www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Мониторинг  

Какая задача мониторинга отнимает больше всего времени?

Многие системные администраторы тратят до 30% рабочего времени на рутину мониторинга. Но

 Читать далее...

Рынок труда  

Какие навыки вы хотите развивать в 2026 году?

Рынок труда меняется быстро. Еще вчера его называли рынком соискателей, а сегодня

 Читать далее...

Книжная полка  

От сисадмина до архитектора: книги, которые прокачают ваш стек в этом году

Новинки от издательства «БХВ» отличаются тем, что в них часто делается упор

 Читать далее...

Автоматизация  

Автоматизируем рутину: что реально работает?

Многие сисадмины автоматизировали что-то за последний год. Но далеко не все остались

 Читать далее...

Защита ИТ-системы  

Практическая защита: что вы внедрили и что мешает?

Какие меры безопасности реально внедрить в реальных условиях – и что не

 Читать далее...

Вопрос-ответ  

Обеспечиваем безопасную эксплуатацию базы данных

Что для вас чаще всего является причиной инцидентов с БД? Как вы

 Читать далее...

Книжная полка  

От «безопасного» Linux до Контролируемого взлома

Издательство «БХВ» продолжает радовать читателей интересными новинками и в наступившем году. Вы можете

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 13777
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 13890
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 11354
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 6039
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 6886
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 6781
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 9596
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 6206
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 6420
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 10588
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 14107
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 15496
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 17935
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 12773
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 10778
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 8989
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 7506
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 6312
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 5926
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 6254
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Крепкий орешек

Архив номеров / 2004 / Выпуск №9 (22) / Крепкий орешек

Рубрика: Администрирование /  Продукты и решения

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Крепкий орешек

Really incredible

“... highly-secure but usable...”

Интернет сегодня не является дружеcтвенной средой и, кроме посетителей, желающих ознакомиться с ресурсом, к вам наверняка наведываются и те, кто считает своим долгом проверить узел на защищенность. В журнале уже много писалось о том, как собрать защищенную систему, но на самостоятельную сборку таких систем подчас уходит большое количество времени, особенно при использовании нестандартных приложений, параметры к которым приходится подбирать экспериментальным путем. Сегодня мы познакомимся с дистрибутивом, разработчики которого пытаются решить две противоречивые задачи: сделать максимально защищенную, но в то же время простую (я не сказал легкую) в использовании систему.

Проект Adamantix (http://www.adamantix.org) занимается разработкой одноименного дистрибутива, который по заверениям разработчиков способен противостоять большинству самых распространенных в Интернете атак и предохранить от некоторых возможных проблем с безопасностью в будущем. Началом проекта послужил другой проект Trusted Debian (http://www.trusteddebian.org), но т.к. Debian является зарегистрированной торговой маркой, было принято решение изменить название. В Adamantix стараются реализовать все достижения Linux: графический десктоп, в будущем, возможно, и графический инсталлятор, автоматическое определение железа, настройка звука, мультимедиа, но только с одним отличием – это будет более безопасная система. Для достижения этой цели применяются различные патчи к ядру и компилятору, более защищенные и специально протестированные версии программ и другие технологии, повышающие общую защищенность системы. Используется только свободное программное обеспечение, поэтому лицензионных отчислений не требуется, хотя в последнее время стал активно развиваться и коммерческий проект, расположенный по адресу http://www.adamantix.com.

Установка

В документации самими разработчиками установка названа как грязная, неудобная, недружественная, и сказано, что при неаккуратном обращении может привести к потери данных. Посмотрим, может, это действительно так. Поначалу ничего необычного: записываем скачанный образ размером 230 Мб на CD, загружаемся, жмем Enter и попадаем в консоль. Для ознакомления с особенностями следует прочесть файлы FAQ, INSTALL, README и WARNING в каталоге /root. Для установки запускаем скрипт аdamantix-install, после этого в сотый раз предупреждают об уничтожении данных, выбираем раскладку, программу, при помощи которой будем разбивать диск (fdisk, cfdisk, parted), после чего выбираем точку монтирования для корневого и остальных разделов, файловую систему для вновь созданных разделов (XFS, ReiserFS, ext2/3), прописываем параметры сетевых интерфейсов, которые нашла программа установки, IP-адреса шлюза и DNS-сервера, временной пояс и сервер для обновлений, место установки загрузчика. При этом для перехода к следующему пункту выбираем continue. И под конец вводим пароли для root и so (security officer). На этом все. Ничего страшного не произошло, человек, умеющий обращаться с указанными программами и знающий необходимые параметры, вопреки всем предупреждениям установить систему все-таки сможет. И, кстати, можно установить Adamantix поверх Debian 3.0 (Woody), установленного в минимальной инсталляции. При этом для возможности установки приложений при помощи apt-get советую занести один из выбранных на http://www.adamantix.org/mirrors.html серверов в файл /etc/apt/sources.list, т.к. пакеты из Debian не перекомпилированы и не могут противостоять атакам переполнения буфера подобно пакетам Adamantix. Перезагружаемся. Нас встречает GRUB, в котором на выбор предлагается несколько вариантов загрузки.

Сердца Adamantix

Сейчас для работы используется версия 2.4.22-3 ядра, взятая от Debian unstable. В результате наложения тех или иных патчей получилось три ядра (в более ранних версиях было и четвертое) в шести вариантах (подробнее смотрите http://www.adamantix.org/documentation/kernel.html/view): normal, softmode kernel (с префиксом -soft) и secure mode kernel (-sec). Все ядра скомпилированы с поддержкой SSP (Stack Smashing Protector), обеспечивающей некоторую защиту от переполнения буфера, включена поддержка XFS, AES-loop, добавлены патчи защиты RSBAC (http://www.rsbac.org) и PaX (http://pageexec.virtualave.net), модуль MS (Malware Scan) с поддержкой ClamAV, включены transparent proxy и модуль MPPE (encrypted PPP) и некоторые другие опции. В normal kernel отключен RSBAC, хотя здесь небольшая путаница в документации, так, в FAQ сказано, что он отключен, а в документе «Adamantix Kernel Information» сказано, что включен, но, судя по надписям при загрузке, поддержки RSBAC все-таки нет. Ядро soft предназначено в основном для первоначальной отладки или обкатки технологии RSBAC, т.к. оно не обеспечивает защиту, а лишь заносит все нарушения политик в журнал. Для возможности отключения режима управления доступом оставлена возможность работы в режиме rsbac_ softmode, для перехода в защищенный режим достаточно убрать строку в загрузчике. Также оставлена включенной опция ядра CONFIG_MAGIC_SYSRQ, позволяющая комбинацией + производить некоторые операции, к которым, правда, не всегда полезно иметь доступ пользователю (подробнее см. в /usr/src/linux/Documentation/sysrq.txt). В ядре sec, предназначенном для максимальной защиты, изначально отключено и запрещено все, что есть в soft, поэтому перейти в режим soft изменением параметров, передаваемых ядру, не удастся. Если не хотите возиться с настройками RSBAC, то можно использовать ядро без префикса, все равно защищенность будет выше благодаря применению PaX, который обеспечивает защиту памяти. Разработчики PaX, в отличие от других подобных проектов вроде OpenWall, в которых реализована защита от конкретных атак, сосредоточивают свои усилия на защите от целых классов атак и, вероятно, этот проект может стать единственным, о котором будeм говорить в будущем. Для сомневающихся в эффективности этой технологии на странице http://www.adamantix.org/demo.html приведены некоторые примеры и, главное, имеются инструменты, позволяющие проверить правдивость этих доводов.

Загрузка

При первой загрузке выскочило сообщение: «Error 15: File not found». Диск был разбит на такие разделы: hda1 swap hda2 /boot hda3 /var hda4 /. Все решилось изменением строки root hd(0,1) в конфигурации GRUB, для этого, выбрав нужный пункт, нажимаем «e», и после внесения изменений для загрузки «b», затем, чтобы не нажимать это каждый раз, редактируем конфигурационный файл загрузчика /boot/grub/menu.lst, используя vi или GNU/nano. В случае применения RSBAC первоначально необходимо загрузиться в soft mode и выполнить команду rsbac_fd_menu /bin/login и далее в появившемся меню устанавливаем AUTH May Setuid в On, иначе система вас попросту не пустит, т.к. процесс не сможет сменить uid, примерно такие действия придется проделать затем и для остальных команд, которым необходимо изменение uid.

Работа

Конечно же, в объем 230 Мб вошло только то, что нужно для установки и первоначальных настроек, все остальное, необходимое для работы, придется доустанавливать и настраивать самому. Это сделано специально для того, чтобы администратор сам мог выбрать только то, что ему действительно необходимо, лишние приложения в защищенной системе обычно не приветствуются. Да и, как мне кажется, установить требуемое все-таки легче, чем убрать лишнее. Для установки и обновления приложений используется знакомая пользователям Debian утилита apt-get с указанием нужного пакета. Если вы устанавливаете Adamantix поверх Debian, то в первую очередь установите необходимые для настройки RSBAC пакеты: rsbac-adamantix, rsbac-admin, rsbac-klogd и rsbac-secpolic. Если с установкой новых приложений проблем быть не должно, apt-get уже давно заслужил похвалу у пользователей, то вот с его настройкой под RSBAC придется повозиться. Что поделаешь, Adamantix не относится к тем дистрибутивам, которые настраиваются за пол-дня, здесь в каждом конкретном случае требуется индивидуальный подход, да и построение защищенной системы не любит спешки. Кстати, за логи отвечает пакет rsbac-klogd, который пишет все данные по защите в /so/log/security-log, находящийся в домашнем каталоге пользователя so (uid=400), куда имеет доступ только пользователь so, root при полной защите в него не допускается. Так что ответы на вопросы, почему не запускаются те или иные сервисы, смотрите там.

Далее для информации по применению RSBAC почитайте документы «RSBAC on Adamantix HOWTO» (http://www.adamantix.org/documentation/rsbac.html/view) и «Apache with RSBAC Role Compatibility» (http://www.adamantix.org/documentation/rsbac.html/view), информацию на сайте проекта RSBAC, где найдете много готовых примеров, а также мою статью «RSBAC для Linux» в январском номере журнала за 2004 год и статью Станислава Иевлева «RSBAC для начинающих» (http://linux.ru.net/~inger/RSBAC-DOC.html). И остается открытым вопрос цены такой защиты. Конечно же, она имеется. Так, за PaX, который используется во всех ядрах, придется отдать 1-2% производительности, Stack Smashing Protector (SSP) забирает в зависимости от кода до 8%, и на долю RSBAC приходится 4-5%. Последняя зависит от количества и состава запущенных модулей (подробнее о модулях в документации).

Единственный недостаток Adamantix – это молодость и, как следствие, отсутствие документации, в которой можно найти готовые на все случаи рецепты, но остается только надеяться, что это ненадолго. И конечно же, Adamantix – дистрибутив не для всех (по крайней мере пока), но если необходима максимальная защищенность будущей системы и одновременно легкость в обновлении и совместимость, то, наверное, стоит обратить на него внимание.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru