 |
Использование systemtap для устранения уязвимости в реализации /proc/pid/mem (доп. ссылка 1) |
[комментарии]
|
| | Для устранения [[http://www.opennet.ru/opennews/art.shtml?num=32872 уязвимости]] CVE-2012-0056 в /proc/pid/mem без обновления ядра Linux можно использовать systemtap для ограничения системного вызова. Systemtap из коробки доступен в RHEL/CentOS и может быть установлен из репозитория в Debian/Ubuntu. Без systemtap обходным путем решения проблемы является блокирования доступа пользователя на запуск setuid-программ.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
 |
|
|
Проверка Linux-системы на наличие следов взлома (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| | В процессе разбора истории со взломом kernel.org было выявлено, что атаковавшим удалось установить вредоносное ПО на Linux-машины некоторых разработчиков, используя которое были перехвачены ключи доступа. В списке рассылки разработчиков ядра Linux [[https://lkml.org/lkml/2011/9/30/425 опубликована]] краткая инструкция по проверке целостности системы и выявлению следов активности злоумышленников. Суть опубликованных рекомендаций изложена ниже.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
|
|
|
Совместное использование SELinux и iptables (доп. ссылка 1) |
[комментарии]
|
| | Используя утилиту [[http://james-morris.livejournal.com/11010.html Secmark]] можно организовать назначение в правилах iptables SELinux-меток для сетевых пакетов, примерно также как осуществляется назначение меток для локальных системных ресурсов. Подобное может использоваться для предотвращения доступа сторонних процессов, не находящихся под контролем SELinux, к определенному классу пакетов. Например, можно указать что запросы на 80 порт (метка http_packet_t) может отправлять только определенный web-браузер (или процесс, имеющий SELinux-метку http_t) и никто иной.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
|
|
|
Замена setuid-бита на capabilities для системных программ в Linux (доп. ссылка 1) |
[комментарии]
|
| | С целью избавления системы от программ с suid-битом, можно использовать следующую инструкцию.
Для привязки capabilities к исполняемому файлу используется утилита setcap из пакета libcap2-bin:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
|
|
|
Проблемы с Evince при использовании нестандартного пути к домашней директории в Ubuntu |
[комментарии]
|
| | После обновления Ubuntu перестал запускаться просмотрщик PDF-файлов Evince, выдавая ошибку:
(evince:5592): EggSMClient-WARNING **: Failed to connect to the session manager:
None of the authentication protocols specified are supported
Причина оказалась в использовании нестандартного пути к домашней директории,
указанной через символическую ссылку /home -> /home2. Как оказалось такая
манипуляция требует изменения настроек AppArrmor, который по умолчанию
активирован в последних релизах Ubuntu.
Чтобы Evince заработал с нестандартным /home2 необходимо указать данную
директорию в файле /etc/apparmor.d/tunables/home и перезапустить apparrmor:
sudo /etc/init.d/apparmor reload
Похожие проблемы наблюдаются с переносом директории /usr/share и установкой
firefox в сборке Mozilla. В случае Firefox исправления нужно внести в файл
/etc/apparmor.d/usr.bin.firefox, а при переносе /usr/share потребуется поменять
с десяток разных файлов, определив в них упоминание /usr/share через поиск.
|
| |
|
|
|
Настройка установки обновлений с исправлением проблем безопасности в RHEL/CentOS (доп. ссылка 1) |
[комментарии]
|
| | Плагин yum-security позволяет использовать в yum команды list-security и info-security, а также опции
"--security", "--cve", "--bz" и "--advisory" для фильтрации исправлений проблем безопасности из общего массива обновлений.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
|
|
|
Работа с web-клиентом альфабанка (ibank) в Linux (доп. ссылка 1) |
Автор: Vitaly
[комментарии]
|
| | Краткое руководство для тех, кому в банке упорно твердят "наша система работает только под windows".
На примере альфабанка для юридических лиц (с etoken) и Ubuntu 8.04.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
|
|
|
Обнаружение червя Conficker через пассивный анализ трафика (доп. ссылка 1) |
[комментарии]
|
| | С конца 2008 года червь Conficker, поражающий Windows-клиентов, заразил несколько миллионов машин в сети,
занимая первые позиции в рейтингах антивирусных компаний.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
|
|
|
Аутентификация при помощи Bluetooth телефона или USB Flash в Debian/Ubuntu Linux (доп. ссылка 1) (доп. ссылка 2) (доп. ссылка 3) (доп. ссылка 4) |
[комментарии]
|
| | В качестве ключа для авторизации можно использовать MAC адрес телефона с Bluetooth интерфейсом.
Для избежания перехвата MAC-адреса, Bluetooth адаптер телефона должен работать только в пассивном режиме.
Тем не менее метод можно использовать только в ситуациях не предъявляющих серьезных требований к безопасности
(например, для входа на гостевую машину или только для выполнения sudo).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
|
|
|
Как выделить файлы из перехваченной tcpdump-ом сессии |
[комментарии]
|
| | Утилита chaosreader (http://chaosreader.sourceforge.net) позволяет выделить пользовательские данные из лога tcpdump.
Например, можно сохранить переданные по FTP файлы, картинки запрошенные по HTTP, сообщения электронной почты переданные по SMTP,
ключи переданные в SSH сессии.
Дополнительно поддерживается выделение данные из дампа трафика различных туннелей, 802.11b и PPPoE.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
|
|
|
Как разрешить доступ к точке монтирования для приложения контролируемого SELinux (доп. ссылка 1) |
[обсудить]
|
| | Имеется CentOS с активным SELinux.
Требуется обеспечить возможность доступа Apache к примонтированному локально iso-образу, USB Flash
или диску, содержащему файловую систему без поддержки SELinux.
Решение: при монтировании необходимо явно определить политику доступа через опцию "context=".
По умолчанию используется "context=system_u:object_r:removable_t".
Для apache нужно монтировать так:
mount -o loop,context=system_u:object_r:httpd_sys_content_t /path/to/image.iso /var/www/html
|
| |
|
|
|
Изменение метода хэширования паролей в Red Hat подобных дистрибутивах (доп. ссылка 1) |
[комментарии]
|
| | В будущих версиях RHEL и Fedora Linux появится возможность
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
|
|
|
Настройка аутентификации по отпечаткам пальцев в Ubuntu Linux |
[комментарии]
|
| | Устанавливаем пакеты необходимые для сборки системы fprint:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
|
|
|
Использование login.access в FreeBSD 5.x и 6.x |
Автор: 135all
[обсудить]
|
| | В FreBSD есть прекрасная возможность разрешать логинится конкретным пользователям
только с определённых терминалов или адресов. Делается это посредством модуля pam_acct_mgmt.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
| |
|
|
|
Как найти все SUID программы на машине |
[обсудить]
|
| | Все SUID и SGID программы:
find / \( -perm -04000 -o -perm -02000 \) -exec ls -ald {} \;
Только SUID ROOT:
find /sbin \( -perm -04000 -a -user 0 \) -exec ls -ald {} \;
|
| |
|
|
