max wrote:
> 2008/7/3 Assuero <[EMAIL PROTECTED]>:
>
>> max wrote:
>>
>> 2008/7/2 Psycho Mantys <[EMAIL PROTECTED]>:
>>
>>
>> max wrote:
>>
>>
>> 2008/7/1 Assuero <[EMAIL PROTECTED]>:
>>
>>
>>
>> Fala Slackers,
>>
>> Estou meio indeciso sobre compilar o kernel do slack como monolitico ou
>> deixar modular mesmo, para implementação de um firewall Iptables.
>> Teóricamente o sistema ficaria mais seguro contra instalação de rootkits
>> e afins em caso de um comprometimento do firewall.
>> Qualquer LKM que fosse necessário aos servicos na máquina que vai rodar
>> o firewall, teria que ser compilado junto com o kernel.
>>
>> Ainda estou fazendo testes para ver se o processamento da máquina com
>> todos os modulos carregados estaticamente vai ficar mais lento ou não.
>>
>> Alguem já implementou um firewall com slackware monolitico?
>>
>> T+
>> Assuero
>>
>>
>>
>> É indiferente, tratando-se de consumo de recursos/desempenho, o fato
>> de usar algo como módulo ou embutido no kernel.
>>
>>
>>
>>
>>
>> ###########################################################################################################################
>>
>> Nao era mais rapido? Tipo, pensei que fosse ......
>> Quer dizer que nao ajuda na hora de calcular nada no kernel? endereços
>> de memoria relativos e talz?.... Vc tem alguma fonte disso? :s
>>
>> Valeu :D
>>
>>
>>
>>
>> Dependendo do contexto pode ser mais prático, como alguém que atualiza
>> o iptables sempre que sai algum patch ou desenvolvedores de algum
>> componente do kernel, por exemplo.
>>
>> Sobre a performance, a diferença entre usar um módulo e usar algo
>> embutido é que no primeiro caso tu tem que carregar um objeto de um
>> arquivo, enquanto que usando algo embutido no kernel, estes objetos já
>> estão carregados. O "endereçamento" de memória é o mesmo, uma vez
>> carregado, o objeto se comporta da mesma forma, sendo módulo ou não.
>>
>> Quando chegar em casa eu posso pegar os links e dados sobre os livros
>> com referências.
>>
>>
>>
>>
>>
>> Fala max e slackers....
>>
>> Na verdade eu acredito que seja mais seguro compila-lo monoliticamente para
>> evitar possíveis instalações de rootkits que usem LKM's ou que infectem um
>> modulo de placa de rede ou coisa do tipo..
>> Imagina que um atacante consegue passar o firewall, eleva privilegios até
>> conseguir o #.. e pra garantir acesso na rede, ele infecta ou sobrescreve
>> um modulo nativo com um modulo alterado com uma backdoor no codigo fonte?
>> "Se" ele não forçar um DoS ou um reboot pra já carregar o modulo infectado,
>> quando restartar o server tu vai dar um lsmod tranquilao e vai apenas ver os
>> modulos nativos lindinhos lah.. nao vai ver bem na cara um modulo
>> infectado... bem sinistro neh?
>> Eu tou pensando em instalar esse kernel monolitico, porque na teoria, o cara
>> nao conseguiria subir mais "nada" a nivel de LKM no sistema "onthefly".
>> Entendeu o porque estou pensando nisso?
>>
>> T+
>> Assuero
>>
>
> Entendo (e espero :) que tu vai implementar mais soluções para
> aumentar a segurança mas eu não vejo isso como uma grande "melhoria"
> em relação a isso porque eu acho muito subjetivo afirmar o que alguém
> que está atacando o servidor faz ou deixa de fazer. Por exemplo, uma
> vez que eu tivesse controle sobre o sistema, eu poderia pegar o
> .config do teu kernel, compilar uma nova imagem já com o "rootkit" e,
> pela tua possivel falsa impressão de segurança (o que pode ser
> subjetivo também) eu poderia presumir que tu não perceberia isso.
>
> Apesar de não ser uma melhoria significativa, um conjunto de pequenas
> melhorias faz uma grande melhoria. :)
>
> Eu acho interessante o fato que muitas pessoas fazem estas
> "mini-fortalezas" (não dizendo que seja o teu caso) e depois sentem
> uma falsa impressão de segurança que os torna vulneráveis. É uma
> questão complicada para discutir, já que envolve uma reação humana que
> pode ser imprevisível.
>
> E cuida pra não confundir uma coisa: o linux *sempre* é monolítico, tu
> pode ativar o suporte a carga de módulos adicionais, mas o kernel em
> si é monolítico. :)
>
> >
>
>
###########################################################################################################################
Por isso que eu sempre digo, se o cara ja consegui ser root, você ta
ferrado :D. Segurança e feita para proibir e perceber um ataque. Se o
cara virou root vc falhou ;) (perdeu!).
Claro que a coisas que fogem au seu controle. Como vunerabilidades do
programa, programadores Zé ruelas(mysql injection :( ) e ate o fator
humano. Mas se você consegue pensar nessas coisas tambem, elas podem ser
evitadas!! (pelo menos eu acho).
Perguntar se medidas de segurança estão sendo feitas pelos
programadores, abusar de chroot e sempre ser desconfiado são sempre boas
coisas...
exemplo:
admin. do MySql:
Ei bixu, tu protegeu o codigo da sua aplicação contra ataques de
injeção?
Zé Ruela:
Ehhh. Pois ehhhh.... Bom.... Foi indo, indo..... E acabei não
fazendo...... :D. Mas nem precisa disso, nunca fazem isso...
--~--~---------~--~----~------------~-------~--~----~
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
-~----------~----~----~----~------~----~------~--~---
