programfordítás, fordítók, biztonság ?

Security-all

programfordítás, fordítók, biztonság ?

  • 1001 megtekintés

( laja | 2004. 05. 27., cs – 11:51 )

Üdv!

Érdeklődni szeretnék egy kicsit, hátha valaki meg tudja világítani a következő dolgot:

Valami olyasmit olvasgattam, hogy fontos gépekre ne nagyon rakjunk fordítót, gcc-t és társait például, mert így a gép kevésbé lesz biztonságos. (talán azzal, hogy ha valaki belép hozzánk valamilyen úton-módon, akkor már tud magának programot fordítani).

Viszont a bsd-k, amik elég biztonságosnak vannak mondva, általában úgy frissülnek, hogy az ember cvs-ből letölti az újat aztán fordít. Meg ott van a gentoo is...

Másik dolog, hogy még ha száműzöm is a gcc-t, attól még egy perl ott szokott maradni debianon (én általában a debiant használom, de gondolom többi disztribben is használnak perlt adminisztratív dolgokra). Ha azt is leszedem, akkor igen keserves lesz az élet, de még kibírható, viszont egy bash shell akkor is ott marad, azzal már nem tudnak mit kezdeni ?

Röviden ennyi lenne a kérdés, hogy is van valójában ez a fenti dolog, legyen fordító az adott gépen vagy ne ?
Kösz :)

Laja

( anr | 2004. 05. 27., cs – 12:00 )

[quote:c0e184a5eb="laja"]
Röviden ennyi lenne a kérdés, hogy is van valójában ez a fenti dolog, legyen fordító az adott gépen vagy ne ?
Kösz :)

Laja

A dolog abol az elvbol jon, hogy ne konnyitsuk meg az betoro dolgat.
Csak azutan szamit, hogyha mar feltortek a gepet, es mit tud azutan csinalni. Ha van a betoronek ideje, akkor hoz egy statikusan forditott rootkit-et, vagy masik gepen fordit egy kernelmodult es beszenvedi az adott gepre.
ha viszont van fenn fordito, esetleg fenn van az adott gepen futo kernel forrasolstol is, akkor nemileg egyszerubb a dolga.

En az olyan gepeken, ahol fontos a biztonsag semmi olyat nem hagyok ami nem elengedhetetlenul szukseges a gep _futasahoz_. A debianban a perl szukseges.
Demegegyszer ezek akkor lenyegesek, ha valamilyen modon mar _bejutott_, mennyire kepes eltitkolni/fennartani ezt az allapotot.

( antiemes | 2004. 05. 27., cs – 12:00 )

Hi!

Szerintem ha valaki nem talal azon a gepen forditot, amire be akar jutni (tfh:mar van user joga), akkor mondjuk fordit maganak a sajat gepen progit. Imho sok ertelme nincs annak, ha nincs fordito a gepen.

By(t)e
TBS::Antiemes

( nug | 2004. 05. 27., cs – 12:09 )

Ha a pecseket gyorsan felrakod, tuzfal van es a szolgaltatasaidat is ,,normalisan'' bekonfigoltad, akkor olyan dolgokkal foglalkozzal, amivel eszre tudod venni a betorest, illetve az abbol eredo karokat minimalizalhatod: hash lenyomatok, jo mentes, katasztrofaterv, stb.

Ez fontosabb, mint az, hogy meg egy picit tweakelsz a rendszeren. Csak gondolj arra, hogy mely intezkedessel kik ellen tudsz vedekezni. Vajon hany szazalek azon tamadok aranya, akik ha mar bejutottak a rendszeredbe, akkor megakadalyoz egy gcc hianya?

Ez persze csak egy hozzaallas, full paranoia rendszereken masok lehetnek az igenyek.

( vmiklos | 2004. 05. 27., cs – 12:27 )

nem támadás szempontjából, de ha egy fileserverre nem teszel gcct, amin mondjuk egy munkahelyen van 100 usernek loginja, akkor legalább fordításra nem a servert fogják a felhasználók használni
simán el tudom képzelni, hogy van olyan user, akinek csak 500as a gépe, rájön, h a server meg mondjuk 3GHzes, és akkor nekiáll programokat fordítgatni a fileserveren
jó, tudom, chmod 754 :wink:

( nug | 2004. 05. 27., cs – 13:24 )

Miota van egy usernek loginja a szerverre? Vagy ez kulon application server? Akkor meg miert ne.

( vmiklos | 2004. 05. 27., cs – 16:39 )

sok cég egy gép _a_ szerver ( :-( ), és az az application szerver, tűzfal, meg miegyéb egymagában. erre van a usereknek is loginjük, de lehet, hogy a szerverről futtatja mindenki az OOot is, és akkor elég zavaró, ha valaki elkezd fordítgatni rajta :wink: