Linux Security

[AndyBoy]

Добрый день!

Не могли бы вы дать ссылки на ресурсы о безопасности в Линуксе? Очень нужно, тема для реферата в университете То есть возможные опасности в Линуксе ( в Винде - вирусы, черви, хакеры и т.д., а какие альтернативы в Линуксе? И как с ними бороться - файерволы, Антивирусы? На русском \ английском языках. Буду очень благодарен любой помощи

П.С. Знаю что есть гугл, но просто я не знаю вообще об опасностях в Линуксе даже не знаю по каким критерям искать

[IMB]

Знаю что есть гугл, но просто я не знаю вообще об опасностях в Линуксе даже не знаю по каким критерям искать

О студент пошел! А запрос "в лоб" для начала http://www.google.com/search?q=linux+security что мешало провести? Ну дальше конкретизируете задачу.

[GazDek]

Почти те-же опасности: уязвимости программного обеспечения, скрипты, неправильная настройка, социальная инженерия...

[AndyBoy]

Спасиб

[t.t]

Книжку могу посоветовать: Михаил Фленов "Linux глазами хакера".
Поверхностно и кратко, но направление мозгам даёт.

Я бы посоветовал не читать этого ни в коем случае. Мы здесь с Фленовым общались, кому интересно -- можете поискать, пересказывать нет желания.

[AndyBoy]

Что же в ней такого страшного? ))

[GazDek]

ммм. Лучше действительно поищи в Google, Yahoo, Yandex.
по словам Линукс, уязвимости, опасности, защита, безопасность, Linux, security....
Что нибудь да найдешь. Инет большой.

[Voice]

http://www.google.ru/search?hl=ru&q=Li...mp;aq=f&oq=

Первый же линк на опеннет стоит внимания точно.

[shevan]

Провожу как раз дома мероприятие Linux Home Security

На данном этапе столкнулся с 2-мя вопросами:
1. inetd думаю отключить
в /etc/inetd.conf работает только демон identd (отправляет имя пользователя по порту 113, в ответ на запрос сервера)
И мне это между прочим не очень нравится

Что я не предвижу?
2. Хочу переразбить диск на /home, /var, /tmp, /usr/local (для установки программ не с оф. репозитария)
Почему новичкам советуют устанавливать все в один раздел?.. Поставил бы тогда как надо, сейчас бы не смущало ничего. Хорошо хоть у /home отдельный раздел

Вопрос: Если есть возможность без переустановки системы. грохать не хочу (не буду, не советую).

[shevan]

Окай.
1. inetd убил. посмотрим че там будет

2. что насчет изменения размера файловой системы, создания разделов, копирование каталога и прописывания его в fstab? .. примерно так

[Davinel]

Вопрос: Если есть возможность без переустановки системы. грохать не хочу (не буду, не советую).

берете лайвсд любой, создаете нужные файловые системы, копируете на них соответствующие файлы, удаляете эти файлы с основной ФС, монтируете доп ФС куда надо.

[shevan]

берете лайвсд любой, создаете нужные файловые системы, копируете на них соответствующие файлы, удаляете эти файлы с основной ФС, монтируете доп ФС куда надо.

Теоретически это просто, а на практике чуть сложнее.
Мне нужно забрать место у существующей инсталляции + плюс после переноса каталога, должна быть какая-то обоснованная уверенность в работоспособности всех приложений.
Чтобы не продолжать оффтоп, я сам справлюсь с этой задачей

Возвращаясь к теме, меня эта операция интересует именно для повышения безопасности.
Хочу просто услышать мнение, какой каталог куда с какими правами отделить, с какими опциями монтировать

P.S. Не доверяю никому. Даже себе. На днях чуть не удалил папку с огромной коллекцией музыки, лежала рядом с временным файлом

[Bluetooth]

Теоретически это просто, а на практике чуть сложнее.

Ну, если есть носитель, на который можно все забэкапить, то проблем лично я не вижу. Без носителя, конечно, намного труднее :)

[Davinel]

берете лайвсд любой, создаете нужные файловые системы, копируете на них соответствующие файлы, удаляете эти файлы с основной ФС, монтируете доп ФС куда надо.

Теоретически это просто, а на практике чуть сложнее.
Мне нужно забрать место у существующей инсталляции + плюс после переноса каталога, должна быть какая-то обоснованная уверенность в работоспособности всех приложений.

выдержка из gentoo wiki (http://www.gentoo-wiki.info/HOWTO_Move_Gentoo_Installation_to_new_hard_disk)

Код:

Now when you have your new disk partitioned correctly you can boot from the Gentoo Minimal CD and copy the data from the old Hard Disk. Make two directories to mount the partitions on them : mkdir /olddisk mkdir /newdisk Now mount the partitions one by one and always check with : df -h what have you mounted. Execute : cp -ax /olddisk/* /newdisk/ for every partition you have. BE CAREFUL =) or ( quicker ) use tar -cpf - /olddisk/* | tar -C /newdisk -xf - Edit: The above tar did not work for me. What worked for me is cd /olddisk/; tar -cpf - --numeric-owner . | (cd /newdisk; tar -xpf -) Edit: Or, just the same, from working old system cd /newdisk tar -cpf - -C /olddisk . | tar -xpf -

не совсем то, но копируя с такими опциями работать оно в последствии будет гарантированно.
ну а место.. просто придется делать всё это дольше. по кусочкам(не может же у вас быть забит / на 100%?).

Возвращаясь к теме, меня эта операция интересует именно для повышения безопасности.
Хочу просто услышать мнение, какой каталог куда с какими правами отделить, с какими опциями монтировать

Тут зависит от целей.. Есть много разных извращений, например очистка свопа при выключении компьютера(а то ж сопрут, точно сопрут!) или выделение отдельного пользователя для всего что работает с сетью и ограничение ему доступа по максимуму(будет неудобно)
Вообще на мой взгляд основной плюс разбивания ФС на кусочки - удобство и возможность каждому кусочку дать свою ФС, по нуждам. К секьюрности тут отношение очень опосредованное, все равно ведь на / без прав рута ничего не сделаешь, а с правами - разбивай не разбивай на кусочки - не поможет.
Можно монтировать всё, кроме var и tmp в ридонли(например запихать всё в squashfs + aufs), но тут опять же разбиение влияет косвенно.
Можно еще закриптовать всё вусмерть.

P.S. Не доверяю никому. Даже себе. На днях чуть не удалил папку с огромной коллекцией музыки, лежала рядом с временным файлом

От этого имхо ничего не поможет. Можно конечно ставить везде только чтение, но вы ведь если захотите удалить - все равно удалите ))

[Ali1]

shevan
Пока не разбили диск, обратите внимание на LVM.

ЗЫ Если кроме безопасности Вам ничто неинтересно,то PaX SeLinux и в итоге hardened gentoo или debian.

[shevan]

Ну, если есть носитель, на который можно все забэкапить, то проблем лично я не вижу. Без носителя, конечно, намного труднее

Вот за это приходится любить трудности)

выдержка из gentoo wiki (http://www.gentoo-wiki.info/HOWTO_Move_Gentoo_Installation_to_new_hard_disk)

Процесс в принципе понятен. Благо в сети есть куча инструкций и для Debian

Тут зависит от целей..

Я собственно хочу /usr/local на другой раздел, что обезопасит от потери установленных лично мною программ при переустановке системы.
/tmp /var в noexec

Пока не разбили диск, обратите внимание на LVM.

спасибо за совет, обязательно обращу

[shevan]

Вот что я решил:
/boot - 50 Mb, ext2, ro
/swap - 500 Mb
/ - 1 Gb (остается ext3)
/tmp - 1 Gb, ReiserFS, nodev, nosuid, noexec
/var - 1.5-2 Gb, ReiseFS, noexec, noatime, nodev
/usr - ~10 Gb, ReiserFS,
/home - оставшееся место , тоже ext3 остается, nodev, noexec

Уже 550 мб отвоевал в начале диска

[Bluetooth]

Вот что я решил:
/boot - 50 Mb, ext2, ro
/swap - 500 Mb
/ - 1 Gb (остается ext3)
/tmp - 1 Gb, ReiserFS, nodev, nosuid, noexec
/var - 1.5-2 Gb, ReiseFS, noexec, noatime, nodev
/usr - ~10 Gb, ReiserFS,
/home - оставшееся место , тоже ext3 остается, nodev, noexec

Уже 550 мб отвоевал в начале диска

А зачем бут отдельно выносить? раньше оно понятно было - чтоб загрузчик был в первых 1024 цилиндрах, а сейчас какой в этом резон?
Кстати, а куда целый гиг на /tmp? Я бы дал не больше 512.
А почему noatime не везде? Я бы везде поставил.

Я собственно хочу /usr/local на другой раздел, что обезопасит от потери установленных лично мною программ при переустановке системы.

Честно говоря, я бы в этом случае заюзал бы банальный бэкап

[shevan]

А зачем бут отдельно выносить? раньше оно понятно было - чтоб загрузчик был в первых 1024 цилиндрах, а сейчас какой в этом резон?

чтобы сделать /boot read-only

Кстати, а куда целый гиг на /tmp? Я бы дал не больше 512.

Пускай будет с запасом, мне не жалко

А почему noatime не везде? Я бы везде поставил.

Я еще особо не вникнул. еся что потом поставлю

[Ali1]

А зачем бут отдельно выносить? раньше оно понятно было - чтоб загрузчик был в первых 1024 цилиндрах, а сейчас какой в этом резон?

Не всякий grub умеет грузить с ext4, ufs2, zfs. Всякий не умеет с LVM, btrfs.

Честно говоря, я бы в этом случае заюзал бы банальный бэкап

Бэкап само-собой. А вот восстанавливать из него отдельный раздел проще.

[shevan]

Честно говоря, я бы в этом случае заюзал бы банальный бэкап

Бэкап само-собой. А вот восстанавливать из него отдельный раздел проще.

Не. Я парень рисковый, буду без бэкапа.
К тому же мне его некуда, на болванки что ли писать

Я все равно освобожу корневую / (снесу kde, словари, голоса), чтобы легче было передвигать. /home скорее всего трогать даже не буду

[Bluetooth]

К тому же мне его некуда, на болванки что ли писать

А почему нет? Одной болванки, я думаю, хватит.

Бэкап само-собой. А вот восстанавливать из него отдельный раздел проще.

По мне - вообще без разницы

[Ленивая Бестолочь]

бут вообще можно не монтировать.
он в подмонтированном состоянии нужен только если собрались в грабе поковыряться или ядро обновить.

Не. Я парень рисковый, буду без бэкапа.

вам советовали глядеть на lvm. так вот - еще поглядите на такую вещь, как lvm snapshot.
ох... если в кратце:
живет у вас lvm-раздел: /dev/vg/root
делаете снепшот: lvcreate -s -nroot_snap -L5G /dev/vg/root
получается еще один раздел: /dev/vg/root_snap

теперь что имеет:
раздел /dev/vg/root - это ваш рут, как был так и остался.
раздел /dev/vg/root_snap - это "копия" вашего рута на момент когда его сделали. ее можно всегда подмонтировать и вытащить оттуда любой файлик каким он был на момент деланья снепшота, даже после того, как его поменяли.

очевидные бонус от этого:
сломали что-то в безумных экспериментах - монтируем снешот и восстанавливаем.
надо проверить ФС, но боитесь экспериментировать с fschk - снимаем снепшот и проверяем сначала снепшот. смотрим результат, если все ок - проверяем основную.
.....

аналогичный функионал есть у advfs, zfs и btrfs - может про них читали.

[shevan]

вам советовали глядеть на lvm. так вот - еще поглядите на такую вещь, как lvm snapshot.
ох... если в кратце:
живет у вас lvm-раздел: /dev/vg/root
делаете снепшот: lvcreate -s -nroot_snap -L5G /dev/vg/root
получается еще один раздел: /dev/vg/root_snap

Да не, мне это не нужно. И еще это место лишнее занимает
Спасибо что указали на такую возможность. может на будущее пригодится

Вы мне лучше вот что подскажите. Debian загружается с загрузчика Ubuntu (в его разделе)
Когда я перенесу /boot в начале диска, скопировав его с Debian, мне просто нужно будет указать раздел загрузочным, или заново ставить загрузчик в этот раздел?

[shevan]

Когда я перенесу /boot в начале диска, скопировав его с Debian, мне просто нужно будет указать раздел загрузочным, или заново ставить загрузчик в этот раздел?

Debian не хочет ставить свой загрузчик в /boot. Может ли быть из-за того что на другом разделе уже установлен один (на 2-ом разделе c Ubuntu)?
Я хочу установить Debian-а Grub. Мне надо удалить существующий?

Еще вот такое хулиганство.
Ubuntu видит мой IDE как sda, а Debian обращается к hda (кто дура?)
Второе что мне не очень нравится в загрузчике Ubuntu, то что вместо привычных root=/dev/bla-bla , задает запись UUID

Теперь ближе к теме:
/usr/local также отделил от /usr на отдельную партицию. На всякий случай. В преимущества не вник

[shevan]

Оффтоп, зато актуально. Чтоб руки не чесались изменять систему.

Как я ставлю загрузчик:
1. Захожу с образа netinstall, выбираю режим восстановления
2. На корневом разделе Debian (hda5) запускаю shell
3. монтирую /boot (mount /dev/hda1 /boot)
4. монтирую /usr (mount /dev/hda8 /usr)
5. /usr/sbin/grub-install --root-directory=/boot /dev/hda
grub-probe: error: Cannot open `/boot/grub/device.map'
/usr/sbin/grub-install: line 374: [: =: ] unary operation expected

6. grub
Probing devicesto guess bios drives. This may take a long time.
Error opening terminal: bterm

Замечательно

[Bluetooth]

5. /usr/sbin/grub-install --root-directory=/boot /dev/hda
grub-probe: error: Cannot open `/boot/grub/device.map'
/usr/sbin/grub-install: line 374: [: =: ] unary operation expected

Думаю, что надо вот так:
/usr/sbin/grub-install --root-directory=/boot /dev/hda1

Ubuntu видит мой IDE как sda, а Debian обращается к hda (кто дура?)
Второе что мне не очень нравится в загрузчике Ubuntu, то что вместо привычных root=/dev/bla-bla , задает запись UUID

Никто не дура, просто в дебиане, по-видимому, до сих пор не юзают libata.
А монтирование по uuid имеет свои плюсы

[Davinel]

запись по уид - некрасяво. всегда использовал запись по лэйбл, куда удобнее, нагляднее и вообще.

а /dev/bla-bla-bla это ппц, чуть что то передвинешь - не грузицо. я например если бутаюсь со вставленной флэшкой у меня порядковые номера винчестверов меняются(видимо от того, что биос считает её загрузочным устройством и ставит первой по приоритету, хз). Причем ладно еще, если используешь граб, а если лило ? Я например долго его юзал из за возможности сделать lilo -R win && reboot

[Bluetooth]

а /dev/bla-bla-bla это ппц, чуть что то передвинешь - не грузицо. я например если бутаюсь со вставленной флэшкой у меня порядковые номера винчестверов меняются(видимо от того, что биос считает её загрузочным устройством и ставит первой по приоритету, хз)

Чтобы не было в мире зла, надо взять все флешки, да и сжечь :)

[shevan]

Не получилось поставить загрузчик на отдельную партицию /boot.
Пришлось оставить каталог в корневом разделе

Дополнительно вынес /usr/local .

С разделами разобрался.
За что дальше приняться: Linux PAM, Network (firewall, services..), ?