Tworzenie bezpiecznego środowiska kont shellowych



Podobne dokumenty
Bezpieczeństwo systemu GNU/Linux - podstawy. Robert Jaroszuk <zim@iq.pl>

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

SELinux. SELinux Security Enhanced Linux. czyli. Linux o podwyższonym bezpieczeństwie

UNIX: architektura i implementacja mechanizmów bezpieczeństwa. Wojciech A. Koszek dunstan@freebsd.czest.pl Krajowy Fundusz na Rzecz Dzieci

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

TEMAT SZKOLENIA: Organizator szkolenia: Compendium Centrum Edukacyjne Sp. z o.o. posiadająca status Novell Training Services Partner Platinum.

Bezpieczny Linux przegląd projektów

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Administrowanie systemami informatycznymi Kod przedmiotu

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

Linux vs rootkits. - Adam 'pi3' Zabrocki

Administrator systemu Linux - kurs weekendowy

Ćwiczenie Nr 7 Instalacja oraz konfiguracja wskazanego systemu operacyjnego

Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia

Podstawy zabezpieczania serwera. Marcin Bieńkowski

Portal Security - ModSec Enterprise

KARTA KURSU. Administracja i integracja systemów operacyjnych

Administrator systemu Linux - kurs weekendowy

Nazwa przedmiotu: ADMINISTRACJA SIECIOWYMI SYSTEMAMI OPERACYJNYMI

Bezpieczeństwo systemów informatycznych

Zapytanie ofertowe. Dedykowana płyta serwerowa, dwuprocesorowa, wyprodukowana i zaprojektowana przez producenta serwera,

Suma: B) Oprogramowanie do wykonywania kopii bezpieczeństwa (1 licencja) Cena (zł/szt.) Cena łącznie. Suma:

Spis treści. O autorze 9. O recenzentach 10. Przedmowa 13. Rozdział 1. Oto Linux Mint 17_

Firma Informatyczna ASDER. Prezentacja. Serwer danych lokalnych. Przemysław Kroczak ASDER

Struktura systemu operacyjnego. Opracował: mgr Marek Kwiatkowski

Paweł Skrobanek. C-3, pok pawel.skrobanek.staff.iiar.pwr.wroc.pl

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Instalowanie i konfigurowanie Windows Server 2012 R2

Warstwy systemu Windows 2000

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Przełączanie i Trasowanie w Sieciach Komputerowych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Sprawozdanie z zadania 2. Artur Angiel, śr. 12:15

str. 1 Informacja o zmianie treści specyfikacji istotnych warunków zamówienia Oświęcim, dnia r.

Jadro monolityczne vs. mikrojadro. Mikrojadro. Olga Kowalczuk. 9 grudnia 2008

Linux -- u mnie działa!

Od uczestników szkolenia wymagana jest umiejętność programowania w języku C oraz podstawowa znajomość obsługi systemu Linux.

Konwersja maszyny fizycznej na wirtualną.

Działanie systemu operacyjnego

Szkolenie autoryzowane. MS Instalacja i konfiguracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia. Język Java. Bezpieczeństwo języka Java

CENTRALNA KOMISJA EGZAMINACYJNA

U M L. System operacyjny Linux zagnieżdżony w zewnętrznym systemie operacyjnym (Linux)

FORMA SZKOLENIA MATERIAŁY SZKOLENIOWE CENA CZAS TRWANIA

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

(Pluggable Authentication Modules). Wyjaśnienie technologii.

Wirtualizacja w praktyce.

SELinux podstawa bezpiecznej infrastruktury IT. 30 październik 2008r. Grupa Emerge

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

IdyllaOS. Prosty, alternatywny system operacyjny. Autor: Grzegorz Gliński. Kontakt:

Zapory sieciowe i techniki filtrowania danych

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Szczegółowy zakres szkoleń dotyczy części nr II zamówienia

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Sieciowa instalacja Sekafi 3 SQL

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

SYSTEMY OPERACYJNE. kik.pcz.czest.pl/so. (C) KIK PCz Materiały pomocnicze 1 PROWADZI: PODSTAWOWA LITERATURA: ZAJĘCIA: STRONA

System wspomagania zarządzania wirtualizacją

Windows 10 do Twoich usług!

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

4. Podstawowa konfiguracja

Projekt TrustedBSD jako klucz do bezpieczeństwa systemu FreeBSD

Q E M U.

Szkolenie obejmuje zagadnienia związane z tworzeniem i zarządzaniem bazą danych Oracle, jej zasobami i dostępem do danych.

Instalacja Ubuntu 12.12

"Klasyczna" struktura systemu operacyjnego:

11. Autoryzacja użytkowników

Działanie systemu operacyjnego

Spis treści. Wstęp Rozdział 1. Zasady pracy z komputerem Rozdział 2. Budowa komputera... 20

Ćwiczenie Nr 6 Przegląd pozostałych najważniejszych mechanizmów systemu operacyjnego Windows

Usługa wsparcia technicznego związana ze zmianą stosu technologicznego Oprogramowania Syriusz Std.

Zajęcia specjalizacyjne Administrowanie sieciowymi systemami operacyjnymi (360 godz.)

Program szkolenia: Bezpieczny kod - podstawy

Materiały wprowadzające. dr inż. Arkadiusz Chrobot

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

bezpieczeństwo na wszystkich poziomach

PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

Firma Informatyczna ASDER. Prezentacja. Centrum zarządzania. Przemysław Kroczak ASDER

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Pożądane lektury sposobów na bezpieczeństwo sieci.

Podział obowiązków, a kontrola dostępu centralne zarządzanie użytkownikami i ich uprawnieniami.

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Wstęp 5 Rozdział 1. SUSE od ręki 13

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną)

Projektowani Systemów Inf.

AKADEMICKI SYSTEM ARCHIWIZACJI PRAC - charakterystyka

Księgarnia PWN: Emmett Dulaney - Novell Certified Linux Professional (NCLP)

Windows Serwer 2008 R2. Moduł 8. Mechanizmy kopii zapasowych

Spis treści Podziękowania Wprowadzenie 1 Instalacja, migracja lub uaktualnienie do systemu Windows 7 Lekcja 1: Instalacja systemu Windows 7

Instalacja Systemu Linux na maszynie writualnej

Dział Dopuszczający Dostateczny Dobry Bardzo dobry Celujący

VMware vsphere 5.5: Install, Configure, Manage

Działanie systemu operacyjnego

Transkrypt:

Tworzenie bezpiecznego środowiska kont shellowych Robert Jaroszuk <zim@iq.pl> Where you see a feature, I see a flaw... TLUG Uniwersytet Gdański, 8 września 2007

Spis Treści 1 Rozpoznanie zagrożeń Zapobieganie - prewencja Ochrona systemu SSH w chroot Wirtualne maszyny Rejestrowanie działań użytkowników Rozbudowa jądra o funkcje podnoszące poziom bezpieczeństwa

Rozpoznanie zagrożeń 2 Chcemy się bronić przed: Przejęciem kontroli nad kontem użytkownika, Uruchamianiem nieporządanych usług na kontach użytkowników, Nadużyciami ze strony użytkowników, Nadużyciami ze strony użytkowników, ale skierowanymi na inne systemy, Nieodpowiedzialnością naszych użytkowników

Zapobieganie - prewencja 3 Dlatego musimy zapewnić: Poufność Integralność Dostępność Aby to zrobić: Tworzymy odpowiednie reguły i procedury dotyczące przetwarzania informacji POLITYKĘ BEZPIECZEŃSTWA (oczywiście dla jednego serwera nikt tego nie robi, jednak w większych projektach jest to wskazane)

Zapobieganie - prewencja 4 Aby nasza (formalna czy też nie) polityka bezpieczeństwa funkcjonowała poprawnie, wymagane są pewne narzędzia: Dla weryfikacji integralności Tripwire / bsign / AIDE Dla poufności SSH / SSL / GPG / etc. Dla uwierzytelniania PAM / polityka haseł, Czy to wszystko co można zrobić? Czy w pełni ufamy powyższym rozwiązaniom? Czy jesteśmy pewni że w 100% zabezpieczą nas przed atakiem?

Zapobieganie - prewencja 5 Co więcej można zrobić? Izolowanie użytkowników w wirtualnym środowisku (chroot), Izolowanie użytkowników w wirtualnym systemie (VMware / Xen) Logowanie na zdalne maszyny w bezpiecznej sieci, Rejestrowanie działań użytkowników (logowanie exec*(), logowanie poleceń wpisanych w powłoce) Rozszerzenie zabezpieczeń jądra systemu (grsec / selinux)

Ochrona systemu SSH chroot 6

Ochrona systemu SSH chroot 7 Zalety: - prostota rozwiązania - dużo informacji (tutoriali) i narzędzi dostępnych w sieci Wady: - Ograniczamy jedynie dostęp do głównego systemu, a nie do zasobów systemowych (moc CPU, pamięć) Informacje na temat chroot dla SSH: http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.en.html http://chrootssh.sourceforge.net/ http://paradigma.pt/~gngs/sshjail

Wirtualne maszyny 8 Zalety: - izolujemy wirtualny system od głównego systemu - możemy ograniczać zasoby (CPU / RAM / dysk) - towrzymy kompletne wirtualne serwery Wady: - dużo więcej pracy niż w przypadku chroot

Wirtualne maszyny 9

Wirtualne maszyny 10

Rejestrowanie działań użytkowników 11 Rejestrowanie wywołań funkcji exec*(): - Snoopy - http://sourceforge.net/projects/snoopylogger/ - LEL - http://zim.iq.pl/code/lel.tgz Modifkacja źródeł powłoki: - http://zim.iq.pl/code/bash-3.1-logexec.tgz Rejestrowanie zdarzeń systemowych na zdalnej maszynie - syslogd / syslog-ng

Rozbudowa jądra o funkcje podnoszące poziom bezpieczeństwa 12 Dlaczego musimy chronić kernel? Co istotnego znajduje się w jądrze, że wymaga dodatkowej ochrony? Co musimy chronić? Pamięć ICP, komunikacja sieciowa, RAM, reguły firewall Zasoby dyskowe pliki, bootloadery, partycje Sprzęt urządzenia (ioctl, surowy dostęp), EPROMy, konfigurowalne podzespoły serwera JAK chronić? Zapytania (polecenia) muszą przechodzić przez kernel Syscalle, sysctl i sterowniki urządzeń powinny być miejscem w którym zapytania i polecenia są weryfikowane pod kątem bezpieczeństwa.

Rozbudowa jądra o funkcje podnoszące poziom bezpieczeństwa 13 Openwall: Stworzony przez Solar Designera (Alexander Peslyak) w 1998 roku (jądro 2.0). - uniemożliwia wykonanie kodu na stosie procesu (ochrona przed niektórymi exploitami). - randomizuje adresy funkcji bibliotecznych (uniemożliwia return-into-libc). - ochrona /proc, ochrona deskryptorów 0 1 2, ochrona linków i FIFO w /tmp PaX i grsecurity: - PaX rozwijany od roku 2000 do 2005 przez zespół PaX. Od 2005 przez Bradleya Spenglera (Spender), autora grsec. - ochrona stosu oraz randomizacja pamięci. - zaawansowana ochrona chroot(); - ochrona /dev/mem, /dev/kmem, /dev/port - /proc/pid/ipaddr, - bogate rejestrowanie zdarzeń w systemie - UDEREF / MEMORY_SANTINIZE - RBAC

Rozbudowa jądra o funkcje podnoszące poziom bezpieczeństwa 14 LIDS (Linux Intrusion Detection System): - umożliwia nadawanie praw dostępu do zasobów systemowych (pliki, katalogi, funkcje sieciowe itp.) - SELinux (Security Enhanced Linux): - stworzony w roku 2000 przez NSA. Pierwotnie dodatek do jądra, ale od wersji 2.5 został z nim zintegrowany. - oparty o techniki FLASK każdy podmiot (proces) obiekt (plik, urządzenie) w systemie ma przypisant kontekst (zbiór atrybutów bezpieczeństwa) i nie może wykraczać poza ten zbiór. - RSBAC (Rule Set Base Access Control) - bardzo rozbudowany projekt, stabilna wersja istnieje od 2000r. - informacje o użytkownikach (passwd / shadow) trzymane są w jądrze a nie w plikach (wymaga to wymiany modułów PAM i części bibliotek systemowych). - nakłada ograniczenia na funkcję setuid() - wymaga autoryzacji - listy kontroli dostępu oraz role - ochrona pamięci procesów (PaX), ochrona chroot(), ochrona zasobów, ochrona /proc oraz wiele innych.

Koniec 15 Dziękuję za uwagę. Pytania? Prezentacja będzie dostępna pod adresem: http://linux.gda.pl/spotkania

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres