Versão Imprimível
Olá! Gostaria de tirar uma dúvida, ouvi dizer que compilar o kernel com modulos não era bom para um firewall, tornaria ela abito a compilar programas invasores, isso é verdade. Outra Alem de montar uma firewall com iptables e programas de detecção qual ou quais outras ferramentas complementão um firewall para torna-lo o mais seguro possivel???
Obrigado! :)
Cara que eu saiba não eh bom deixar o iptables como modulo, mas outros dispositivos como modulos acho que não tem problema, depois se por um snort + guardian ja fica bem seguro, e claro um firewall e um snort com guaridan nao dispensa leitura de logs.
falows
Uma vez eu vi uma palestra de um cara, dizendo que no kernel 2.4, devido aos modulos, ele possui uma vulnerabilidade que deixa o usuário comun virar root, através de um crack na system call (que só é usada quando usamos módulos)
Agora para isso ele já precisa estar dentro do seu sys.,
Para servidores prefiro deixar tudo built in, assim é mais rápido...
tb costumo deixar tudo built-in, mas nao sabia dessa vulnerabilidade.
falows
Realmente só se o cara estiver dentro do sistema já para conseguir burlar algo com relação ao kernel...
Pessoalmente tenho compilado iptables junto ao kernel em diversos firewalls sem problemas, alem do ganho de velocidade tanto no sistema geral quanto no filtro de pacotes.
Para aumentar a segurança mantenha atualizado o portsentry snort guardia e trypware, monte a partição de boot com a opção readonly no seu fstab.
Mantenha o minimo possivel de usuarios no seu servidor e atulize as senhas com frequencia !.
Na realiade alem de ja ter existido essa vulnerabilidade, existe o fato de carregar alguns programas malicosos como modulo do kernel, como exploits, keyloggers e outra coisas mais... o fato desabilitar o suporte a modulos ja aumenta o nivel de segura pois esses modulos malicosos nao poderiam funcionar, deu para sacar?
Po nao sabia dessa mistymst, tpo onde no kernel disabilita o suprote a modulos??
vlw
Fica em umas das primeiras opções...Citação:
Postado originalmente por ruyneto
é o seguinte...
Loadable module suport --->
ai é só desabilitar a opção
Enable loadable module suporte...
blz, vo começar a fazer isso a partir de agora.
falows
kerneis monolíticos? give me a break :@:
Obrigado :)
Eu acho besteira desativar suporte a modulo por causa disso... pra pessoa ter acesso a alterar opcoes dos modulos eh necessario ser root, e sendo root, pra q tentar "crackear" os modulos...
eu nao perderia meu tempo com isso
Eu costumo destivar o suporte a modulos por causa que eu nao uso elesCitação:
Postado originalmente por 1c3_m4n
Agora, no caso do kernel 2.4 eu recomendo, para o cara nao poder aproveitar o bug do system call
Tsc... discordo...
Uma das grandes vantagens de se ter um kernel modularizado é que você pode desabilitar recursos do seu kernel e aproveitar mais o recurso do seu computador. Isso é um feature do kernel Linux que eu acho tesão.
Agora, compilar tudo built-in por causa de uma vulnerabilidade que existiu no kernel 2.4.1 ou 2, é absurdo. É a mesma coisa de deixar de usar um programa porque ele já teve um bug.
E ah! Como vocês fariam com as opções do kernel que só podem ser compiladas como módulo?
Na verdade é um bug do kernel 2.4.X
Ele permanece e permanecerá até o último deles...
Só esqueci de especificar que eu uso built-in nos servidores, que não precisam de módulos/modificações a toda hora...
concordo com o 1c3, um bug que precisa do root não é bug. como disse em outro tópico, não é falta de segurança, é má fé e nada que façamos pode impedir o root de zoar o sistema...
se quiser bloquear cagadas de root, aplica o grsecurity/pax no kernel...
Na verdade o bug permite que um usuário transforme-se em root sem senha alguma..Citação:
Postado originalmente por esamp
e não precisa ter arquivo nenhum em lugares privilegiados? se for isso volto pro windows :P
Ele só precisa estar logado no seu sys.Citação:
Postado originalmente por esamp
O usuário root possui id=0, através de uma system call ele muda o id do usuário dele para 0. Isto é um bugaço do kernel 2.4
No 2.6 isso não ocorre.
Porém ele disse que existem alguns bugs no 2.6 que são do mesmo "nível" e qu não foram corrigidos do 2.4 para o 2.6.
Disse que o pessoal do kernel parace ter dado muita preferencia para o desempenho e deixou a segurança um pouco de lado.
Se bem que isso foi na primeira conisli, e de lá para cá já mudamos muita coisa.
1c3, mais uma vez vc mandou bem! valeu pelo grsec!
heheheh toma cuidado com o bixinho ai viu, se configurar errado a maquina nem boota mais