V Hardened GNU/Linux nelze zavest zadny modul do kernelu, protoze je staticky zkompilovan.
Nelze spustit zadny proces, ktery bude monitorovat klavesy jinemu uzivateli, cist / meni pamet jinemu procesu, ukladat do jineho adresare, nez ~ (home) ci menit X session, nebo jinou konfiguraci. Dale se pravidelne pres cron spousti audit filesystemu a reportuji se zmeny + nove soubory. Rkhunter odhaluje rootkity a vypisuje podezrele procesy / soubory / adresare, etc. iptables ma defaultni politiku DROP a pouze povolene porty lze pouzit.
Krome IPS/IDS jsou navic v Hardened GNU/Linux take SElinux, RSBAC, PAX ci dalsi beznecnostni primesy. Kazdy program ma pravidla, ktera urcuji co smi. Defaultni politika je, ze nesmi nic. Pri prvnim spusteni programu je potreba nastavit privilegia, jako napr. otevreni socketu. Nastaveni probiha bud interaktivni formou, nebo na zaklade nejake globalni politiky, urcene rootem. V obou pripadech program bez nastavene bezpecnostni politiky nelze spustit jinak, nez pod dohledem roota, ktery musi zadat heslo, pro manipulaci s bezpecnostni politikou programu.
Veskere akce jsou logovany a monitorovany, log je preposilan na specialni server, ktery ma otevreny pouze syslogd port. Kazdy workstation je v DMZ za globalnim firewallem.
Keyloggery a rootkity jsou u odborne konfigurovaneho Hardened serveru bez jedine sance na uspech, leda ze by je tam sam root prinesl, pridelil jim prava pro pristup k potrebnym prostredkum a umoznil jim spoustet se pri bootu.
Potrefený widlák zakejhal. Je zajímavé, jak někteří widláčtí fanatici reagují na odhalení další díry v jejich ,,nejlepším a nejdokonalejším" (a hnusně předraženém) O. S. Každopádně díky za info. Takže mohu konstatovat, že internet banking je pod Linuxem bezpečnější.
V linuxu se nedá do jádra zavést modul který bude zachytávat události od klávesnice? Nedá se tam spustit ani uživatelský proces který bude někam ukládat stisky kláves v aktuálním terminálu nebo X session?
CEZ jede na win, KB jede na win, Skodovka jede na win ... Neprijde mi, ze by mely na ucte diru. Naopak velmi urcite ocenuji centralni spravu site pres GPO, neni problem sehnat lidi, kdyz nekdo z IT odejde (standard). Kdyz neco nejde, da se koupit support snadnou cestou ..... A co se tyce domacicuh uzivatelu, opravdu mi neprijde 1700 korun za win xp home moc - na to ze ten sw je bez problemu instalovatelny skoro vsude, neni problem na 99% sestavach..
Ono napsat pro Linux něco, co by dokázalo prolomit bariéru mezi běžným uživatelem, pod kterým se v Linuxu pracuje a rootem, který jediný je oprávněn měnit konfiguraci opravdu není legrace. A internet je zaneřáděn malwarem právě díky tomu, že spáchat fungující svinstvo pro widle dokáže kdejaký jouda. Ale na druhou stranu je to tak dobře. Minorita, která o widle nestojí, může klidně spát a těch 98% ostatních, kterým by Linux na to, co s PC dělají, bohatě stačil, ale kteří widle bůhvíproč mít musí, ať má, co chce. T. j. ať zaplatí nehoráznou cenu za děravý a nekvalitní O. S. a potom ať se nediví, že mají v bance místo konta díru.
"Potrefeny widlak" resi site a serverova reseni pro vetsi firmy (tisice zamestnancu). Kdo vi o cem je rec, tak mi da za pravdu, ze tam si nenasadi nikdo misto cisca (pripadne huawei apod) routrik na linuxu, misto win domeny nebude mit linux se sambou (ty prava a vykon jsou tam opravdu pro legraci) atd. Je to vsechno o maximalni homogenite a hlavne supportu - az lehne nekomu domaci linux (nebo ve firmicce o 7 lidech), tak je to legrace. Az lehne produkcni server pro tisice lidi a kde jde o miliony, tam je zapotrebi support. A ti "nadprumerni it lide co nemaji holku" jsou pak k nicemu - chyba se musi najit, diagnostikovat, popsat - proc byla a zamezit ji. Proste je zapotrebi mit se kam obratit a resit to na enterprise urovni (zavolat na gold support Dellu, resit problem primo s EMC, IBM (u FS treba s GPFS), otevrit TAC na ciscu ......); proto se na velka reseni nasazuji win, hp unix, solaris apod. Hlavne na me nechodte s nasazenim linuxu ve velkem na webove farmy atd, tam jde zas o to ze z N pocitacu kdyz jeden lehne, tak jde o prd - load balancer ho vynecha a IT ho v klidu vymeni, az bude cas - kazdy server kope za sebe... A ze je linux modla veskere bezpecnosti - tak jako Mac OS, kde pri vetsim rozsireni zacina vyplouvat na povrch jedna dira za druhou - a to je v zasade take Applem customizovany linux (nebo uz to linux neni, protoze ma sucurity diru ????). Jen pro detail, hromadu linuxu jsme take nasadili, nekam se hodi, ale proste stale to neni enterprise komplexni reseni a hlavne bez chyb a der. A masivni absenci viru, keyloggeru apod sra*cek na linuxu nevidim v jeho bezpecnosti, ale spis v nerozsireni mezi uzivateli. Kdo by psal neco tydny pro utok na tak male procento systemu mezi beznymi(domacimi apod) uzivateli....
Samozřejmě. Dokonce jsi schopen napsat X server proxy, která bude logovat veškerou komunikaci mezi aplikacemi a X serverem. Clověk ani nemusí být root.
A co takové odposlouchávání vzdáleného X serveru (pokud tedy nejed přes SSL)
Je to zcela jednoduché. Když záškodník píše záškodnický kód, tak chce, aby se rozšířil do co největšího počtu počítačů, tedy: 1) píše kód pro systém, který je na 95% počítačů, 2) bude se zcela jistě vyhýbat systému, na kterém pracuje (tedy z větší části kompiluje a googluje návody, aby něco rozchodili) nadprůměrně zdatní IT pihovatí kluci, co nemůžou najít holku :)))
Že jsou Widle vlastně řešeto, kde má velkou šanci na úspěch jakékoli svinstvo, už je chronicky známo. Ale zajímalo by mne, jak to funguje ve dvou případech: 1/ mám v počítači pouze Linux, 2/ mám dualboot, widle jsou zbaveny možnosti vstupu na net (chybí IE, Outlook Express, WIn media player,ovladače pro internetové připojení, kancelář je Open Office) a net se leze jen přes Linux.
Mate velke how-know :-)
Ve vsech zminovanych spolecnostech jedou mission critical aplikace na Unixech - napr. KB Solaris a zkousi AIX ...
Jiste, pro spravu desktopu se pouzivaji Win, ale ma to cenu komentovat?
BTW: Kde dnes sezenete Win XP Home? :-)
ČLÁNKY DO MAILU