forum.opennet.ru - "sysctrl -w kern.securelevel 1(2,3)? Максимальная защита

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"sysctrl -w kern.securelevel 1(2,3)? Максимальная защита - эт..."

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"sysctrl -w kern.securelevel 1(2,3)? Максимальная защита - эт..."
Сообщение от Dorlas on 07-Окт-03, 09:07 (MSK)
Добрый день. Вопрос: Насколько хороша защита шлюза следующими мерами на машине, играющей роль шлюза в интернет(natd), файерволла(ipfw) и, ВОЗМОЖНО(не обязательно), почтового сервера(sendmail+qpopper): Устанавливаем все, что было перечислено. Настраиваем. Закрываем все порты, кроме 25, 80, 110. И если все хорошо(на первый взгляд) рабоатет, применяем следующие меры: Уровень защиты, с которым выполняется ядро, выставляем 1. Все файлы в /bin и /sbin - chflags schg - делаем системно неизменяемыми. Папки аналогично. В /boot, /etc - все файлы и папки, которые далее не подлежат динамическому изменению - аналогично. То есть идея сводится в следующему: Устанавливаем флаг schg на ВСЕ, что должно только читаться и выполняться. И переводим ядро в режим securelevel 1, когда ничего изменить, переместить, удалить из этих файлов нельзя. Вопрос: НАсколько такая защита хороша от удаленного взлома? Физически к компу никто не подойдет, кроме админа. Есть ли возможность у кракера перевести ядро в более низкий уровень защиты, не перезагружая комп, и вообще что можно в таких случаях натворить, получив удалено права пользователя? А если права рута? С нетерпением жду ответа, С Уважением, Dorlas.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

sysctrl -w kern.securelevel 1(2,3)? Максимальная защита - эт..., Dor, 16:59 , 09-Окт-03, (1)
- sysctrl -w kern.securelevel 1(2,3)? Максимальная защита - эт..., Dorlas, 08:16 , 10-Окт-03, (2)
  - sysctrl -w kern.securelevel 1(2,3)? Максимальная защита - эт..., dev, 01:34 , 11-Окт-03, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "sysctrl -w kern.securelevel 1(2,3)? Максимальная защита - эт..."

Сообщение от Dor on 09-Окт-03, 16:59  (MSK)

Приветствую.
Будем считать что удаленного взлома Вам не избежать никак - если компьютер подключен к интернету и на нем видны какие-то сервисы!!!
В итоге вся защита(пример, который судя по всему Вы изучили, - <http://www.freebsd.org.ru/security/security.html>)сводится к тому что-бы во-время узнать - скомпрометирована система или нет?
То есть применив все вышеописанные меры (выставив securelevel=2), Вы всегда узнаете что Вашу систему кто-то взломал, и не смог замести следы, так как эти логи можно редактировать только в однопользовательском режиме.
Дополнительно можно установить - Ситему обнаружения вторжений (IDS), которая поможет выявить попытки взлома начинающих ломальщиков...

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "sysctrl -w kern.securelevel 1(2,3)? Максимальная защита - эт..."

Сообщение от Dorlas on 10-Окт-03, 08:16  (MSK)

Главная мысль была в следующем:
1) Узнать, сможет ли взломщик понизить securelevel не перезагружая машину до уровня 0 или -1. Если securelevel ломается - то вопрос снимается автоматически.
2) Если securelevel не ломается, то возникает вопрос - реально ли защитить систему от установки взломщиком rootkit, поставив флаги schg на ВСЕ выполняемые файлы(и важные папки), которые не подлежат изменению. (Понятно, что после установки флага рут не сможет их удалить, изменить, переместить...)
3) Никто не мешает убрать флаг выполнения на всех "опасных" программах и поставить на них флаг schg.
Если все 3 условия выполняются, то Я прихожу к выводу что защита таким образом вполне реальна...
У Уважением, Dorlas

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "sysctrl -w kern.securelevel 1(2,3)? Максимальная защита - эт..."

Сообщение от dev on 11-Окт-03, 01:34  (MSK)

> Главная мысль была в следующем:
>1) Узнать, сможет ли взломщик понизить securelevel не перезагружая машину до уровня
>0 или -1. Если securelevel ломается - то вопрос снимается автоматически.
>
>2) Если securelevel не ломается, то возникает вопрос - реально ли защитить
>систему от установки взломщиком rootkit, поставив флаги schg на ВСЕ выполняемые
>файлы(и важные папки), которые не подлежат изменению. (Понятно, что после установки
>флага рут не сможет их удалить, изменить, переместить...)
>3) Никто не мешает убрать флаг выполнения на всех "опасных" программах и
>поставить на них флаг schg.
>Если все 3 условия выполняются, то Я прихожу к выводу что защита
>таким образом вполне реальна...
>У Уважением, Dorlas
securitylevel не снижается без перезагрузки - для этого он и придуман.
На мой взгляд подобная защита очень надежна при условии отсутствия дыр в ядре :)
Я бы сам так сделал на своем сервере, но до него 200 км и обновлять систему надо удаленно :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "sysctrl -w kern.securelevel 1(2,3)? Максимальная защита - эт..."
Сообщение от Dor on 09-Окт-03, 16:59 (MSK)
Приветствую. Будем считать что удаленного взлома Вам не избежать никак - если компьютер подключен к интернету и на нем видны какие-то сервисы!!! В итоге вся защита(пример, который судя по всему Вы изучили, - <http://www.freebsd.org.ru/security/security.html>)сводится к тому что-бы во-время узнать - скомпрометирована система или нет? То есть применив все вышеописанные меры (выставив securelevel=2), Вы всегда узнаете что Вашу систему кто-то взломал, и не смог замести следы, так как эти логи можно редактировать только в однопользовательском режиме. Дополнительно можно установить - Ситему обнаружения вторжений (IDS), которая поможет выявить попытки взлома начинающих ломальщиков...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "sysctrl -w kern.securelevel 1(2,3)? Максимальная защита - эт..."
	Сообщение от Dorlas on 10-Окт-03, 08:16 (MSK)
	Главная мысль была в следующем: 1) Узнать, сможет ли взломщик понизить securelevel не перезагружая машину до уровня 0 или -1. Если securelevel ломается - то вопрос снимается автоматически. 2) Если securelevel не ломается, то возникает вопрос - реально ли защитить систему от установки взломщиком rootkit, поставив флаги schg на ВСЕ выполняемые файлы(и важные папки), которые не подлежат изменению. (Понятно, что после установки флага рут не сможет их удалить, изменить, переместить...) 3) Никто не мешает убрать флаг выполнения на всех "опасных" программах и поставить на них флаг schg. Если все 3 условия выполняются, то Я прихожу к выводу что защита таким образом вполне реальна... У Уважением, Dorlas
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "sysctrl -w kern.securelevel 1(2,3)? Максимальная защита - эт..."
	Сообщение от dev on 11-Окт-03, 01:34 (MSK)
	> Главная мысль была в следующем: >1) Узнать, сможет ли взломщик понизить securelevel не перезагружая машину до уровня >0 или -1. Если securelevel ломается - то вопрос снимается автоматически. > >2) Если securelevel не ломается, то возникает вопрос - реально ли защитить >систему от установки взломщиком rootkit, поставив флаги schg на ВСЕ выполняемые >файлы(и важные папки), которые не подлежат изменению. (Понятно, что после установки >флага рут не сможет их удалить, изменить, переместить...) >3) Никто не мешает убрать флаг выполнения на всех "опасных" программах и >поставить на них флаг schg. >Если все 3 условия выполняются, то Я прихожу к выводу что защита >таким образом вполне реальна... >У Уважением, Dorlas securitylevel не снижается без перезагрузки - для этого он и придуман. На мой взгляд подобная защита очень надежна при условии отсутствия дыр в ядре :) Я бы сам так сделал на своем сервере, но до него 200 км и обновлять систему надо удаленно :(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх