On Sun, 2007-09-02 at 19:10 -0300, Klaus Schneider wrote:
Boa noite a todos da lista... depois de alguns anos voltei pra lista FUG,
lista da qual participava desde que era FUGSP-BR =)
Bem, e vou (re)começar com uma pergunta:
Alguém ai sabe como proteger o um sistema de que alheios executem arquivos
binários que não sejam compilados localmente possam ser executados? Existem
algumas soluções, uma delas é o mac_chkexec, mas parece que o projeto não
esta andando, é preciso fazer alguns paches não oficiais e foi desenvolvido
em cima da versão 5.x, outra é uma solução desenvolvida no NetBSD, o veriexec,
e pelo que me parece ainda não foi portada para o FreeBSD...
Alguns pontos importantes:
A) O interesse nisso, é que caso alguém consiga acesso a shell do sistema ou
um modo de executar comandos, o hacker não consiga colocar binários e
executá-los.
B) Montar uma partição noexec não me parece uma boa saída, já que precisam
ter alguns binários nos diretórios dos usuários,
C) Usar um IDS como tripewire ou AIDA ajuda, mas não impede que o código
seja upado para o servidor e posteriormente executado, e infelizmente não
podemos ficar 24hs na frente de um computador monitorando logs.
Eu penso que a melhor opcao pra vc é o noexec na /home mesmo, sendo que
esses executaveis que os usuarios precisam nos seus homes, vc pode
colocar dentro um /usr/homeexecutaveis e fazer links simbolicos nos
homes deles. Assim continuaria tendo as mesmas funcionalidades e se
alguem upar algo pode até conseguir compilar mas nao executar.
Cuide pra que a /tmp e /var também tenham a flag noexec.
[]s
Nilson
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
