NFO Forum Network:  linux.nfo.sk (Linux forum)     net.nfo.sk (Network forum)     www.mforum.sk (M$ forum)
Obsah fóra linux.nfo.sk linux.nfo.sk
Fórum zaoberajúce sa nielen Linuxom...
 
 Watched TopicsWatched Topics   FAQFAQ   HľadaťHľadať   Zoznam užívateľovZoznam užívateľov   Užívateľské skupinyUžívateľské skupiny   Lite versionLite   RegistráciaRegistrácia 
 NastaveniaNastavenia   Prihlásiť, pre kontrolu súkromných správPrihlásiť, pre kontrolu súkromných správ   PrihláseniePrihlásenie 

Vlastný vyhľadávací nástroj

Bezpecnost vseobecne
Choď na stránku 1, 2  Ďalší
 
Odoslať novú tému   Odpovedať na tému    Obsah fóra linux.nfo.sk -> Bezpečnosť
Zobraziť predchádzajúcu tému :: Zobraziť nasledujúcu tému  
Autor Správa
loktar
Anonymný





PríspevokZaslal: Št Nov 27, 2008 11:47 pm    Predmet: Bezpecnost vseobecne Odpovedať s citátom

Preco kernel umoznuje kazdemu userovi vylistovat vsetky procesy? Viem ze existuje grsec, ale podla mna by to mal byt default. Preco su defaultne prava nastavene tak ze kazdy user si moze precitat skoro cele /etc? Nie je zaklad pre uspesny hack spoznat masinu? Podla mna oboje uvedene toto umoznuje.
Návrat hore
timelord
Site Admin
Site Admin


Založený: 14.01.2005
Príspevky: 913
Bydlisko: Vancouver, British Columbia, Canada

PríspevokZaslal: Št Nov 27, 2008 11:54 pm    Predmet: Odpovedať s citátom

Co Ti mam na to povedat? Tieto otazky by si mal smerovat na kernel.org
_________________
SCUBA LIBRE
合気道 養神館
Návrat hore
Zobrazit informácie o autorovi Odoslať súkromnú správu
timelord
Site Admin
Site Admin


Založený: 14.01.2005
Príspevky: 913
Bydlisko: Vancouver, British Columbia, Canada

PríspevokZaslal: Št Nov 27, 2008 11:58 pm    Predmet: Odpovedať s citátom

BTW, ak si dobre nakonfigurujes server, tak mozes kludne vyvesit konfiguraky na web. Cize problem nie je v tom, ze niekto pozna Tvoj server, ale v tom, co vsetko mu dovolis.

Useri mozu kludne vidiet procesy. Vsetky by mali bezat tak, aby vo vypise neboli vidiet ziadne hesla, ak nejaky proces spustas s parametrami, ktorymi su heslo.

Useri si kludne mozu vylistovat subory v /etc pokial nastavis na subory, kde mas nejake hesla take pristupove prava, ze ich moze citat len user/proces, ktory ich ma citat.
_________________
SCUBA LIBRE
合気道 養神館
Návrat hore
Zobrazit informácie o autorovi Odoslať súkromnú správu
loktar
Anonymný





PríspevokZaslal: Pi Nov 28, 2008 12:00 am    Predmet: Odpovedať s citátom

Najlepsi by bol vlastny nazor a nazor komunity.
Návrat hore
loktar
Anonymný





PríspevokZaslal: Pi Nov 28, 2008 12:03 am    Predmet: Odpovedať s citátom

timelord Napísal:
BTW, ak si dobre nakonfigurujes server, tak mozes kludne vyvesit konfiguraky na web. Cize problem nie je v tom, ze niekto pozna Tvoj server, ale v tom, co vsetko mu dovolis.

Useri mozu kludne vidiet procesy. Vsetky by mali bezat tak, aby vo vypise neboli vidiet ziadne hesla, ak nejaky proces spustas s parametrami, ktorymi su heslo.

Useri si kludne mozu vylistovat subory v /etc pokial nastavis na subory, kde mas nejake hesla take pristupove prava, ze ich moze citat len user/proces, ktory ich ma citat.


Ludia robia chyby, ci uz pri programovani alebo konfigurovani. Dokazom je ze velku cast aktualizaci tvoria bezpecnostne zalezitosti. Tak preco to pripadnemu utocnikovi ulahcovat?
Návrat hore
loktar
Anonymný





PríspevokZaslal: Pi Nov 28, 2008 12:12 am    Predmet: Odpovedať s citátom

Ku konfiguracii na webe. Nejde len o to aby konfiguracia bola formalne "nepriestrelna", ale napr aj to "preco on moze zapisovat a ja nie?". Zverejnenie konfiguracie umozni identifikovat slabe miesto (vzdy nejake je) a zautocit nan. Nemusi sa vzdy jednat len o asoftware ale napr aj o fyzicke osoby.
Návrat hore
Anonymný






PríspevokZaslal: Po Dec 01, 2008 11:26 am    Predmet: Odpovedať s citátom

a preco by sa ti mal dostat nebezpecny user na masinu ? ak o niekom mas dovod si mysliet ze ti tam bude robit neplechu tak mu bud konto nedaj vobec alebo ho obmedz tak aby nemohol nic co nema....
Návrat hore
loktar
Anonymný





PríspevokZaslal: Po Dec 01, 2008 3:24 pm    Predmet: Odpovedať s citátom

>alebo ho obmedz tak aby nemohol nic co nema....

Obmedzit usera aby si nemohol vylistovat vsetky procesy sa bez grsecu pokial viem neda. Mne ide o defaulty, preco by si mal kazdy moct defaultne citat konfiguraciu demonov v /etc? Demony sa spustaju s pravami roota tak preco citanie tiez nie je obmedzene na roota? Dom ti tiez nepostavia bez stien na wc, pretoze vacsina ludi nechce aby ich tam bolo vidiet a keby niekto predsa len chcel, tak si ich da vyburat. Mna zaujima preco su defaulty take ake su.
Návrat hore
Anonymný






PríspevokZaslal: Po Dec 01, 2008 3:40 pm    Predmet: Odpovedať s citátom

loktar Napísal:
>alebo ho obmedz tak aby nemohol nic co nema....

Obmedzit usera aby si nemohol vylistovat vsetky procesy sa bez grsecu pokial viem neda. Mne ide o defaulty, preco by si mal kazdy moct defaultne citat konfiguraciu demonov v /etc? Demony sa spustaju s pravami roota tak preco citanie tiez nie je obmedzene na roota? Dom ti tiez nepostavia bez stien na wc, pretoze vacsina ludi nechce aby ich tam bolo vidiet a keby niekto predsa len chcel, tak si ich da vyburat. Mna zaujima preco su defaulty take ake su.


co sa tyka ps-ka, tak aj to sa da (a grsec nie je jedina cesta)

co sa tyka /etc, to by sa chcelo skor stazovat u toho kto vyrabal tvoje distro... v kazdom pripade spravit chmod ma adresar a/alebo prislusne subory by ti nemalo robit neaky zasadny problem, ak ti to robi, tak sa cudujem ze sa tu vobec zamyslas nad neakou bezpecnostou Razz
Návrat hore
loktar
Anonymný





PríspevokZaslal: Ut Dec 02, 2008 11:54 am    Predmet: Odpovedať s citátom

Ano, ps sa da tusim skompilovat tak aby zobrazovalo len procesy vlastneho uzivatela. To vsak nie je riesenie lebo ps je v tomto pripade len frontend ku kernelovemu backendu.
Co sa tyka /etc, v ubuntu aj gentoo je to priblizne rovnake, snad vsetko az na par vynimiek ako shadow je world readable. Chmodnut cokolvek mi problem nerobi, ja len chcem vediet preco mi tak povediac "postavili dom bez priecky medzi wc a kuchynou"?
Návrat hore
Anonymný






PríspevokZaslal: Ut Dec 02, 2008 1:14 pm    Predmet: Odpovedať s citátom

loktar Napísal:
Ano, ps sa da tusim skompilovat tak aby zobrazovalo len procesy vlastneho uzivatela. To vsak nie je riesenie lebo ps je v tomto pripade len frontend ku kernelovemu backendu.


no aj to je jedna z ciest.. na to aby bola ale uspesna musis zabezpecit aby nevedel uzivatel nic spustit z adresarov kde ma pravo write (takze take ako /tmp, /home treba ma t potom mountnute s parametrom noexec), bo inac by ti fikany uzivatel stiahol binarku odniekadial inokade (prinajhorosom by si ju skompilil staticky kdesi ak by mu nesedeli/chybali libky Smile )

loktar Napísal:

Co sa tyka /etc, v ubuntu aj gentoo je to priblizne rovnake, snad vsetko az na par vynimiek ako shadow je world readable. Chmodnut cokolvek mi problem nerobi, ja len chcem vediet preco mi tak povediac "postavili dom bez priecky medzi wc a kuchynou"?


pretoze miesto priecky ti tam dali posuvnu stenu a treba ju len zasunut, ale aby si to mal kym si tam sam pohodlnejsie tak ju nechali odsunutu Smile
(chmod tam mas len treba pohnut prstami)
Návrat hore
loktar
Anonymný





PríspevokZaslal: St Dec 03, 2008 11:51 pm    Predmet: Odpovedať s citátom

Lenze linux je vacsinou prezentovany ako "multi user net os". Tak preco nechali tu priecku odsunutu ked sa predpoklada ze v 90% v dome nikto nebude byvat sam? Su clenovia linuxovej komunity exhibicionisti? Smile
Návrat hore
timelord
Site Admin
Site Admin


Založený: 14.01.2005
Príspevky: 913
Bydlisko: Vancouver, British Columbia, Canada

PríspevokZaslal: Št Dec 04, 2008 12:57 am    Predmet: Odpovedať s citátom

Lebo ak by to defaultne nastavili opacne, tak by si tu zase vypisoval but Ty alebo milion dalsich ludi, ze preco im nejde spustit taka a hentaka aplikacia, ktora sa bude snazit precitat svoj konfigurak z /etc.

Cely tento topik, lepsie povedane diskusia v nom je o h***e (sorry, lepsi vyraz ma nenapadol). Je to nastavene tak, aby to vyhovovalo pre 90% nasadeni Linuxu. Tych 10%, ktore vyzaduju extra specialnu bezpecnost nerobia ludia, co vyplakavaju nad chmod prikazom.

Okrem toho, vacsina beznych distribucii uz ma v sebe nieco na styl SELinux alebo grSec. RHEL/CentOS Fedora ma napr. SELinux a pokial ho pri instalacii nevypnes (lebo ved je to jednoduchsie a menej problemov s vypnutym SELinuxom, vsak?), tak SELinux dovoli aplikaciam ist len tam, kam mozu. To iste mozes aj na userov. Zacina to byt pomaly stadardom, takze pokial niesi spokojny so sucasnym stavom, tak si zapni SELinux, grSec alebo nieco ine, nastav co chces budes uz dnes tam, kde ostatni budu za par mesiacov.
_________________
SCUBA LIBRE
合気道 養神館


Naposledy upravil timelord dňa Pi Dec 05, 2008 12:58 am, celkom upravené 1 krát
Návrat hore
Zobrazit informácie o autorovi Odoslať súkromnú správu
cievo
Site Admin
Site Admin


Založený: 04.01.2005
Príspevky: 936
Bydlisko: Vrútky, Slovensko

PríspevokZaslal: Pi Dec 05, 2008 12:05 am    Predmet: Mno... Odpovedať s citátom

loktar Napísal:
Lenze linux je vacsinou prezentovany ako "multi user net os". Tak preco nechali tu priecku odsunutu ked sa predpoklada ze v 90% v dome nikto nebude byvat sam? Su clenovia linuxovej komunity exhibicionisti? Smile


Pridam sa aj ja do tejto bezduchej diskusie. Aj M$ Windows Server je prezentovany ako multi-user prostredie a je tam pri defaultnej instalacii menej bezpecnosti ako v Linuxe. Vsetko zalezi len na tom ako si to admin zabezpeci...
_________________
...Good question is half of the answer...
Návrat hore
Zobrazit informácie o autorovi Odoslať súkromnú správu Odoslať e-mail Zobraziť autorove WWW stránky AOL Instant Messenger Yahoo Messenger MSN Messenger
fixinko
Site Admin
Site Admin


Založený: 04.01.2005
Príspevky: 574
Bydlisko: Bratislava

PríspevokZaslal: Ut Dec 09, 2008 8:18 am    Predmet: Odpovedať s citátom

timelord Napísal:
Lebo ak by to defaultne nastavili opacne, tak by si tu zase vypisoval but Ty alebo milion dalsich ludi, ze preco im nejde spustit taka a hentaka aplikacia, ktora sa bude snazit precitat svoj konfigurak z /etc.

Cely tento topik, lepsie povedane diskusia v nom je o h***e (sorry, lepsi vyraz ma nenapadol). Je to nastavene tak, aby to vyhovovalo pre 90% nasadeni Linuxu. Tych 10%, ktore vyzaduju extra specialnu bezpecnost nerobia ludia, co vyplakavaju nad chmod prikazom.

Okrem toho, vacsina beznych distribucii uz ma v sebe nieco na styl SELinux alebo grSec. RHEL/CentOS Fedora ma napr. SELinux a pokial ho pri instalacii nevypnes (lebo ved je to jednoduchsie a menej problemov s vypnutym SELinuxom, vsak?), tak SELinux dovoli aplikaciam ist len tam, kam mozu. To iste mozes aj na userov. Zacina to byt pomaly stadardom, takze pokial niesi spokojny so sucasnym stavom, tak si zapni SELinux, grSec alebo nieco ine, nastav co chces budes uz dnes tam, kde ostatni budu za par mesiacov.


akurat ze so selinuxom je trochu roboty ked ho chces rozumne nastavit, a naucit sa ako sa pisu vlastne pravidla Smile), ale vsetko sa da zvladnut Wink
_________________
So let it be written, so let it be done....
Návrat hore
Zobrazit informácie o autorovi Odoslať súkromnú správu Odoslať e-mail Zobraziť autorove WWW stránky MSN Messenger
Zobraziť príspevky z predchádzajúcich:   
Odoslať novú tému   Odpovedať na tému    Obsah fóra linux.nfo.sk -> Bezpečnosť Časy uvádzané v GMT + 1 hodina
Choď na stránku 1, 2  Ďalší
Strana 1 z 2

 
Prejdi na:  
Môžete odosielať nové témy do tohto fóra
Môžete odpovedať na témy v tomto fóre
Nemôžete upravovať svoje príspevky v tomto fóre
Nemôžete mazať svoje príspevky v tomto fóre
Nemôžete hlasovať v tomto fóre


Powered by phpBB © 2001, 2005 phpBB Group

Server Uptime: 110 days 19 hours 40 minutes | Average Load: 0.93, 0.49, 0.39

linux.nfo.sk topic RSS feed