[FUG-BR] Checagem de binarios
Nilson Debatin
nilson em forge.com.br
Segunda Setembro 3 10:24:54 BRT 2007
On Sun, 2007-09-02 at 19:10 -0300, Klaus Schneider wrote:
> Boa noite a todos da lista... depois de alguns anos voltei pra lista FUG,
> lista da qual participava desde que era FUGSP-BR =)
>
> Bem, e vou (re)começar com uma pergunta:
>
> Alguém ai sabe como proteger o um sistema de que alheios executem arquivos
> binários que não sejam compilados localmente possam ser executados? Existem
> algumas soluções, uma delas é o mac_chkexec, mas parece que o projeto não
> esta andando, é preciso fazer alguns paches não oficiais e foi desenvolvido
> em cima da versão 5.x, outra é uma solução desenvolvida no NetBSD, o veriexec,
> e pelo que me parece ainda não foi portada para o FreeBSD...
> Alguns pontos importantes:
> A) O interesse nisso, é que caso alguém consiga acesso a shell do sistema ou
> um modo de executar comandos, o hacker não consiga colocar binários e
> executá-los.
>
> B) Montar uma partição noexec não me parece uma boa saída, já que precisam
> ter alguns binários nos diretórios dos usuários,
>
> C) Usar um IDS como tripewire ou AIDA ajuda, mas não impede que o código
> seja upado para o servidor e posteriormente executado, e infelizmente não
> podemos ficar 24hs na frente de um computador monitorando logs.
>
Eu penso que a melhor opcao pra vc é o noexec na /home mesmo, sendo que
esses executaveis que os usuarios precisam nos seus homes, vc pode
colocar dentro um /usr/homeexecutaveis e fazer links simbolicos nos
homes deles. Assim continuaria tendo as mesmas funcionalidades e se
alguem upar algo pode até conseguir compilar mas nao executar.
Cuide pra que a /tmp e /var também tenham a flag noexec.
[]s
Nilson
Mais detalhes sobre a lista de discussão freebsd