LINUX.ORG.RU

Сообщения gdn

 

Несколько мыслей по безопасности....

Господа, долгое время патаясь обеспечивать безопасность Linux, пришел к ряду мыслей коими и хочу с Вами поделиться, хочу сразу заметить что всего этого в Linux сейчас нет. 1. Достаточно часто проблемы возникают при атаке на сетевые сервисы(Apache,sendmail,LPR, SSHd, DNS, etc) И получением прав root - т.к. все эти программы работают с правами root, из-за старого, принципа еще Unix кого(80-90), но Linux не Unix, почему бы не отойти от этого принципа и не разрешить любому слушать любые порты, в качестве компромиса(и неплохого), можно предложить определить например файл /etc/rootport.conf (щас его нет), где и перичислить тек пользователей которые на это имеют право и порты, которые они могут слушать. 2.Уже очень часто встречаю мыслю о том, что неоходимо ограничить список программ, которым можно в инет. 3.В ext2 (-> ext3) есть "иммунный бит", запрещающий изменение файла, ссылки, etc., но снять то его можно rootom -спрашивается а какая особо польза - вот если бы снять его можно только с уровня выполнения 1 (сеть off, регистрироваться может только root c вводом пароля!!!.....)- безопасность стала бы лучше. 4. Можно монтировать ф/с ro, но опять таки перемонтировать можно rootom - следовательно и если злоум. получил доступ к консоли (как вариант - Вас срочно вызывают к нач., а вы забываете залочить экран???)-> нужно чтобы mount, passwd, rpm требовали ввода пароля каждый раз при вызове). Естевственно что при монтировании как написано в fstab пароль должен быть ненужен..... есть и еще ряд идей, но как Вы отнесетесь к этим, если найдуться единомышленники, давайте сидеть за ядром.... ВСЕГО ВАМ ДОБРОГО

gdn ()

Linux kernel+patch=*.rej

Господа, вот какая проблема: патчу я ядро (2.4.18-3) патчем для 2.4.18, в результате - несколько файлов *.rej, Maikfile я и вручную исправил, но несколько файлов xxx.c.rej - вручную удалять строки с - и добавлять с +, особенно если при исправлении от некоторых функций необходимо оставить лишь скобку, от других почти все- как быть? Может я что-то делаю нетак?

gdn ()

RSS подписка на новые темы