лучше его сразу взять за яйца. а потому обфускация опять-таки удел малышей, которые еще какать правильно не научились. граммотный морфинг ни хвоста не палится даже глазом.

 

kaspersky
А почему о руткитах так? Нет ничего чтобы запрешало руткиту удалять себя посе кражи нужной информации. Термин руткит наверно вообще не очень актуален, правильнее наверно говорить малварь использующая руткит тенологии. Я конечно к антивирусной области не так близко, но последнее время вижу достаточно много статей и докладов от основных вендоров посвяшенных именно руткит технологиям.

 

kaspersky

Эт как так существует только в памяти? имеет ввиду модификацию /dev/mem чтоли? Этот способ уже давнееенько не прокатывает.
"(ну разве что остались следы в каких-то логах)"... Нормальный руткит, такие следы не оставит.

TermoSINteZ

Кстати, имеются ли у вас такие реальные примеры из жизни, где linux руткит, принёс громадный доход( да пусть и не легальный.)

 

linuxmodule
> Эт как так существует только в памяти?
юзают дыру с переполнением. выполняют свой код в контексте, допустим, web/sql сервера. и код этот только в памяти. на диске ничего не трогают. в реестре -- тоже. а фигли? сервер не перезагружают каждые пять минут, а пока есть дыра незакрытая можно туда приходить снова и снова.

определить факт компроментации в этом случае очень сложно, а порою невозможно. бэкдор ставить смысла нет. особенно на линухе, где он уже есть. главное - надыбать пароли

> имеет ввиду модификацию /dev/mem чтоли?
нет конечно

> "(ну разве что остались следы в каких-то логах)"... Нормальный руткит,
> такие следы не оставит.
ага щас блин. потрет за собой все логи на всех промежуточных фаерах, ипсах и еще isp поимеет, ага?

 

kaspersky

Он восстанавливает стек, регистры, флаги и возвращает управление? Интересно какого размера долже быть сплоит, чтобы всё это делать и ещё нести какую-то функциональную нагрузку?

 

kaspersky
К тому же стек не постоянен, к одной той же функции могут привести разные пути.

 

Booster
> Он восстанавливает стек, регистры, флаги и возвращает управление?
вы слишком все теоритизируете. начнем с флагов. оччччень интересно увидеть функцию на си, которая возвращет результат через флаги, да еще таким образом возвращает, чтобы неверные флаги приводили к падению.

как именно удержаться от падения после переполнения - отдельный вопрос, зависящий от конкретной жертвы. в принципе, ничего не мешает сделать корректный инжект в соседний процесс. если проактивка не пропалит, то пост-разборы уже ничего не покажут. перезагрузка убьет все следы..

> Интересно какого размера долже быть сплоит, чтобы всё это делать
> и ещё нести какую-то функциональную нагрузку?
вы снова теоритизируйте. посмотрите на сорцы любого сплоита. по крайней мере загрузчик скачивающий с удаленного сервера основной код в память очень компактен. никто же не ставит задачу впихнуть весь функционал в переполняющийся буфер. его размеры зачастую очень ограничены. и тогда идет чуть ли не каскадная скачка. сначала качаем загрузчик загрузчика, который уже докачивает остальное.

Booster
> К тому же стек не постоянен, к одной той же функции могут привести разные пути.
ничего не понял. какие пути? куда привести. а если это переполнение кучи, тогда что?