linux hardening
Попытался уговорить ребят которые делают Qubes запилить возможность запускать для disposable vm hardened вариант в котором невозможно было запросто получить рута.
Безуспешно - они делают ставку на Xen и то, что единственная по их информации уязвимость позволявшая атаковать Dom0 была обнаружена в 8м году их же командой.
Вот ответ: http://git.qubes-os.org/?p=joanna/core-agent-linux.git;a=blob;f=misc/qubes.sudoers;h=8087a90a8c0a6f81d4fe45905a6aa9462de2a7ce;hb=HEAD
У меня достаточно простой аргумент - полно народу который может запустить метасплойт и готовый эксплойт, но значительно меньше тех, кто может адаптировать эксплойт. Плюс к тому, если вдруг они не нашли все дырки и реально существует дырка в xen позволяющая атаковать Dom0, то скорее всего она требует рута.
А на данный момент почти во всех виртуалках, прослойка user->root игнорируется.
Опять же эскалация привелегий это всегда цепочка. Обломаешь звено посередине - обломается вся атака (с учётом что disposable VM создаётся каждый раз с нуля и в ней невозможно закрепиться).
В общем-то не проблема запилить себе собтсвенный образ для disposable VM. Но хочется это сделать так, чтобы и другим было полезно.
То есть встаёт вопрос о том, чтобы вытягивать из доверенного источника набор патчей (grsecurity + может ещё что нибудь) + исходники ванильного ядра, конфиги для сборки ядра и скритпты для модификации федоры (ну или вообще любого другого линуха), после чего это всё собирается у enduser'а на машине и генерится образ который потом как опция идёт в меню для запуска disposable VM..
Хочется сделать экземпляр линуха, в котором от рута работают только white listed процессы, а всё остальное просто нахрен убивается самим же ядром. Вопрос к общественности - может кто уже решал аналогичную задачу и есть готовый конструктор который можно чуть допилить?
Заодно ещё вопрос - есть ли каой ещё способ кроме rm / chmod -x к избавлению от системных бинарников? ?-)
Безуспешно - они делают ставку на Xen и то, что единственная по их информации уязвимость позволявшая атаковать Dom0 была обнаружена в 8м году их же командой.
Вот ответ: http://git.qubes-os.org/?p=joanna/core-agent-linux.git;a=blob;f=misc/qubes.sudoers;h=8087a90a8c0a6f81d4fe45905a6aa9462de2a7ce;hb=HEAD
У меня достаточно простой аргумент - полно народу который может запустить метасплойт и готовый эксплойт, но значительно меньше тех, кто может адаптировать эксплойт. Плюс к тому, если вдруг они не нашли все дырки и реально существует дырка в xen позволяющая атаковать Dom0, то скорее всего она требует рута.
А на данный момент почти во всех виртуалках, прослойка user->root игнорируется.
Опять же эскалация привелегий это всегда цепочка. Обломаешь звено посередине - обломается вся атака (с учётом что disposable VM создаётся каждый раз с нуля и в ней невозможно закрепиться).
В общем-то не проблема запилить себе собтсвенный образ для disposable VM. Но хочется это сделать так, чтобы и другим было полезно.
То есть встаёт вопрос о том, чтобы вытягивать из доверенного источника набор патчей (grsecurity + может ещё что нибудь) + исходники ванильного ядра, конфиги для сборки ядра и скритпты для модификации федоры (ну или вообще любого другого линуха), после чего это всё собирается у enduser'а на машине и генерится образ который потом как опция идёт в меню для запуска disposable VM..
Хочется сделать экземпляр линуха, в котором от рута работают только white listed процессы, а всё остальное просто нахрен убивается самим же ядром. Вопрос к общественности - может кто уже решал аналогичную задачу и есть готовый конструктор который можно чуть допилить?
Заодно ещё вопрос - есть ли каой ещё способ кроме rm / chmod -x к избавлению от системных бинарников? ?-)