ВУЗ:
Составители:
Рубрика:
56 Д. С. КУЛЯБОВ
Очевидно, что этим условиям удовлетворяет большинство ОС, в том
числе UNIX и Windows NT.
3.2. ПРОЕКТЫ БЕЗОПАСНОСТИ ДЛЯ LINUX
3.2.1. ПРОЕКТ OPENWALL
Встраивание средств защиты в ядро операционной системы обеспечи-
вает контроль на уровне процесса, вне зависимости от того, какие про-
граммные модули и библиотеки участвовали в его создании. Участники
проекта Openwall [13] работают над созданием собственного дистрибу-
тива Linux, преследуя цель «снижения количества и последствий оши-
бок в программных компонентах, а также уменьшения возможного вреда
от ошибок в стороннем программном обеспечении, которое пользователь
может установить на свой компьютер». Это достигается путем тщатель-
ной проверки программного обеспечения и применения дополнительных
средств защиты, работающих на уровне ядра.
Если переход на дистрибутив Openwall по каким-либо причинам неже-
лателен, то можно воспользоваться отдельными решениями, способными
повысить уровень безопасности любой современной Linux-системы. Сде-
лать это позволит пакет, содержащий набор дополнений для ядра.
При настройке ядра необходимо произвести настройку параметров ме-
ню Security options [20].
Опция Non-executable user stack area налагает запрет на вы-
полнение кода, находящегося в стековой области пользовательского про-
цесса. Ее активизация приводит к блокированию ядром любых попыток
исполнения кода в стеке. Таким образом, осуществляется защита от атак,
использующих механизм изменения адресов возврата функций на адреса
запуска вредоносного кода, расположенного в стековой области.
Включение запрета на выполнение кода, расположенного в области
данных может привести к неработоспособности некоторых программ, ис-
пользующих механизм так называемых Trampoline-вызовов. Если в ва-
шей системе имеются такие программы, то необходимо включить опцию
Autodetect and emulate GCC trampolines. В этом случае рабо-
тоспособность программ будет восстановлена, но безопасность системы
несколько снизится.
Опции Restricted links in /tmp и
Restricted FIFOs in /tmp включают дополнительные ограниче-
ния при работе с соответствующими элементами файловой системы.
Это позволяет противостоять целому классу атак, осуществляемых
посредством манипуляций с этими объектами.
Активизация режима Restricted /proc приводит к ограничению
доступа к информации, находящейся в каталоге /proc. При этом рядовым
пользователям становится недоступной некоторая системная информация
и информация по чужим для них процессам.
В ОС Linux есть системный запрос setrlimit, позволяющий огра-
ничивать число процессов, создаваемых пользователем. К сожалению,
Страницы
- « первая
- ‹ предыдущая
- …
- 54
- 55
- 56
- 57
- 58
- …
- следующая ›
- последняя »
