The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Для OpenSSH реализована поддержка дополнительной изоляции

25.07.2011 18:33

Разработчики OpenBSD реализовали новый режим изоляции "UsePrivilegeSeparation=sandbox", использующий rlimit и systrace для более жесткой изоляции кода, работающего на стадии до начала аутентификации (pre-auth privsep child). Новые ограничения задействованы в дополнение к уже используемому сбросу прав до непривилегированного пользователя и помещению процесса в chroot-окружение /var/empty, которые, например, не могли препятствовать выполнению системных вызовов к ядру и использованию сокетов.

Пока метод работает только в OpenBSD и использует систему systrace для ограничения числа допустимых системных вызовов. В будущих выпусках OpenBSD представленная опция будет использована по умолчанию. Для других систем представлен модуль-заглушка, который позволяет задействовать подсистемы ограничения системных вызовов других ОС. При использовании данной защиты в случае поражения через уязвимость в OpenSSH злоумышленник не сможет организовать атаку на локальную систему (например, эксплуатировать локальную уязвимость в ядре для повышения прав) и другие хосты (создать сокет, запустить прокси и т.п.).

Дополнительно, подготовлена универсальная реализация упрощенного sandbox, использующая setrlimit для установки в ноль лимитов на число файловых дескрипторов, число процессов и размер создаваемого файла.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Во FreeBSD 4.x с включенным сервисом SSH найдена удаленная root-уязвимость
  3. OpenNews: Релиз библиотеки libssh 0.5.0
  4. OpenNews: Вышло обновление OpenSSH 5.8 с исправлением недоработки, связанной с безопасностью
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/31286-OpenSSH
Ключевые слова: OpenSSH, patch, openbsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (54) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, anonymous (??), 19:03, 25/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хорошо, что openssh развивается. А в линухах такая радость появится? И когда, если да?
     
     
  • 2.2, Xasd (ok), 19:07, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > В будущих выпусках OpenBSD представленная опция будет использована по умолчанию.
     
  • 2.3, Vitto74 (ok), 19:09, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Исходник доступен, OpenSSH в Linux есть. Скоро будет.
     
  • 2.4, Аноним (-), 19:17, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Насколько я знаю, в Linux абсолютно точно такой же технологии - нет. Поэтому на портирование данной конкретной фичи за пределы OpenBSD рассчитывать не стоит.

    Но у пингвинов есть куда более мощный и гибкий SELinux, и система ограничений основных серверных демонов (а не только sshd) там существует уже давно.

     
     
  • 3.5, Аноним (-), 19:22, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Но у пингвинов есть куда более мощный и гибкий SELinux, и система ограничений основных серверных демонов (а не только sshd) там существует уже давно.

    И это в то время, когда разработчики OpenBSD, позиционирующие свою ОС как "самую безопасную", до сих пор не могут реализовать мандатный контроль доступа.

     
     
  • 4.6, Аноним (-), 19:35, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Шифрованные ФС тоже не освоили.
     
     
  • 5.8, Аноним (-), 22:11, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Шифрованные ФС тоже не освоили.

    Более того, этот секурный шелл, будучи вывешенным на серваке в датацентре начинает вскоре жрать процессорное время оптом - автоматические брутфорсеры с удовольствием пытаются проверить пароли на секурность. При том нет никаких встроенных средств для автобана хотя-бы наиболее наглых, долбящих десятками потоков с одного айпи. Приходится постоянно городить костыли, защищающие этого "секурного" от наиболее наглых автобрутфорсеров :(.

     
     
  • 6.9, nbw (?), 22:30, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Более того, этот секурный шелл, будучи вывешенным на серваке в датацентре начинает вскоре жрать процессорное время оптом - автоматические брутфорсеры с удовольствием пытаются проверить пароли на секурность. При том нет никаких встроенных средств для автобана хотя-бы наиболее наглых, долбящих десятками потоков с одного айпи. Приходится постоянно городить костыли, защищающие этого "секурного" от наиболее наглых автобрутфорсеров :(

    Ежели у вас на "серваке в датацентре" ssh висит без всякой защиты да ещё и на стандартном порту, то вы ССЗБ. iptables для кого придумали? Или файрволы нынче не в моде? А если есть файрвол, зачем его функциональность пихать в другие демоны?

    И не надо "городить костыли" - достаточно написать несколько шаблонов конфигурации, всё равно от этого никуда не деться.

     
     
  • 7.10, ы (?), 22:53, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ssh висит ... на стандартном порту, то вы ССЗБ. iptables для кого придумали?

    плюсую. для совсем же тупых\ленивых есть DenyHosts (http://denyhosts.sourceforge.net/) итп.

     
     
  • 8.14, Анонимко (?), 23:26, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А так же fail2ban ... текст свёрнут, показать
     
     
  • 9.39, r (?), 15:23, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    pf встроено... текст свёрнут, показать
     
  • 6.19, Аноним (-), 00:06, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Пытаться засунуть в сервер удаленного доступа IDS/IPS - не юниксвейно. Может, туда еще танцующих свинок запихнуть?

    Юниксвейно - юзать его в связке со специализированной IDS/IPS, например fail2ban. Настраивается легко и быстро.

     
     
  • 7.50, Клыкастый (ok), 05:11, 27/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Может, туда еще танцующих свинок запихнуть?

    да! да! а можно? :)

     
  • 6.22, nuclight (ok), 02:04, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Шифрованные ФС тоже не освоили.
    > Более того, этот секурный шелл, будучи вывешенным на серваке в датацентре начинает
    > вскоре жрать процессорное время оптом - автоматические брутфорсеры с удовольствием пытаются
    > проверить пароли на секурность. При том нет никаких встроенных средств для
    > автобана хотя-бы наиболее наглых, долбящих десятками потоков с одного айпи. Приходится
    > постоянно городить костыли, защищающие этого "секурного" от наиболее наглых автобрутфорсеров
    > :(.

    294, да залогинься уже

     
     
  • 7.24, 1 (??), 04:49, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    он пароль потерял, уже полгода не ходит под своим логином
     
  • 5.16, yason (?), 23:57, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Кто вам это сказал? Почитайте man softraid. Хотя бы на сайте проекта, т.к. виртуалку вы врядли будете поднимать, а больше вам посмотреть негде, как я понимаю.
     
     
  • 6.20, Аноним (-), 00:11, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>Шифрованные ФС
    >man softraid

    А про программные рейды, видимо, придется смотреть в man cryptofs? :)

     
     
  • 7.43, yason (?), 16:40, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по всему писать вы любите больше, чем читать. Ну удачи. Может все мы доживём до появления вашего опуса по шифрованию ФС в OpenBSD.
     
  • 5.26, PereresusNeVlezaetBuggy (ok), 07:21, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Шифрованные ФС тоже не освоили.

    В OpenBSD шифруют не ФС, а диски. См. vnd(4) и softraid(4).

     
     
  • 6.33, ананим (?), 11:47, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а у линуха и так, и так и разэдак:
    http://www.nixp.ru/articles/%D0%A8%D0%B8%D1%84&

    но речь про шифрование фс.

     
     
  • 7.35, Аноним (-), 12:05, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ох уж эти пальцезагибатели
     
     
  • 8.37, ананим (?), 13:38, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ой, да бросьте уже большой выбор проверенных решений никому и никогда не мешал ... текст свёрнут, показать
     
  • 7.42, PereresusNeVlezaetBuggy (ok), 15:57, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > а у линуха и так, и так и разэдак:
    > http://www.nixp.ru/articles/%D0%A8%D0%B8%D1%84&
    > но речь про шифрование фс.

    Шифрование блочного устройства проще и надёжнее, вот и всё. А через vnd(4) вы можете поиметь псевдодиск из любого обычного файла — по сути, придёте к тому же.

    Вы ФС зачем шифруете? Чтобы враг, если что, не прочёл, так? Через шифрование диска вы добьётесь того же самого. В чём для вас принципиальна разница?

     
  • 4.23, 1 (??), 04:48, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > не могут

    откуда дровишки?

     
  • 4.27, PereresusNeVlezaetBuggy (ok), 07:49, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>Но у пингвинов есть куда более мощный и гибкий SELinux, и система ограничений основных серверных демонов (а не только sshd) там существует уже давно.
    > И это в то время, когда разработчики OpenBSD, позиционирующие свою ОС как
    > "самую безопасную", до сих пор не могут реализовать мандатный контроль доступа.

    Не «не могут», а «не собираются». Листать через «next in thread»: http://marc.info/?l=openbsd-misc&m=126412951221902&w=2

    Не путайте безопасность и фичастость.

     
     
  • 5.34, nuclight (ok), 11:56, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Но у пингвинов есть куда более мощный и гибкий SELinux, и система ограничений основных серверных демонов (а не только sshd) там существует уже давно.
    >> И это в то время, когда разработчики OpenBSD, позиционирующие свою ОС как
    >> "самую безопасную", до сих пор не могут реализовать мандатный контроль доступа.
    > Не «не могут», а «не собираются». Листать через «next in thread»:
    > http://marc.info/?l=openbsd-misc&m=126412951221902&w=2
    > Не путайте безопасность и фичастость.

    Безопасность - не сущность, а атрибут. Первично решение задач, фокус может быть на безопасности способа её решения, но не отказе от решения как такового во имя некоей "безопасности". Какая ОС безопаснее? Та, где больше, например, способов решения задач, обладающих атрибутом безопасности.

    Таким образом, как бы ни парадоксально звучало, отказываясь от безопасных способов решения ряда задач, типа того же мандатного контроля, "самая безопасная" ОС OpenBSD начинает проигрывать другим в области безопасности же.

     
     
  • 6.41, PereresusNeVlezaetBuggy (ok), 15:53, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Какая ОС безопаснее? Та, где больше,
    > например, способов решения задач, обладающих атрибутом безопасности.

    Ну бред же. :) Вот в той же Windows NT всякие ACL и MAC имеются с рождения. И даже используются везде и повсюду, в отличие от всяких там grsecurity. Что, Windows NT от этого становится безопаснее? :)

    От количества способов безопасность сама по себе не улучшится. Можно говорить «вероятнее, там, где больше способов, будет лучше реализация», но не более того.

    И ещё, не стоит забывать, что каждая система защита тоже может быть уязвима. Поэтому, как ни парадоксально, чем больше систем защиты, тем потенциально уязвимее ОС. Системы защиты должны быть — да. Но в меру: их должно быть мало, они должны быть просты и эффективны в работе. MAC с этой точки зрения весьма и весьма неоднозначен, так как вероятность ошибки администратора или программиста возрастает многократно. При этом ложное чувство защищённости зачастую провоцирует пренебрежение другими системами защиты (только не говорите, что «это неправильные админы» — покажите мне человека, который никогда и ничем не пренебрегает), и в конечном счёте зачастую приводит к появлению дыр в защите — которых просто не было бы без этих систем защиты.

    И на всякий случай: речь не о том, что MAC — это однозначно плохо. Речь о том, что его недостатки зачастую недооценивают.

    А если кто-то придумает грамотное развитие идеи MAC, нивелирующее его недостатки, то patches are always welcome. :)

     
     
  • 7.44, nuclight (ok), 17:16, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ничуть Что, есть какой-то иной способ сравнивать безопасность _инструментов_ ... большой текст свёрнут, показать
     
     
  • 8.45, PereresusNeVlezaetBuggy (ok), 17:39, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то, есть Можно сравнить вот так этот инструмент удобнее держать, а этот... большой текст свёрнут, показать
     
     
  • 9.47, nuclight (ok), 19:32, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Чего Я ж четко сказал - безопасность инструментов А не удобство, пригодность... большой текст свёрнут, показать
     
     
  • 10.49, mixac (?), 23:22, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ох уж эти безопасники придут, психологией задавят вумными словами с панталыку ... текст свёрнут, показать
     
  • 5.52, Аноним (-), 14:08, 27/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Не «не могут», а «не собираются». Листать через «next in thread»:

    Все как обычно. "Если у нас чего-то нет, значит, нам это не нужно"
    А объяснить, почему именно не нужно - дело штатных демагогов.
    Вот не люблю я, когда вместо программистов работают демагоги.

    > Не путайте безопасность и фичастость.

    MAC - это безопасность. А то, что в сабже - костыли от неимения MAC.
    Никогда еще не видел, чтобы нагромождение костылей с закономерным запутыванием всего и вся повышало безопасность.

     
     
  • 6.55, PereresusNeVlezaetBuggy (ok), 14:52, 27/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Не «не могут», а «не собираются». Листать через «next in thread»:
    > Все как обычно. "Если у нас чего-то нет, значит, нам это не
    > нужно"
    > А объяснить, почему именно не нужно - дело штатных демагогов.

    Если быть более точным, текущие реализации MAC опёнковцев не особо устраивают. Видел комментарии от разработчиков о возможности прикручивания ACL к файловой системе. В целом же классический UNIX-контроль доступа звучит как: «это твоя сфера ответственности и делай здесь, что тебе нужно, а это не твоя», а MAC — «вот это можно, вот это нельзя, здесь можно только это, за исключением ещё вот того и того...». И единственно правильного выбора здесь нет. :)

    > Вот не люблю я, когда вместо программистов работают демагоги.

    Плодами трудов этих демагогов почему-то пользуются люди далеко за пределами OpenBSD. ;)

    >> Не путайте безопасность и фичастость.
    > MAC - это безопасность.

    MAC — это способ раздачи и ограничения прав доступа. Один из.

    > А то, что в сабже - костыли от неимения MAC.

    Кому костыли, а кому и нет. Потенциал у systrace вообще довольно большой.

    > Никогда еще не видел, чтобы нагромождение костылей с закономерным запутыванием всего и
    > вся повышало безопасность.

    Это вы про MAC, да? ;)

     
  • 4.46, Аноним (-), 18:47, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то мандантный. И вообще-то реализовали.
     
     
  • 5.48, PereresusNeVlezaetBuggy (ok), 21:12, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще-то мандантный. И вообще-то реализовали.

    По русскому — двойка, по архитектуре OpenBSD — тоже.

     
  • 3.7, Аноним (-), 22:04, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Насколько я знаю, в Linux абсолютно точно такой же технологии - нет.
    > Поэтому на портирование данной конкретной фичи за пределы OpenBSD рассчитывать не
    > стоит.

    Там для ограничений и постановки в загон есть куда как более крутой cgroups и ряд очень вкусных флагов у сискола clone() который в конечном итоге и стартует на самом деле процессы. Можно буквально одним сисколом загнать процесс в персональное стойло, откуда он не вылезет в остальную систему нифига. Очень удобно и не надо геморроиться с мандатным контролем доступа.

     
     
  • 4.11, Аноним (-), 23:10, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да, cgroups и namespaces - это реально круто, можно городить джейлы с гибким ограничением по лимитам. Но это типично линуксовые фичи, никак не оговоренные в POSIX и не имеющие аналогов в BSD и UNIX.

    Поэтому здесь мы сталкиваемся с "проблемой systemd" - чтобы сделать что-либо реально крутое, нужно сосредоточиться именно на линуксе, не пытаясь тянуть совместимость с отстающими в развитии платформами.

     
     
  • 5.12, ы (?), 23:18, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > сосредоточиться именно на линуксе, не пытаясь
    > тянуть совместимость с отстающими в развитии

    вы так пишите, как будто это что-то плохое.

     
     
  • 6.13, Аноним (-), 23:22, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Для многих разработчиков это неприемлемо, в основном из-за стереотипности мышления.
     
     
  • 7.30, ананим (?), 11:37, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да глупости всё это.
    все никсы всегда отличались - посикс+что-то_своё.
    и всегда серьёзные проекты поддерживали все специфичные фичи каждой будь то doors в соляре и ещё что.
    а opennssh - вполне себе серьёзный проект.
    Зы
    кстати, тут всегда про бсд говорят, дескать это у них был, а линух позаимствовал.
    Вот интересный факт:
    >lsh         Niels Möller         Active 1999-05-23 [2]
    >OpenSSH The OpenBSD project Active 1999-12-01

    http://en.wikipedia.org/wiki/Comparison_of_SSH_servers

     
     
  • 8.36, xz (??), 13:23, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ахаха почитайте внимательно как появился на свет OpenSSH если коротко - была т... текст свёрнут, показать
     
     
  • 9.38, ананим (?), 13:43, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да хоть ухаха факт остается фактом - сам проект OpenSSH - The OpenBSD project ... текст свёрнут, показать
     
     
  • 10.40, xz (??), 15:47, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    GPL головного мозга ... текст свёрнут, показать
     
     
  • 11.56, ананим (?), 21:07, 27/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да хрен тебя рязбёрет, что там у тебя ... текст свёрнут, показать
     
  • 10.58, Аноним (-), 07:55, 29/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Только что-то не нужен никому этот GPL-ный вариант ... текст свёрнут, показать
     
  • 5.15, Аноним (-), 23:32, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > не пытаясь тянуть совместимость с отстающими в развитии платформами.

    А почему вы _другую_ реализацию называете отстающей? На основании какой причины? Просто потому что она - другая? Это глупо.

     
     
  • 6.17, Аноним (-), 23:59, 25/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >А почему вы _другую_ реализацию называете отстающей? На основании какой причины? Просто потому что она - другая? Это глупо.

    Отстающими были названы не другие реализации существующих технологий, а платформы, не имеющие технологий, сравнимых по возможностям с cgroups и namespaces.

     
  • 6.18, Аноним (-), 00:01, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему вы _другую_ реализацию называете отстающей? На основании какой причины? Просто
    > потому что она - другая? Это глупо.

    Иметь другую реализацию технологии (схожую по возможностям) и не иметь вообще никакой реализации - это два принципиально разных случая. В данном случае речь идет именно о втором.

     
     
  • 7.21, nuclight (ok), 02:03, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> А почему вы _другую_ реализацию называете отстающей? На основании какой причины? Просто
    >> потому что она - другая? Это глупо.
    > Иметь другую реализацию технологии (схожую по возможностям) и не иметь вообще никакой
    > реализации - это два принципиально разных случая. В данном случае речь
    > идет именно о втором.

    И будет этот второй случай враньем, проистекающим от незнания других систем.

     
     
  • 8.31, ананим (?), 11:39, 26/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    не будет потому что сейчас конкретно речь идёт об опенбсд ... текст свёрнут, показать
     
  • 8.51, Аноним (-), 14:02, 27/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы так говорите, как будто можете действительно назвать технологии аналогичного ... текст свёрнут, показать
     
     
  • 9.53, nuclight (ok), 14:12, 27/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы так говорите, как будто не будет тут же анонимной демагогии, что солярку тут ... текст свёрнут, показать
     
     
  • 10.57, ананим (?), 21:09, 27/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    дык и нечего соляркой махать В рамках сабжа это вообще офтопик, а не в рамках -... текст свёрнут, показать
     

  • 1.29, kibab (?), 10:14, 26/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот в ту "заглушку" наверняка хорошо воткнётся Capsicum во FreeBSD.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру