max wrote: > 2008/7/3 Assuero <[EMAIL PROTECTED]>: > >> max wrote: >> >> 2008/7/2 Psycho Mantys <[EMAIL PROTECTED]>: >> >> >> max wrote: >> >> >> 2008/7/1 Assuero <[EMAIL PROTECTED]>: >> >> >> >> Fala Slackers, >> >> Estou meio indeciso sobre compilar o kernel do slack como monolitico ou >> deixar modular mesmo, para implementação de um firewall Iptables. >> Teóricamente o sistema ficaria mais seguro contra instalação de rootkits >> e afins em caso de um comprometimento do firewall. >> Qualquer LKM que fosse necessário aos servicos na máquina que vai rodar >> o firewall, teria que ser compilado junto com o kernel. >> >> Ainda estou fazendo testes para ver se o processamento da máquina com >> todos os modulos carregados estaticamente vai ficar mais lento ou não. >> >> Alguem já implementou um firewall com slackware monolitico? >> >> T+ >> Assuero >> >> >> >> É indiferente, tratando-se de consumo de recursos/desempenho, o fato >> de usar algo como módulo ou embutido no kernel. >> >> >> >> >> >> ########################################################################################################################### >> >> Nao era mais rapido? Tipo, pensei que fosse ...... >> Quer dizer que nao ajuda na hora de calcular nada no kernel? endereços >> de memoria relativos e talz?.... Vc tem alguma fonte disso? :s >> >> Valeu :D >> >> >> >> >> Dependendo do contexto pode ser mais prático, como alguém que atualiza >> o iptables sempre que sai algum patch ou desenvolvedores de algum >> componente do kernel, por exemplo. >> >> Sobre a performance, a diferença entre usar um módulo e usar algo >> embutido é que no primeiro caso tu tem que carregar um objeto de um >> arquivo, enquanto que usando algo embutido no kernel, estes objetos já >> estão carregados. O "endereçamento" de memória é o mesmo, uma vez >> carregado, o objeto se comporta da mesma forma, sendo módulo ou não. >> >> Quando chegar em casa eu posso pegar os links e dados sobre os livros >> com referências. >> >> >> >> >> >> Fala max e slackers.... >> >> Na verdade eu acredito que seja mais seguro compila-lo monoliticamente para >> evitar possíveis instalações de rootkits que usem LKM's ou que infectem um >> modulo de placa de rede ou coisa do tipo.. >> Imagina que um atacante consegue passar o firewall, eleva privilegios até >> conseguir o #.. e pra garantir acesso na rede, ele infecta ou sobrescreve >> um modulo nativo com um modulo alterado com uma backdoor no codigo fonte? >> "Se" ele não forçar um DoS ou um reboot pra já carregar o modulo infectado, >> quando restartar o server tu vai dar um lsmod tranquilao e vai apenas ver os >> modulos nativos lindinhos lah.. nao vai ver bem na cara um modulo >> infectado... bem sinistro neh? >> Eu tou pensando em instalar esse kernel monolitico, porque na teoria, o cara >> nao conseguiria subir mais "nada" a nivel de LKM no sistema "onthefly". >> Entendeu o porque estou pensando nisso? >> >> T+ >> Assuero >> > > Entendo (e espero :) que tu vai implementar mais soluções para > aumentar a segurança mas eu não vejo isso como uma grande "melhoria" > em relação a isso porque eu acho muito subjetivo afirmar o que alguém > que está atacando o servidor faz ou deixa de fazer. Por exemplo, uma > vez que eu tivesse controle sobre o sistema, eu poderia pegar o > .config do teu kernel, compilar uma nova imagem já com o "rootkit" e, > pela tua possivel falsa impressão de segurança (o que pode ser > subjetivo também) eu poderia presumir que tu não perceberia isso. > > Apesar de não ser uma melhoria significativa, um conjunto de pequenas > melhorias faz uma grande melhoria. :) > > Eu acho interessante o fato que muitas pessoas fazem estas > "mini-fortalezas" (não dizendo que seja o teu caso) e depois sentem > uma falsa impressão de segurança que os torna vulneráveis. É uma > questão complicada para discutir, já que envolve uma reação humana que > pode ser imprevisível. > > E cuida pra não confundir uma coisa: o linux *sempre* é monolítico, tu > pode ativar o suporte a carga de módulos adicionais, mas o kernel em > si é monolítico. :) > > > > > clap clap clap max...
Cara, muito exclarecedor teu e-mail. Na minha impressão de segurança eu sempre sou muito exigente: NADA é 99% seguro. Se não é 99, imagina 100% :P. Não pressuponho o que um atacante poderia fazer na possível invasão do meu firewall, são N possibilidades e todas elas dependem apenas de uma coisa: o nivel de conhecimento de quem ataca... O cara pode ser o melhor admin, o melhor consultor de seguranca, o melhor pen-tester; se um cara com mais conhecimento sobre algumas features do sistema em questão, estiver determinado a invadir o sistema, ele vai invadir.. A menos que a maquina não tenha ligação nenhuma com outra maquina/rede. :) Nós podemos dificultar, mas garantir que o sistema/rede esta totalmente segura é impossivel, na MINHA opinião. O que eu tento sempre fazer max, é imaginar possiveis situações, e esta situação que citei acima é uma das que acho possível e acredito que poderá "melhorar" a segurança, já que o sistema estará sem o suporte a "módulos adicionais". T+ Assuero --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
