Sziasztok,
A problemam amiben segitsegre lenne szuksem, az egy ACL-ezheto disztro kivalasztasa lenne. A gep kozvetlenul a netre lesz dugva, Apache 2, PowerDNS, GIT, SSH es SQUID fog futni rajta. Amire szuksegem lenne meg az >=2.6.13 kernel, SSP, PaX, grsec, vagy rsbac amelyiket tamogatja alapbol, ill. jol jonne, ha a fenti alkalmazasokat a disztro tamogatna hivatalos csomagokkal.
Nem igazan szeretnek hozza C fordito jelenletet, tehat sajnos Gentoo nem nagyon johet szoba.
Distrowatch-ot bongesztem, jonehany disztro oldalat is felkerestem az ugyben, lehuztam par disztrot is probakeppen. Adamantixszal, CentOS-sel kiserleteztem, de sajnos nem hoztak el vart eredmenyt. Adamantix meg nagyon uj, 2.4-es kernel van rajta alapbol, ill. CentOS alapbol SELinuxszal van szerelve ami pedig eleg macera tud lenni, ill. hallottam egy-ket negativ tapasztalatot rola (ne flame-eljunk ezen legyszi :-) ).
OpenBSD-t ill. FreeBSD-t nem vettem gorcso ala erre a feladatra, de az mar biztos, hogy mindkettonel problema lenne az egyik driverrel, amire meg a Linuxos tamogatas is csak 2.6-hoz van es kulon forgatni kell, raadasul prop licensz van hozza.
Tudom, hogy kicsit RTFM a topic, de inkabb leirom par sorban, mint sem hetekig disztrokat toltogessek es kiserletezzek. Hatha valakinek van jo tapasztalata es a fenti problemara hasra csapva is tud megoldast.
Koszi elore is. :-)
- 1436 megtekintés
Hozzászólások
emerge -C gcc :)
off:
abszolut laikus kérdés: miért nem jó megoldás az, hogy ha a gcc-t külön mountolod be ha szükség van rá? Nem elég védelem?
Az egyértelmű, hogy azért ne legyen c fordító, hogy ne lehessen tetszőleges programot helyben megírni, felrakni. De ha már addig eljut valaki, hogy tetszőleges diszket felcsatoljon akkor milyen védelem van még amit még nem játszott át?
- A hozzászóláshoz be kell jelentkezni
"emerge -C gcc :)"
LOL
"off:
abszolut laikus kérdés: miért nem jó megoldás az, hogy ha a gcc-t külön mountolod be ha szükség van rá? Nem elég védelem?"
Az asztali gepeim (kiveve a fejlesztoi) mind igy vannak megoldva. :-) Ez akkor jo, ha a gep mellett allandoan ott lehetsz es kulso median van a cumo, amit neha ramountolsz, ha frissitesz.
"Az egyértelmű, hogy azért ne legyen c fordító, hogy ne lehessen tetszőleges programot helyben megírni, felrakni."
Egyreszrol, masreszrol pedig egy gyengebb geprol van szo ahol egy gcc upgrade napokra hazavagja a performance-t, foleg ha terhelve is van. (jo, tudom ott a nice, de akkor sem egy szep megoldas)
"De ha már addig eljut valaki, hogy tetszőleges diszket felcsatoljon akkor milyen védelem van még amit még nem játszott át?"
Vegulis a bankban a riaszto is tok hulyeseg ha a rablo egybol John Deere-rel megy be... :-) (Erre felenk tavaly nyaron volt is pelda. A fel orszag ezen rohogott. :-) )
Na, de komolyan. Az SSH-n be fognak jelentkezni masok is, ami azt jelenti, hogy a usernevekrol es jelszavaikrol maguknak kell gondoskodni, hogy azok illetektelen kezbe ne keruljenek. Csak egy pelda: Spyware a user gepen... ... ... ...
Utana mar csak egy exploit kell. Azt hiszem eppen itt a HUP-on volt rola szo, hogy par ilyen agyon ACL-ezett "H4CkMe competetion" megrendezese elobb ert csufos veget mint a szervezok azt eredetileg terveztek. :-D
---------------------
Ригидус а бетегадьбол
- A hozzászóláshoz be kell jelentkezni
Az asztali gepeim (kiveve a fejlesztoi) mind igy vannak megoldva. :-) Ez akkor jo, ha a gep mellett allandoan ott lehetsz es kulso median van a cumo, amit neha ramountolsz, ha frissitesz.
Lehet távoli gépről is mountolni eszközt ha jól emlékszem (sosem használtam, de mint ha volna rá mód). Meg mekkora a gcc? 10 perc alatt át scp-zhető sztem.
És akkor ezzel kötnék rá a következő gondolatmenetre: ha abból indulunk ki, hogy bárki bármiféle korlátozás ellenére hozzáfér a mount-hoz, akkor mi arra a garancia, hogy az emerge/apt-get/mittudoménmihez nem férhet hozzá?
Jó, nem helyben fordítasz, de a bináris is felpakolódik, sőt! Azt még észre sem veszed, mert a fordítás azért hagy nyomot jópár helyen (legrosszabb esetben a cpu terhelésen ;) ).
Tény a gcc update terhelését nem tudod kikerülni, bááár létezik más gépen való fordítás... :)
Anno domini (10 éve?) volt idehaza valami hasonló hackverseny ahol az volt a pláne, hogy virtuális gépekbe léptek be az emberek ami tele volt rakva honeypottal. Ha jól emlékszem a cég nyert :)
Ezzel szemben a mostani versenyeknél nem hallottam efféle védelmekről. (bár kétségtelen, hogy nagyon nem is olvastam utánuk, csak ami szembe jött...)
továbbra is bocs az offolásért, de más problémájából inkább tanulnék, mint a sajátomból utólag :)
- A hozzászóláshoz be kell jelentkezni
"Lehet távoli gépről is mountolni eszközt ha jól emlékszem (sosem használtam, de mint ha volna rá mód)."
pl NFS, de neten keresztul nem ajanlott. :-)
"Meg mekkora a gcc? 10 perc alatt át scp-zhető sztem.
Tizenpar mega, de itt nem is ezen van a hangsuly. Abbol indultam ki, hogy a gep tetu lassu, de a rajta levo szolgaltatasoknak viszont elegendo lesz. Memoria is annyi van benne (128Mb) ami a fentiekhez eleg, de egy kernel forgatas kozben mar kiswappelne a rozmaringos loturot is a memoriabol, amitol az egesz ugy ahogy van hasraesne. :-) (ki van probalva)
"És akkor ezzel kötnék rá a következő gondolatmenetre: ha abból indulunk ki, hogy bárki bármiféle korlátozás ellenére hozzáfér a mount-hoz, akkor mi arra a garancia, hogy az emerge/apt-get/mittudoménmihez nem férhet hozzá?"
Semmi. Viszont ezekkel nem nagyon fog olyan dolgokat telepiteni amivel ugrodeszkat epit es pl a CIA gepeit brute force-olja. :-)
"Jó, nem helyben fordítasz, de a bináris is felpakolódik, sőt! Azt még észre sem veszed, mert a fordítás azért hagy nyomot jópár helyen (legrosszabb esetben a cpu terhelésen ;) )."
Hat ez meg a masik. Egy gcc/kernel upgrade, vagy uj release forgatasa is telenyomizza a swappet. Ezert nem latom ertelmet, hogy gcc-zek azon a gepen. Annak meg vegkepp nem latom ertelmet, hogy ha egyebkent sem tudom ertelmes dologra hasznalni, akkor minek legyen fenn. :-)
"Tény a gcc update terhelését nem tudod kikerülni, bááár létezik más gépen való fordítás... :)"
Tiszta sor, de ennel a gepnel ahhoz cross-compilerrel, meg csomagolgatassal kellene lepten-nyomon vacakolni, ehhez meg mar "oreg vagyok". :-)
"Anno domini (10 éve?) volt idehaza valami hasonló hackverseny ahol az volt a pláne, hogy virtuális gépekbe léptek be az emberek ami tele volt rakva honeypottal. Ha jól emlékszem a cég nyert :)"
Van ilyen mostansag is, meg van az ellenkezo eset is. Szvsz en olyan 50%-50%-re tennem az aranyt. :-)
"továbbra is bocs az offolásért, de más problémájából inkább tanulnék, mint a sajátomból utólag :)"
Ez igy is van rendjen. :-)
---------------------
Ригидус а бетегадьбол
- A hozzászóláshoz be kell jelentkezni