OpenNews: Для ядра Linux предложена реализация белого списка исполняемых приложений

30.05.2017 22:19 Для ядра Linux предложена реализация белого списка исполняемых приложений

В списке рассылки ядра Linux опубликован набор патчей с реализаций LSM-модуля WhiteEgret, представляющего средства для обеспечения защиты системы через применение белого списка исполняемых компонентов. WhiteEgret допускает исполнение только кода приложений и библиотек, которые явно разрешены и занесены в заранее определённый белый список. Исполнение всех не включённых в список приложений блокируется, что не позволяет выполнить в системе недозволенные программы и вредоносное ПО. WhiteEgret хорошо подходит для статичных окружений, состав которых не меняется длительное время, например, для типовых серверов и промышленных управляющих систем.

Обработка белого списка дозволенных программ выполняется в пользовательском окружении при помощи процесса WEUA (WhiteEgret User Application). В процессе обработки системных вызовов execve и mmap_file ядро отправляет в WEUA запрос, передавая полный путь к исполняемому файлу. WEUA на основании белого списка принимает решение о возможности исполнения данного файла. Вызов mmap_file применяется для перехвата загрузки разделяемых библиотек в область памяти, допускающую выполнение. Кроме файлового пути проверяется хэш от содержимого исполняемого файла, что позволяет блокировать файлы, изменённые после занесения в белый список. Взаимодействие WEUA с ядром осуществляется при помощи интерфейса netlink.

Особенности WhiteEgret:

Упрощённая начальная настройка. В простейшем случае белый список можно сформировать путём включения в него всех исполняемых файлов, доступных в свежеустановленной системе. Подобный список обеспечит блокирование всех приложений, не входящих в штатную поставку;
Короткое время простоя при обновлении системы. После выполнения обновления достаточно перестроить белый список с учётом изменения хэшей исполняемых файлов;
Независимость от состава рабочего окружения и отсутствие дополнительных требований к нему. Например, WhiteEgret не зависит от типа файловых систем и TPM (Trusted Platform Module).

исправить +18 +/–

Лицензия: CC-BY

Тип: К сведению

Ключевые слова: whiteegret, limit, lsm, kernel

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Линейный вид | Ajax | Показать все | RSS

1.1, user, 22:34, 30/05/2017 [ответить] [смотреть все]	+8 +/–
Чем SELinux и AppArmor не угодили?

2.4, fsdgsdfsagsdfasdf, 22:38, 30/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+10 +/–
Вопрос в другом: зачем ядро вообще что-то должно знать о ПО? Этот монолитный кусок и без того драйвера с собой таскает, так еще и окружение припаять хотят.

3.58, Меломан1, 07:56, 31/05/2017 [^] [ответить] [смотреть все]	–1 +/–
SELinux и AppArmor реализованы на уровне ядра, а эта приблуда вроде как альтер... весь текст скрыт [показать]

3.60, Аноним, 08:09, 31/05/2017 [^] [ответить] [смотреть все]	+1 +/–
Ядро это самое ПО загружает и исполняет Так что избирательный фильтр для этой ф... весь текст скрыт [показать]

3.61, Очередной аноним, 08:18, 31/05/2017 [^] [ответить] [смотреть все]	+2 +/–
Вы статью-то читали Ядро по прежнему ничего о ПО знать и не будет Обработка б... весь текст скрыт [показать]

4.74, X3asd, 11:35, 31/05/2017 [^] [ответить] [смотреть все]	+1 +/–
ды лол же маленькими хуками в ядре -- тут не обойтись смотри 1 ядро будет с... весь текст скрыт [показать]

5.76, Аноним, 12:16, 31/05/2017 [^] [ответить] [смотреть все]	+1 +/–
надо так делать 1 ядро создаёт процесс из требуемого файла в остановленном сост... весь текст скрыт [показать]

2.32, mixaly4, 01:50, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
присоединюсь к вопросу

2.67, Аноним, 09:19, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
Не идёт с панкейками под смузи.

1.2, freehck, 22:36, 30/05/2017 [ответить] [смотреть все]	–2 +/–
Ну вот, теперь руткиты ставить будет сложнее, какая жалость! (upd: применяется не только к бинарям, но и к библиотекам, неплохо, неплохо)

2.111, Аноним, 15:58, 04/06/2017 [^] [ответить] [смотреть все] [показать ветку]	–1 +/–
Это был сарказм Руткиты и сплойты очень нужны, когда речь идет о своем телефоне... весь текст скрыт [показать] [показать ветку]

1.3, Аноним, 22:38, 30/05/2017 [ответить] [смотреть все]	–3 +/–
Всё гениальное просто.

1.5, Аноним, 22:44, 30/05/2017 [ответить] [смотреть все]	+1 +/–
А если зловредный скрипт на баше? Баш-то наверняка будет в белом списке.

2.7, Crazy Alex, 22:57, 30/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+16 +/–
Там таких "а если" - сотнями будет

3.15, Аноним, 23:30, 30/05/2017 [^] [ответить] [смотреть все]	+/–
Авторы уже тычут лицом в эти a если - что будет если демона прибьет OOM kille... весь текст скрыт [показать]

4.24, Аноним, 00:26, 31/05/2017 [^] [ответить] [смотреть все]	+/–
OOM - можно запретить для определённых процессов

4.75, Аноним, 12:03, 31/05/2017 [^] [ответить] [смотреть все]	+/–
demontools перезапустит ... весь текст скрыт [показать]

5.77, Аноним, 12:26, 31/05/2017 [^] [ответить] [смотреть все]	+/–
А ООМ опять убьёт. Кто победит - утюг или холодильник?

6.84, Аноним, 14:22, 31/05/2017 [^] [ответить] [смотреть все]	+/–
Чубейс Так как в результате этого процесса электроэнергия все же будет потребля... весь текст скрыт [показать]

2.18, Аноним, 23:36, 30/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+/–
Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc ... весь текст скрыт [показать] [показать ветку]

3.25, Crazy Alex, 00:30, 31/05/2017 [^] [ответить] [смотреть все]	+3 +/–
/bin/sh myscript

3.30, Аноним84701, 00:41, 31/05/2017 [^] [ответить] [смотреть все]

+8 +/–

>> А если зловредный скрипт на баше?
> Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc.

[code]
echo 'basename $0; echo "securing your data"; rm -rf ~/*'|bash
[/code]

2.39, Аноним, 05:01, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+/–
Или на любом другом разрешенном интерпретируемом или JIT-компилируемом языке Во... весь текст скрыт [показать] [показать ветку]

3.99, Аноним, 22:35, 31/05/2017 [^] [ответить] [смотреть все]	+/–
Да и обычный динамически слинкованный ELF через ld so запустить никто не мешает ... весь текст скрыт [показать]

2.41, Это я, 06:29, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	–1 +/–
Осталось сделать подписывание скриптов и других исполняемых файлов сертификатом ... весь текст скрыт [показать] [показать ветку]

3.43, ыы, 07:10, 31/05/2017 [^] [ответить] [смотреть все]	–1 +/–
кто то подумал "а в виндовс это еще 10 лет назад было" :)

4.48, Это я, 07:22, 31/05/2017 [^] [ответить] [смотреть все]	+/–
Дык, и я о том же. Это надо для критически важных объектов инфраструктуры.

4.113, Аноним, 20:39, 05/06/2017 [^] [ответить] [смотреть все]	–1 +/–
Нет, нет что вы Кто то подумал а в виндовс - ещё 20 лет назад запускалось тол... весь текст скрыт [показать]

3.63, Очередной аноним, 08:50, 31/05/2017 [^] [ответить] [смотреть все]	–2 +/–
Я довольно далек от линукса и тем более от SELinux, AppArmor , командной строки... весь текст скрыт [показать]

4.87, pavlinux, 17:31, 31/05/2017 [^] [ответить] [смотреть все]	+1 +/–
а если забыл reboot - неалё - командировка в Сургут поднимать сервак админис... весь текст скрыт [показать]

5.101, bircoph, 00:03, 01/06/2017 [^] [ответить] [смотреть все]	–2 +/–
Для таких задач обычно kvm используют Оно ведь может много из-за чего упасть и ... весь текст скрыт [показать]

2.47, ыы, 07:20, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	–7 +/–
а если уборщицы выдернет шнур представлен механизм, который делает то что дела... весь текст скрыт [показать] [показать ветку]

3.64, XX1asd, 08:51, 31/05/2017 [^] [ответить] [смотреть все]

+4 +/–

> вы знаете другое решение проблемы?

проблемы?!

4.65, XX1asd, 08:59, 31/05/2017 [^] [ответить] [смотреть все]	+4 +/–
поведай же нам скорее о своих страданиях ... весь текст скрыт [показать]

2.85, враыв, 16:40, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+/–
Добавят этот скрипт в чёрный список, затем второй, третий А после добавят эври... весь текст скрыт [показать] [показать ветку]

1.6, Аноним, 22:45, 30/05/2017 [ответить] [смотреть все]	+/–
видел эту идею еще в бородатые годы Антивирусники создавали свои хэши и провер... весь текст скрыт [показать]

2.37, Аноним, 03:18, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	–1 +/–
Что ты предлагаешь?

1.10, Аноним, 23:06, 30/05/2017 [ответить] [смотреть все]	+2 +/–
Нужно этот модуль интегрировать с AIDE http aide sourceforge net , чтобы баз... весь текст скрыт [показать]

2.13, IB, 23:21, 30/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+/–
Так то хэши Цирк и школьники студенты ... весь текст скрыт [показать] [показать ветку]

3.95, ъ, 18:27, 31/05/2017 [^] [ответить] [смотреть все]	+/–
эм путь точно нужен usr lib postgresql 9 4 bin pg_dump usr lib postgresql 9 ... весь текст скрыт [показать]

2.114, Аноним, 20:44, 05/06/2017 [^] [ответить] [смотреть все] [показать ветку]	+/–
А, о очень удобной особенности хакеру - коллизии хэша, не слышали ... весь текст скрыт [показать] [показать ветку]

1.11, username, 23:08, 30/05/2017 [ответить] [смотреть все]	–1 +/–
Хм, а нужно ли? Есть TPM модуль, если речь идет о промышленном применении. Хотя на некоторых ноутах он тоже есть.

2.56, Это я, 07:39, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+3 +/–
TPM сам Untrasted для некоторых применений, увы...

3.71, username, 10:27, 31/05/2017 [^] [ответить] [смотреть все]	–2 +/–
Обоснуй, интересно узнать для каких В линуксах уже есть 1 механизм для запуска... весь текст скрыт [показать]

4.72, Это я, 11:07, 31/05/2017 [^] [ответить] [смотреть все]	+2 +/–
С точки зрения доверия оборудованию и наличия в нем закладок В отличии от соф... весь текст скрыт [показать]

5.93, Аноним, 18:11, 31/05/2017 [^] [ответить] [смотреть все]	+/–
А ничего что сам процессор это черный ящик иностранного производства да еще и с ... весь текст скрыт [показать]

6.109, Это я, 08:35, 02/06/2017 [^] [ответить] [смотреть все]	–1 +/–
Это повод плодить новые дыры?

2.78, Аноним, 13:29, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
И что этот TPM сделает? Убедится, что загрузилось правильное ядро? А дальше?

1.12, Аноним, 23:17, 30/05/2017 [ответить] [смотреть все]	+1 +/–
Во время обновления обновится приложение которое перегенирует хэши и как их тогд... весь текст скрыт [показать]

2.46, cmp, 07:20, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+/–
Glibc же обновляется как-то, хотя в зависимостях у каждой первой проги, а вообще... весь текст скрыт [показать] [показать ветку]

3.50, Это я, 07:26, 31/05/2017 [^] [ответить] [смотреть все]	+/–
Давно пора реализовать возможность обновления аналогично solaris live upgrade Ж... весь текст скрыт [показать]

4.66, Аноним, 09:14, 31/05/2017 [^] [ответить] [смотреть все]	+/–
NixOS.

5.68, Это я, 09:24, 31/05/2017 [^] [ответить] [смотреть все]	–1 +/–
Увы, это экзотика.

4.82, fi, 13:54, 31/05/2017 [^] [ответить] [смотреть все]	+/–
И чем же хорош solaris live upgrade ???

5.108, Это я, 08:33, 02/06/2017 [^] [ответить] [смотреть все]	–1 +/–
Минимальное время простоя при установке патчей и возможность быстро откатиться в... весь текст скрыт [показать]

4.94, Аноним, 18:12, 31/05/2017 [^] [ответить] [смотреть все]	+/–
Чур меня, чур Только не это ... весь текст скрыт [показать]

1.14, Аноним, 23:26, 30/05/2017 [ответить] [смотреть все]	+6 +/–
Выглядит как полная хpeнь. Аффтару уже задают неприятные вопросы: https://lkml.org/lkml/2017/5/30/656

2.54, Это я, 07:35, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	–3 +/–
171 Один дурак может задать вопросы, на которые и сто мудрецов не ответят 187... весь текст скрыт [показать] [показать ветку]

3.89, pavlinux, 17:45, 31/05/2017 [^] [ответить] [смотреть все]	+1 +/–
Это называется Упреждающий удар, чтоб мудрецов не назвали тупыми ... весь текст скрыт [показать]

1.16, Аноним, 23:36, 30/05/2017 [ответить] [смотреть все]

+2 +/–

> передавая полный путь

Который из?

PS: ставлю, что не примут.

2.27, Crazy Alex, 00:32, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+2 +/–
Разумеется Это далеко не первый заход на подобную глупость, где-то даже был под... весь текст скрыт [показать] [показать ветку]

3.44, Это я, 07:17, 31/05/2017 [^] [ответить] [смотреть все]	–1 +/–
software restriction policies, applocker давно есть и даже работает У SANS в 2... весь текст скрыт [показать]

1.31, Аноним, 00:58, 31/05/2017 [ответить] [смотреть все]	+2 +/–
Любму, кто хоть раз пытался настроить вещь вроде tomoyo с его глобальной полити... весь текст скрыт [показать]

2.34, Онаним, 02:17, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+/–
Так среда в продакшн и должна быть урезана и статична, не?

3.35, Аноним, 02:34, 31/05/2017 [^] [ответить] [смотреть все]	+8 +/–
Скажи это всяким девопсам, с приложениями на рубях (gem), питоне (virtualenv), похапе (composer), ноджс (npm) и жабе (maven). Там чтобы вкурить что откуда запускается надо неделю потратить. Да и добавь туда толпы докер-хипстеров.

3.52, Это я, 07:32, 31/05/2017 [^] [ответить] [смотреть все]	+1 +/–
Проблема в том, что достаточно мало инструментов, которые при необходимости повы... весь текст скрыт [показать]

2.45, Это я, 07:19, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	–2 +/–
А кто говорил, что это надо пихать прям везде У таких решений есть своя ниша, н... весь текст скрыт [показать] [показать ветку]

3.53, cmp, 07:35, 31/05/2017 [^] [ответить] [смотреть все]	+/–
Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пыт... весь текст скрыт [показать]

4.55, Это я, 07:38, 31/05/2017 [^] [ответить] [смотреть все]	–1 +/–
Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пы... весь текст скрыт [показать]

5.57, cmp, 07:44, 31/05/2017 [^] [ответить] [смотреть все]	+1 +/–
Дык монтируй систему на ro и noexec все что на rw и зачем чета пихать в ядро там... весь текст скрыт [показать]

6.59, Это я, 07:59, 31/05/2017 [^] [ответить] [смотреть все]	–1 +/–
Еще есть задача - не заразить съемные носители, не похерить на нем все документы... весь текст скрыт [показать]

7.69, XX1asd, 09:42, 31/05/2017 [^] [ответить] [смотреть все]	+/–
В основном это касается спец объектов Специфическая штука Да ты не рыбак, теб... весь текст скрыт [показать]

8.73, Это я, 11:14, 31/05/2017 [^] [ответить] [смотреть все]	+/–
Когда учился в ВУЗе, тоже многие вещи казались бреднями параноиков, а теперь нор... весь текст скрыт [показать]

9.97, X3asd, 20:38, 31/05/2017 [^] [ответить] [смотреть все]	+/–
нет большое количество дурацкой защиты -- хуже чем маленькое количество хорошей... весь текст скрыт [показать]

6.83, Аноним, 14:19, 31/05/2017 [^] [ответить] [смотреть все]	+/–
lib ld-linux so 2 your noexec directory malicious_bin ... весь текст скрыт [показать]

7.98, X3asd, 20:40, 31/05/2017 [^] [ответить] [смотреть все]	+/–
chmod -x -- lib ld- so ... весь текст скрыт [показать]

8.100, Аноним, 22:38, 31/05/2017 [^] [ответить] [смотреть все]	–1 +/–
И всё равно rm -rf надёжнее ... весь текст скрыт [показать]

1.33, Отражение луны, 02:14, 31/05/2017 [ответить] [смотреть все]	+/–
Действительно. Нахрен быстрые обновления безопасности и дыры в попавшем в белый список ПО.

1.38, d000, 03:29, 31/05/2017 [ответить] [смотреть все]	+/–
Помнится уже было что-то на тему подписанных приложений. Не совпала подпись - не запускаем. И тут и там для защищаемых систем нужно формировать отдельные пакеты/списки/прочее. Сдается мне, это просто чья-то поделка, которую со временем выложили в опенсорс.

2.92, pavlinux, 18:07, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+/–
Код не смотреть, доки не читать, комент писать WhiteEgret Linux Securit... весь текст скрыт [показать] [показать ветку]

1.40, Это я, 06:27, 31/05/2017 [ответить] [смотреть все]	–1 +/–
Джва года ждал! Только почему в ядро?

2.42, EuPhobos, 07:08, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+/–
Вот именно, нужно глубже, сразу в БИОС а, стоп Ведь уже uefi ... весь текст скрыт [показать] [показать ветку]

3.51, Это я, 07:30, 31/05/2017 [^] [ответить] [смотреть все]	–1 +/–
Sapienti sat, а остальным - бесполезно...

1.70, qsdg, 09:55, 31/05/2017 [ответить] [смотреть все]	+/–
Это чтобы сисадмина не могли уволить.

1.79, ALex_hha, 13:34, 31/05/2017 [ответить] [смотреть все]	+/–
> Так среда в продакшн и должна быть урезана и статична, не? для этого есть докер ;)

1.80, Аноним, 13:41, 31/05/2017 [ответить] [смотреть все]	+/–
на сколько легко прострелить ногу - забыть включить нужное приложение и получить... весь текст скрыт [показать]

2.90, pavlinux, 17:55, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]

+/–

> не ремонтируемую без liveusb систему?

Как, вы еще не шифруете диски?

1.86, Аноним, 17:05, 31/05/2017 [ответить] [смотреть все]	+/–
Чото непонятно: чем это лучше аппармора?

1.91, pavlinux, 18:04, 31/05/2017 [ответить] [смотреть все]	+1 +/–
Расходимся посаны... [code] static int we_driver_open(struct inode inode, struct file filp) { root = start_we(); if (!root) return -EPERM; return SUCCESS; } [/code]

2.96, Ordu, 18:34, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]	+/–
Лол we -- это аббревиатура, а не местоимение Не сразу понял, но как понял, так... весь текст скрыт [показать] [показать ветку]

1.104, anonim, 20:11, 01/06/2017 [ответить] [смотреть все]	+1 +/–
Представляю секс с попыткой восстановления такой системы в случае "посыпавшегося" носителя...

1.105, Аноним, 21:03, 01/06/2017 [ответить] [смотреть все]	+/–
С учетом того, что это сделал Тойота, то она сделала это для себя А конкретно п... весь текст скрыт [показать]

2.106, Аноним, 23:41, 01/06/2017 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
Тойота, тошиба какая разница ?

3.107, Аноним, 01:18, 02/06/2017 [^] [ответить] [смотреть все]	–1 +/–
Заметил уже после поста Смысл про автомобили не изменился Тем более, авторы в ... весь текст скрыт [показать]

4.115, Аноним, 20:55, 05/06/2017 [^] [ответить] [смотреть все]	+/–
> нужен рут. ... это будет сделать практически нереально. :)

5.116, Аноним, 21:18, 05/06/2017 [^] [ответить] [смотреть все]	+/–
Не говоря уже про аппаратные backdoors, начиная с AMT и заканчивая - Продемонс... весь текст скрыт [показать]

1.110, KroTozeR, 23:15, 02/06/2017 [ответить] [смотреть все]	+/–
Ну, просто вирусы обзаведутся хаком WEUA.

1.112, Просто идиот, 21:50, 04/06/2017 [ответить] [смотреть все]	–1 +/–
Я конечо идиот, но объясните мне, что помешает приложениям из белого списка выполнять недопустимые действия? Ещё одна ... которая вместе с аппармор, системдэ, и прочими иэркью балансами будет просто есть место на диске, отнимать время ЦПУ и оперативную память, висеть в багтрэках, и добавлять результаты поиска на тему "как настроить ..., что бы ...". Нет уж идите ... вас тут не было, вы кто такие, я вас не звал, идите на ...!

1.117, Аноним, 02:24, 07/06/2017 [ответить] [смотреть все]	+/–
SELinux по-умолчанию разрешает выполнение программ и скриптов БЕЗ ПРАВИЛ, о кото... весь текст скрыт [показать]

Добавить комментарий