2008/7/7 Assuero <[EMAIL PROTECTED]>: > max wrote: > > 2008/7/3 Assuero <[EMAIL PROTECTED]>: > > > max wrote: > > 2008/7/2 Psycho Mantys <[EMAIL PROTECTED]>: > > > max wrote: > > > 2008/7/1 Assuero <[EMAIL PROTECTED]>: > > > > Fala Slackers, > > Estou meio indeciso sobre compilar o kernel do slack como monolitico ou > deixar modular mesmo, para implementação de um firewall Iptables. > Teóricamente o sistema ficaria mais seguro contra instalação de rootkits > e afins em caso de um comprometimento do firewall. > Qualquer LKM que fosse necessário aos servicos na máquina que vai rodar > o firewall, teria que ser compilado junto com o kernel. > > Ainda estou fazendo testes para ver se o processamento da máquina com > todos os modulos carregados estaticamente vai ficar mais lento ou não. > > Alguem já implementou um firewall com slackware monolitico? > > T+ > Assuero > > > > É indiferente, tratando-se de consumo de recursos/desempenho, o fato > de usar algo como módulo ou embutido no kernel. > > > > > > ########################################################################################################################### > > Nao era mais rapido? Tipo, pensei que fosse ...... > Quer dizer que nao ajuda na hora de calcular nada no kernel? endereços > de memoria relativos e talz?.... Vc tem alguma fonte disso? :s > > Valeu :D > > > > > Dependendo do contexto pode ser mais prático, como alguém que atualiza > o iptables sempre que sai algum patch ou desenvolvedores de algum > componente do kernel, por exemplo. > > Sobre a performance, a diferença entre usar um módulo e usar algo > embutido é que no primeiro caso tu tem que carregar um objeto de um > arquivo, enquanto que usando algo embutido no kernel, estes objetos já > estão carregados. O "endereçamento" de memória é o mesmo, uma vez > carregado, o objeto se comporta da mesma forma, sendo módulo ou não. > > Quando chegar em casa eu posso pegar os links e dados sobre os livros > com referências. > > > > > > Fala max e slackers.... > > Na verdade eu acredito que seja mais seguro compila-lo monoliticamente para > evitar possíveis instalações de rootkits que usem LKM's ou que infectem um > modulo de placa de rede ou coisa do tipo.. > Imagina que um atacante consegue passar o firewall, eleva privilegios até > conseguir o #.. e pra garantir acesso na rede, ele infecta ou sobrescreve > um modulo nativo com um modulo alterado com uma backdoor no codigo fonte? > "Se" ele não forçar um DoS ou um reboot pra já carregar o modulo infectado, > quando restartar o server tu vai dar um lsmod tranquilao e vai apenas ver os > modulos nativos lindinhos lah.. nao vai ver bem na cara um modulo > infectado... bem sinistro neh? > Eu tou pensando em instalar esse kernel monolitico, porque na teoria, o cara > nao conseguiria subir mais "nada" a nivel de LKM no sistema "onthefly". > Entendeu o porque estou pensando nisso? > > T+ > Assuero > > > Entendo (e espero :) que tu vai implementar mais soluções para > aumentar a segurança mas eu não vejo isso como uma grande "melhoria" > em relação a isso porque eu acho muito subjetivo afirmar o que alguém > que está atacando o servidor faz ou deixa de fazer. Por exemplo, uma > vez que eu tivesse controle sobre o sistema, eu poderia pegar o > .config do teu kernel, compilar uma nova imagem já com o "rootkit" e, > pela tua possivel falsa impressão de segurança (o que pode ser > subjetivo também) eu poderia presumir que tu não perceberia isso. > > Apesar de não ser uma melhoria significativa, um conjunto de pequenas > melhorias faz uma grande melhoria. :) > > Eu acho interessante o fato que muitas pessoas fazem estas > "mini-fortalezas" (não dizendo que seja o teu caso) e depois sentem > uma falsa impressão de segurança que os torna vulneráveis. É uma > questão complicada para discutir, já que envolve uma reação humana que > pode ser imprevisível. > > E cuida pra não confundir uma coisa: o linux *sempre* é monolítico, tu > pode ativar o suporte a carga de módulos adicionais, mas o kernel em > si é monolítico. :) > > > > > > clap clap clap max... > > Cara, muito exclarecedor teu e-mail. > > Na minha impressão de segurança eu sempre sou muito exigente: NADA é 99% > seguro. > Se não é 99, imagina 100% :P. > Não pressuponho o que um atacante poderia fazer na possível invasão do meu > firewall, são N possibilidades e todas elas dependem apenas de uma coisa: o > nivel de conhecimento de quem ataca... O cara pode ser o melhor admin, o > melhor consultor de seguranca, o melhor pen-tester; se um cara com mais > conhecimento sobre algumas features do sistema em questão, estiver > determinado a invadir o sistema, ele vai invadir.. A menos que a maquina não > tenha ligação nenhuma com outra maquina/rede. :) > Nós podemos dificultar, mas garantir que o sistema/rede esta totalmente > segura é impossivel, na MINHA opinião. > > O que eu tento sempre fazer max, é imaginar possiveis situações, e esta > situação que citei acima é uma das que acho possível e acredito que poderá > "melhorar" a segurança, já que o sistema estará sem o suporte a "módulos > adicionais". > > T+ > Assuero
Eu concordo contigo, não disse que não fica mais seguro. O problema é que tem gente que ve estes emails e pensa "vou fazer meu kernel com tudo embutido e tá resolvido"; só que não é bem assim... :) --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
