Proč?

kmalloc() funguje dobře. Když někdo potřebuje 200 skupin, možná je ještě normální, ale pokud někdo potřebuje víc než se se vejde do kmalloc(), je to tak přehnané, že už k tomu není důvod.

vmalloc prostor je omezený a kód tak bude hodně nehezký.

Díval jsi se poslední dobou na zdrojové kódy glibc nebo proč myslíš, že bychom měli podporovat uhozené používání?

Už dlouhou dobu mluvíme o oddělení hlavičkových souborů kernelu od částí, které se více hodí pro začlenění do uživatelského prostoru.

Je to rozsáhlý projekt a zabere mnoho času, zvláště pokud chceme, aby uživatelské hlavičky pěkně vypadaly - místo obyčejného zkopírování všeho, co najdeme ve stávajících hlavičkách.

Někde se musí začít a úplně prvním krokem je ujištění, že s projektem souhlasíte. Následuje výběr názvů adresářů.

Níže

1. malý textový soubor "linuxabi" popisující názvy (podadresáře include linuxabi a linuxabi-alpha, atd.),
2. soubor linuxabi/mountflags.h s definicemi pro MS_RDONLY a příbuzné,
3. soubor linux/mountflags.h, který obsahuje linuxabi/mountflags.h a kromě toho definuje věci jako MS_RMT_MASK a IS_NOATIME(inode) a
4. patch pro fs.h, který tyto definice odstraňuje a přidává řádku include.

Protože existuje mnoho různých scénářů útoků, je na tuto otázku i více možných odpovědí. Beru v potaz ten nejreálnější a poskytnu stručnou odpověď.

Poslední, ale myslím, že nejdůležitější věcí je, že úroveň obtížnosti provedení takového útoku je o mnoho vyšší než běžná úroveň znalostí mnoha script kiddies. Naprostá většina útočníků má malé nebo vůbec žádné znalosti o operačních systémech všeobecně a o Linuxu především, zvlášť pokud mluvíme o napsání C programu, zavolání mmaps v tom programu a spuštění kódu, který zajistí práva roota a pak odstranění toho modulu ke spuštění klasického útoku.

Neexistuje 100% bezpečný systém, ale DigSig zvyšuje úroveň bezpečnosti, protože prostě útočníkovi ztěžuje jeho/její útok.

Proč existuje požadavek, aby se k nižším portům (pod 1024) mohly připojit pouze root procesy?

Já tomu rozumím tak, že je to přežitek z dávných dnů, kdy se jednalo o bezpečnostní funkci. Protože na portech pod 1024 mohly naslouchat jen root procesy, mohli jste "důvěřovat" tomu, že každé spojení na nízkým port bude "bezpečné". Jinými slovy, nikdo, kdo neměl root přístup nemohl na telnetovém portu "blufovat", takže bylo bezpečné napsat své heslo.

Nevím, jestli je to skutečný důvod, ale pokud ano, zcela zjevně už to nemá smysl, coby "bezpečnostní" funkce.

Kromě toho, nevytváří teď ten požadavek větší bezpečnostní problém než jaký kdy vyřešil?

Procesy nucené běžet jako root (přinejmenším při startu systému), které mají bezpečnostní díry, jsou přeci hlavní příčinou "vzdálených root exploitů".

Takže neslouží-li ten požadavek na roota pro nízké porty žádnému účelu a navíc je příčinou bezpečnostních problémů, není na čase se ho zbavit?

Kromě toho, zatímco pouze root může vázat na nízké porty, KAŽDÝ uživatel může vázat na vysoké porty. To také způsobuje spoustu bezpečnostních starostí.

Takže bych rád navrhl následující zlepšení bezpečnosti kernelu a rád bych slyšel vaše komentáře.

Návrh: Bezpečnostní systém vázání portů založený na skupinách pro příchozí a odchozí vázání.

Například skupina "root" může naslouchat na portech "*" (všechny) a zároveň má povolena odchozí spojení na "*" (všechny).

Skupina "www" by mohla vázat na porty "80, 443" (http, https) a neměla by povolena ŽÁDNÁ odchozí spojení.

Skupina "mail" (nebo postfix nebo co já vím) by mohla naslouchat na portu "25" (smtp) a připojit se k "25".

Skupina "users" by mohla naslouchat na všech, ale připojit se jen k 20-21, 80, 443.

atd.

To zařídí dvě zásadní věci:

• Žádný proces nebude muset běžet jako root.
• Žádný neautorizovaný proces nebude smět naslouchat nebo vytvářet připojení k portu. Na serverech, které povolují vzdálené uživatele, to zabrání věcem jako jsou boty, relay spamu, shození ftp a mnohému druhu neplech.

Představuji si jednoduchý soubor "/etc/ports" ve formátu "<groupid>,<incoming ports>,<outgoing ports>".

Uvědomuji si, že podobné věci je možné udělat jinými způsoby (myslím, že s iptables), ale řekl bych, že by to měla být základní součást bezpečnosti systému, a proto by to mělo být rovnou v kernelu (stejně tak, jako je teď vázání roota na nízké porty).

Myslím si, že existuje několik závažných důvodů, proč bychom měli standardní chování změnit.

• Patche nejsou řešení. Jako sysadmin si nemůžu dovolit extra problémy s aplikováním patchů kdykoliv je třeba upgradovat kernel. Navíc, objeví-li se urgentní patch pro jádro, musel bych čekat na externí patch, abych mohl kernel zkompilovat. Takže obecně jsou pro běžné sysadminy patche problematické.
• Není-li funkce zabudována do standardního chování, nebude pro ní nikdo psát kód.
;
• Pokud se shodneme, že stávající chování je zastaralé a způsobuje problémy s bezpečností, musíme se ptát "Existuje rozumný důvod ho zachovávat?". Nebude Linux s patchem lepším, bezpečnějším Linuxem?

Zpětná kompatibilita by taky nebyla problém, protože většina programů prostě zkusí zabrat port a když ho nedostanou, vyhodí chybou. S myšlenkou /etc/ports by fungovaly.

Všechny ostatní programy, které by mohly mít potíže (například ty, které kontrolují, jestli jsou root, před tím, než se spustí), mohou být stále spouštěny jako root.