Implementacja cyfrowych podpisow dla binariow i bibliotek :-#

[TQM]

@markossx - pamietam nasza rozmowe dosc dokladnie... co do blokowania odpalen userom rbash to jedno, druga sprawa to np RBAC jaki daje grsec, selinux'a znam tylko po wierzchu wiec nie powiem co i jak tam wyglada - moim zdaniem oba sa rownowazne... po prostu albo umiesz je skonfigurowac albo nie i ktory lepszy zalezy od tego kto konfiguruje...

Majac RBAC moglbys ustawic np konkretne polecenia w danych rolach i przypisac userow do jakiejs roli - np domyslnie ladowanej podczas logowania. Wtedy nie zrobia nic wiecej niz pozwoli RBAC... Problem jest jednak inny - mowie o podpisywaniu binariow aby np. root nie mogl niczego 'podmienic' bez odpowiedniej procedury... choc predzej ustawie dysk w tryb read-only zapisujac to co sie zmienia na drugim dysku (r/w) niz podpisy plikow :P Na winodws to ma wiekszy sens... Unixy sa sporo do przodu wiec tutaj takie cos to chyba przerost formy nad trescia... a moze sie myle?

Na razie chyba wroce do mojego RBAC'a

[markossx]

oczywiście, że rsback robi odmienną rZecz niż rbash ale połączenie tych dwóch pomysłów (+ oczywiście kilka dodatkowych rozwiązań) pozwoli na zbudowanie w miarę solidnego systemu. rsback jak wiemy odseparuje środowisko działania różnych aplikacji - zwłaszcza tych, które są bezpośrednio podatne na atak, a rbash solidnie ograniczy poczynania usera, o czy mówiłem wcześniej... jeśli takowy musi mieć bezpośredni dostęp do powłoki. zresztą uważam, że podstawą zabezpieczeń serwera jest ograniczenie do minimum, poczynań usera bądź aplikacji działającej na różnych prawach. nawet jak ktoś mi wywali Apache (i podmieni index.* to mam skrypt, który porównuje co parę minut oryginalny index.*, z tym który leży w katalogach serwera i posyła info na mail gdzie jest powiadomienie sms . może to nie jest autorskie rozwiązanie ale może być pomocne zwłaszcza dlatego, że jeśli odpowiednio szybko zainterweniuję po otrzymaniu komunikatu po zmianie indexu mam spore szanse łyknąć hakera na widelczyk . nie zdradzę do końca swojego pomysłu ale można użyć do tego celu na przykład: bash + awk, rsync (u mnie porównanie robi zdalny odseparowany host) via ssh, są jeszcze miłe: sed, zajefajny grep, sporo możliwości ogólnie

[TQM]

Podstawa to nie miec userow na serwerach... a jesli juz musi byc user to niech bedzie to power-user, ktory rozumie pewne kwestie takie jak bezpieczenstwo.

Przywracanie plikow dobra sprawa - nie powiem... Do monitorowania zmian konfiguracji i ich przywracania w razie czego polecam cfengine. Mam gdzies link do fajnego artykulu "The Self-healing Network", gdzie laczac nagios'a z cfengine mozna blyskawicznie podniesc kazda usluge, ktora ktos (np. nieudolny hacker) polozy plackiem.

Pomysl mirrorowania plikow mi sie podoba, zwlaszcza ze nie stosujesz czegos nie wiem jak skomplikowanego - prosty grep, sed, awk, rsync, ssh, itp Zawsze jednak pozostaje dla mnie jedna watpliwa kwestia - czy mozna zaufac systemowi, ktory przechowuje kopie danych? Jesli moznaby tak z marszu odpowiedziec TAK to wtedy nie kombinowalbym z podpisywaniem binarek, tylko rsync+tripwire+kilka skryptow W sumie w tym szalenstwie jest metoda