The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

10.04.2012 13:49  Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-режима

Анонсирован релиз надежного, защищенного и высокопроизводительного FTP-сервера vsftpd 3.0.0. Ключевым улучшением, появившимся в новой версии, является реализация нового sandbox-режима, изолирующего выполнение процесса с использованием seccomp-фильтра.

В настоящее время в vsftpd задействован полный спектр средств защиты, доступных в Linux, включая выполнение в chroot, capabilities, контроль файловых дескрипторов, пространства имён, rlimits и даже экспериментальный уровень изоляции на основе ptrace. Seccomp позволяет реализовать новый уровень изоляции на уровне системных вызовов, чем-то напоминая sandbox на базе ptrace, но изначально основанный на технологии для обеспечения безопасности (ptrace является отладочным инструментом), обладающий значительно более высокой производительностью и отличающийся более высокой стабильностью.

Seccomp пока не включён в состав основного ядра Linux, но будет активирован по умолчанию в 64-разрядной сборке Ubuntu 12.04. Принцип работы Seccomp сводится к ограничению доступа к системным вызовам, при том, что логика выставляемых ограничений задаётся на уровне защищаемого приложения. Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов. BPF позволяет реализовывать достаточно сложные правила доступа, учитывающие передаваемые и возвращаемые аргументы. В код программы добавляется структура с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае несовпадения (например, KILL_PROCESS).

Программа сама определяет какие системные вызовы ей необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом при помощи seccomp приложении. Более того, изоляция с использованием seccomp позволяет защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, выявленные за последние годы критические уязвимости в glibc и ядре Linux, такие как AF_CAN, sock_sendpage и sys_tee, успешно блокируются при использовании функциональности seccomp по проверке аргументов. Кроме vsftpd, патч с поддержкой seccomp уже подготовлен для OpenSSH и будет включён в состав OpenSSH 6.0.

Кроме обеспечения поддержки seccomp из изменений, добавленных в vsftpd 3.0.0 можно отметить:

  • По умолчанию сервер запускается в обособленном режиме, самостоятельно обрабатывающем соединения (listen). Ранее по умолчанию подразумевался запуск через inetd;
  • Ранее реализованный экспериментальный sandbox на базе ptrace теперь именуется в настройках "ptrace_sandbox" вместо "sandbox". Новый sandbox "seccomp_sandbox" включен по умолчанию для систем, поддерживающих seccomp;
  • Добавлены дополнительные проверки состояния в код привилегированного управляющего процесса;
  • Для сборки использована подборка опций, обеспечивающих более высокий уровень безопасности (например, включаются различные рандомизаторы памяти и средства защиты от переполнения стека);
  • Добавлена новая опция "allow_writeable_chroot" для управления возможностью записи в chroot-окружениях, создаваемых для аутентифицированных пользователей;
  • В качестве SSL-шифра по умолчанию задействован AES128-SHA;
  • Устранение проблем с работой пассивного режима FTP при высокой нагрузке на сервер;
  • Решение проблем с таймаутами, в частности, возникающими при использовании SSL.

  1. Главная ссылка к новости (http://scarybeastsecurity.blog...)
  2. OpenNews: Вышел релиз FTP-сервера vsftpd 2.3.5
  3. OpenNews: Концептуальная атака против vsftpd, не представляющая реальной угрозы
  4. OpenNews: В доступный на официальном сайте архив исходных текстов FTP-сервера vsftpd был внедрен бэкдор
  5. OpenNews: Вышел vsftpd 2.3.4 с устранением DoS-уязвимости
  6. OpenNews: Выпущен релиз FTP сервера vsftpd 2.3.0
Лицензия: CC-BY
Тип: Программы
Ключевые слова: vsftpd, ftp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 15:10, 10/04/2012 [ответить] [смотреть все]
  • –2 +/
    Прекрасно, молодцы ребята А в федоре сусе мендриве эти средства защиты можно ле... весь текст скрыт [показать]
     
     
  • 2.3, Алексей, 15:13, 10/04/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Т е правила напишуться сами Или вы настолько хорошо знаете все сервисы, что дл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Аноним, 01:32, 11/04/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    А правила по хорошему должны писать разработчики.
     
  • 1.2, Аноним, 15:12, 10/04/2012 [ответить] [смотреть все]  
  • +/
    А почему Проблемы со стабильностью ... весь текст скрыт [показать]
     
     
  • 2.13, szh, 17:24, 10/04/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    если включат, потом нельзя ни выключить ни userspace API поменять
     
     
  • 3.17, Аноним, 19:00, 10/04/2012 [^] [ответить] [смотреть все]  
  • +/
    смотря как ломают API в ядре - это уж за запросто.
     
     
  • 4.20, szh, 21:38, 10/04/2012 [^] [ответить] [смотреть все]  
  • +/
    API эволюционируют внутри ядра оставаясь неизменным в syscalls для юзерспейса С... весь текст скрыт [показать]
     
  • 1.4, Vasily Pupkin, 15:15, 10/04/2012 [ответить] [смотреть все]  
  • –6 +/
    Да ёлки же ты палки Вместо того, что бы всем миром писать нормальные политики к... весь текст скрыт [показать]
     
     
  • 2.22, Аноним, 01:35, 11/04/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Не, пусть это такие как ты пишут И всякие хрены из FBI у которых регламент, так... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Другой Аноним, 03:30, 11/04/2012 [^] [ответить] [смотреть все]  
  • +/
    Вы похожу не представляете что за зверь этот SELinux и в чем его Его хватит на... весь текст скрыт [показать]
     
     
  • 4.27, Аноним, 11:10, 11/04/2012 [^] [ответить] [смотреть все]  
  • +/
    Да с кем ты споришь С этим хренкиным Он никогда в жизни в заведении крупнее Ро... весь текст скрыт [показать]
     
  • 1.8, Аноним, 15:46, 10/04/2012 [ответить] [смотреть все]  
  • –1 +/
    100500 ФС, 100500 планировщиков, 100500 систем безопасности SELinux, теперь Sec... весь текст скрыт [показать]
     
     
  • 2.11, Andrey Mitrofanov, 16:14, 10/04/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Гугль не осилил selinux, пользователи хрома не осилили selinux, никто не осилил ... весь текст скрыт [показать] [показать ветку]
     
  • 2.12, ононим, 16:42, 10/04/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    SELinux, seccomp, tomoyo, yama, apparmor. действительно, не много ли всего?
     
     
  • 3.14, Andrey Mitrofanov, 17:28, 10/04/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Много-не много, не важно. Главное, что _не _достаточно!:D
     
     
  • 4.15, deadless, 18:20, 10/04/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    дистрибутивов тоже как-то недостаточно, вообще очень мало
     
     
  • 5.23, Аноним, 01:36, 11/04/2012 [^] [ответить] [смотреть все]  
  • +/
    Да, то-ли дело винды Там MS железной рукой за всех решил что сегодня бум жрать ... весь текст скрыт [показать]
     
     
  • 6.31, Аноним, 11:14, 11/04/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Прикинь - это много лучше чем 1024 дистра, отличающихся друг от друга лишь обоям... весь текст скрыт [показать]
     
  • 2.16, umbr, 18:33, 10/04/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    100500 вариантов фичи хороший признак, говорит о её востребованности, и в то же ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, Аноним, 11:11, 11/04/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Вряд ли ты при жизни это увидишь Примерно как метро в Зимбабве ... весь текст скрыт [показать]
     
  • 2.18, filosofem, 19:51, 10/04/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Именно так и рассуждает каждый изобретатель нового стопицотпервого велосипеда ... весь текст скрыт [показать] [показать ветку]
     
  • 1.19, anonymous, 20:03, 10/04/2012 [ответить] [смотреть все]  
  • +/
    Как его подружить с sqlite? В плане, виртуальных пользователей авторизовывать через БД, хранящуюся в sqlite? Гугель намекает на модуль pam-sqlite, но я такого не обнаружил, только эти туманные намеки...
     
     
  • 2.24, Stax, 02:23, 11/04/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ох А sqlite это так принципиально Если вам на месте просто править , можно вз... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, bav, 10:56, 11/04/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Ню-ню, тут даже pam-модуль на питоне, который каждый раз парсит xml на предмет а... весь текст скрыт [показать]
     
     
  • 4.30, Аноним, 11:12, 11/04/2012 [^] [ответить] [смотреть все]  
  • +/
    Тю А потом семейка велосипедистов изойдет на гогно, говоря, какой питон тормоз ... весь текст скрыт [показать]
     
     
  • 5.35, Аноним, 15:32, 11/04/2012 [^] [ответить] [смотреть все]  
  • +/
    Насколько он горный - хрен знает, но тормозит отменно P... весь текст скрыт [показать]
     
  • 3.29, Аноним, 11:12, 11/04/2012 [^] [ответить] [смотреть все]  
  • +/
    Дятло, а почему бы, чтобы карандаш очинить, не взять сразу мельничный жернов Ор... весь текст скрыт [показать]
     
     
  • 4.39, Stax, 20:38, 11/04/2012 [^] [ответить] [смотреть все]  
  • +/
    А что плохого в том, чтобы держать пользователей в БД Например, виртуальных пол... весь текст скрыт [показать]
     
  • 3.33, anonymous, 14:25, 11/04/2012 [^] [ответить] [смотреть все]  
  • +/
    У меня просто уже есть БД пользователей в sqlite, и хочется держать это централи... весь текст скрыт [показать]
     
     
  • 4.38, Stax, 20:36, 11/04/2012 [^] [ответить] [смотреть все]  
  • +/
    Проблема тут в том, что sqlite по дизайну под одно приложение , на другое приме... весь текст скрыт [показать]
     
     
  • 5.41, 1, 23:48, 12/04/2012 [^] [ответить] [смотреть все]  
  • +/
    tactical facepalm, when simple facepalm is just not enough.
     
  • 1.32, Kibab, 12:36, 11/04/2012 [ответить] [смотреть все]  
  • +/
    Осталось Capsicum добавить и можно юзать на последней фре :-)
     
  • 1.34, Аноним, 15:29, 11/04/2012 [ответить] [смотреть все]  
  • +/
    А LXC где Чрут галимый - есть, а куда как более дуракозащищенный LXC - оно где ... весь текст скрыт [показать]
     
     
  • 2.36, Kibab, 17:58, 11/04/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Какую поддержку на уровне приложения вы ожидаете? :-)

    >> полный спектр средств защиты, доступных в Linux, включая выполнение в chroot,
    >> capabilities, контроль файловых дескрипторов, пространства имён, rlimits и даже
    >> экспериментальный уровень изоляции на основе ptrace.
    > А LXC где? Чрут галимый - есть, а куда как более дуракозащищенный
    > LXC - оно где?

     
  • 2.37, Аноним, 19:00, 11/04/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    напиши. Это же опенсорс
     
  • 1.40, XoRe, 00:15, 12/04/2012 [ответить] [смотреть все]  
  • +/
    > По умолчанию сервер запускается в обособленном режиме, самостоятельно обрабатывающем соединения (listen). Ранее по умолчанию подразумевался запуск через inetd;

    Порадовало.
    Я так понимаю, все современные дистрибутивы ещё при инсталляции переделывают конфиг на использование listen.
    А то уже лет 5 vsftpd+inetd не то что, на серверах не видел, а даже статей про такую настройку не встречал.

    > Добавлена новая опция "allow_writeable_chroot" для управления возможностью записи в chroot-окружениях, создаваемых для аутентифицированных пользователей;

    А вот это удобная фича.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor