Taki tam kolejny post o kotach...

[Pan Kot 1535]

Edytowano Wrzesień 8, 2017 przez Pan Kot (zobacz historię edycji)

[karamy24 1]

Łata zwiększa bezpieczeństwo poprzez:

• tworzenie list kontroli dostępu opartych o role Role-Based Access Control (RBAC)
• nałożenie restrykcji na środowisko chroot, uniemożliwiających wyrwanie się z niego (nawet rootowi)
• rozbudowane logowanie, ułatwiające audyt (możliwość zapisu adresu IP osoby dla określonych zdarzeń)
• losowość stosu TCP (numerów sekwencyjnych, portów źródłowych, IP ID)
• restrykcje nakładane na /proc oraz losowość numerów PID
• zapobieganie sytuacjom wyścigu poprzez restrykcje dla /tmp
• działania zapobiegające atakom siłowym (ang. bruteforce attack)

Dzięki wykorzystaniu osiągnięć projektu PAX, umożliwia także:

• oznaczenie stosu jako niewykonywalnego (ochrona przed wykonywaniem kodu w zapisywalnych obszarach pamięci)
• nałożenie ograniczeń dla mprotect, losowości dla mmap() oraz stosu i sterty
• ochronę przed modyfikacją jądra przez /dev/mem, /dev/kmem i /dev/port

 

[Pan Kot 1535]

Edytowano Wrzesień 8, 2017 przez Pan Kot (zobacz historię edycji)

[mynod3 0]

Hmm no fajna sprawa te łatki ale tak się zastanawiam - przecież całkiem dużo serwisów stoi na openvz, gdzie możliwości ingerencji zarówno w kernela jak i partycje np. /tmp oraz iptables są marne a mimo to funkcjonują bez problemu np. przy kernelu 2.6*. Mają farta czy stosują jakieś alternatywy? A może wirtualizacja openvz wyklucza pewne formy ataków? Co o tym myślicie?

 

I przy okazji mam pytanie co do grsec - jak wygląda np. w ovh aktualizacja tego kernela na dedyku? Gdybym nie chciał tego konfigurować ręcznie a po prostu kupić dedyka w ovh. Trzeba dokupywać jakąś opcję? Robi sie to automatycznie przez rezpozytoria czy ovh dostarcza jakoś te aktualizacje?

Edytowano Maj 24, 2013 przez mynod3 (zobacz historię edycji)

[Pan Kot 1535]

Edytowano Wrzesień 8, 2017 przez Pan Kot (zobacz historię edycji)