Ochrana systému patrí medzi základy administrácie a konfigurácie Linuxu. Čo už ide o Desktop pre domáce použitie s firewallom, alebo server, kde je ochrana systému oveľa viac žiadaná. Práve pre administrátorov ponúkam menšiu prezentáciu GRSecurity.


Je známe, že jazyk C svojím návrhom a nízkoúrovňovím prístupom dáva priestor pre vznik kritických bezpečnostných chýb vedúcich k spusteniu ľubovoľného kódu. Bežný užívateľ asi najviac počuje názov "Buffer overflow", ktorý je však len jeden z mnohých možných scenárov vedúcich k ovládnutiu počítača. Zabrániť hackerom pristúpiť na server a manipulovať v pamäti či získavať informácie, ktoré môžu neskôr byť dierou v systéme a nie len to má za úlohu patch menom GRSecurity. GRSecurity predstavuje sériu patchov, ktoré majú za úlohu ochrániť systém efektívnejšie a účinnejšie. K dispozícií je stabilná verzia 2.1.14-2.6.31.6. GRSecurity je uvoľnená pod GPL2. Stiahnuť si ju môžete z:

http://www.grsecurity.net/download.php

Aplikácia patchu GRSecurity

Nakopírujte si patch do zložky, v ktorom máte uložené a rozbalené zdrojové kódy jadra. Taktiež je potrebné mať nainštalovanú aplikáciu patch, či kompilátor a knižnice pre úspešnú kompiláciu jadra. Prepnite sa v konzole do zložky so zdrojovými kódmi a spustite príkaz na patch. Konečné čísla verzie qrsecurity nemusia byť zhodné s vašimi. Samozrejme

LinuxON: # patch -p1 < grsecurity-2.1.14-2.6.31.6-200911151724.patch


Úspešné patchnutie jadra znamená žiadnu hlášku error ani warning. Na koniec výstupu by ste mali dostať prompt. Teraz k samotnej kompilácií, či inej voľby.

Konfigurácia jadra

LinuxON: # make menuconfig

Tu už žiadna sranda. Akékoľvek manipulovanie s jadrom, jeho voľbami, bude mať za následok možnú nefunkčnosť systému a bude potrebné jadro prekompilovať, alebo systém nanovo nainštalovať. Preto sa odporúča tento postup len tým, ktorí už majú skúsenosti s kompiláciou, alebo tým, ktorí sa chcú niečo nové priučiť.



Nie je mojim plánom predstaviť Vám celú konfiguráciu, ktorú ponúka spomínaný patch, skôr len predstaviť Vám ho ako taký. Make menuconfig vygeneruje okno s konfiguráciou. Ovládanie je jednoduché, šípkami a klávesou Enter pre vstup, alebo orientáciu Exit a medzerník. Prejdite na časť Security options, v nej znovu vstup Enterom. Medzerníkom vyznačíme možnosť povoliť GRSecurity ochranu. Tu sa Vám ponúkajú rôzne možnosti a systémoví administrátori vedia, ktoré je pre nich to najvhodnejšie vzhľadom na riziká, ktorým je ich server vystavený. Nebudem vysvetľovať všetky možnosti, vyberiem len pár naozaj základných, viac sa dozviete samotným aplikovaním záplaty napríklad na skúšobný server alebo desktop.

V jadre

Upozorňujem, že sa nevenujem všetkému, čo grsecurity ponúka, ale prezentujem ho ako niečo, čo by si systémový administrátor mohol všimnúť pri stavbe serveru.

Role Based Acces Control
CONFIG_GRKERNSEC_ACL_HIDEKERN automatické schovanie procesov jadra (pri zapnutom ACL)

Filesystem protections

• Proc Restrictions

• Restrict /proc to user only - zamedzí prístup do /proc užívateľom
  Allow special groups - povolí prístup len určenej skupine, ktoré bude označená podľa GID
  chroot jail restrictions - obmedzenie operácií pri správe systému cez chroot

chroot jail restrictions ponúka niekoľko volieb, spomeniem dve z nich, a to

• • Deny Mount - zakáže možnosť využívať pripájanie diskov pod chroot
  • Deny 2 chroot - nedovolí využívať chroot na dvoch sessions v jeden moment (tty)

Executable protections

• Dmesg(8) restriction - zakáže užívateľom prístup k výpisu jadra, teda dmesg výstup

Medzi ostatné opatrenia záplaty GRSecurity môžeme zaradiť aj také možnosti, ako zablokovanie práv root-a na niektoré vlastnosti, zablokuje tie funkcie, ktoré nevyžadujú autentifikáciu, či naozaj mnoho iných. Po nastavení stačí uložiť konfiguráciu a naštartovať systém s lepšie zabezpečeným jadrom. Stále však je možné meniť konfigurácie jadra a GRSecurity.

Záver? Možno!

GRSecurity sa stáva čoraz známejším patchom a ponúka skutočne veľa. Ani ja neviem popísať všetky možnosti tohoto patchu, no snažím sa denne zistiť viac o tom, ako funguje. Keď budem mať istotu, že budem vedieť popísať všetky funkcie záplaty tak, aby boli prezentované podľa funkčnosti, spíšem aj druhú časť. Nateraz dovidenia pri inom článku.