Tag: bezpieczeństwo

grsecurity

grsecurity nie jest softem samo w sobie, jest to zestaw poprawek i zmian, które służą do zwiększenia bezpieczeństwa maszyny do której jest zdalny dostęp z miejsc o niepotwierdzonym statusie bezpieczeństwa np. logowanie do shell’a.

po co mi to wszystko

Zainstalowanie pakietu poprawek zwiększa bezpieczeństwo systemu i jest kolejnym elementem zabezpieczenia przed atakami zarówno z zewnątrz jaki i z wewnątrz systemu.

  • losowo przydzielane: uid, gid i pid
  • zabezpieczenie /proc przed pokazywaniem właścicieli procesów
  • zabezpieczenie symlinków przed wyścigiem/tmp
  • zabezpiczenie FIFO
  • zabezpieczenie dmesg(8)
  • audyty i alerty mogą logować IP atakującego

Użycie tego zestawu do środowiska w którym używamy chroot’ów pozwala na

  • uniemożliwia wyjście z chroota, nawet rootowi
  • zabezpiecza pamięć używaną przez chrooty
  • uniemożliwia killowanie procesów nie należących do chroota
  • uniemożliwia wykonania z zewnątrz chroota poleceń: ptrace, capget, setpgid, getpgid, getsid
  • brak możliwości przeglądania procesów z poza chroota
  • uniemożliwia mount i remount
  • wyłącza komendę pivot_root
  • zabezpiecza przed podwójnym chrootowaniem
  • wyłącz fchdir poza chrootem
  • inne…

instalacja i konfiguracja

Proces instalacji wygląda dość ciekawie, ponieważ nie polega na „zwykłym” instalowaniu pakietów, tylko na przekompilowaniu kernela wraz z poprawkami grsecurity. W tym celu należy ściągnąć grsecurity, gradm oraz niezmodyfikowane, oficjalne źródło kernela. Ważne jest to aby wybrać wersję dokładnie zgodne ze sobą.

Ze względów bezpieczeństwa (chcemy przecież je zwiększyć) należy po ściągnięciu zweryfikować archiwa za pomocą GPG i dostępnych sygnatur. Proces weryfikacji plików jest dokładnie opisany po angielsku i nie ma sensu go przepisywać.

Następnym krokiem jest nałożenie patcha na źródła kernela i skompilowanie go. Mamy do wybory trzy poziomy od niskiego do wysokiego oraz wybór ręczny dla zaawansowanych użytkowników.

Po skompilowaniu najłatwiej użyć nowego jądra na debianowatych, po prostu poprzez stworzenie deb’a i jego instalację, co również opisane jest na wikibooks.

jeszcze o bezpieczeństwie wordpressa

Przedwczoraj we wpisie przedstaw się, zostaniesz zhakowany pisałem o bezpieczeństwie wordpressa i o potrzebie usunięcia sygnatury z wersją.

Część udało się zrealizować samą skórką. Niestety nie jest to wszystko co trzeba zrobić.

Identyfikacja następuje jeszcze w wielu miejscach i te niestety wymagają zmian w kodzie, co dotyczy plików:

  • wp-includes/feed*.php – zawierają generator.
  • wp-includes/general-template.php – buduje linka do arkusza css z panelu administratora, a ekran wykorzystywany jest dla odnośnika rejestracji nowego użytkownika.

Jak na razie jest to wszystko co znalazłem.

Oczywiście należy pamiętać, że takie ukrywanie wersji działa tylko na najbardziej prymitywne roboty, ponieważ te zaawansowane odpytają po prostu serwis po standardowych funkcjach i z kompletu odpowiedzi uzyskają przybliżoną lub dokładną wersję. Ale … nie chodzi o to żeby uciec przed lwem, wystarczy że będziemy szybsi niż ten kogo lew dorwie.

przedstaw się, zostaniesz zhakowany

Mało śmieszna sytuacja z dzisiejszego dnia.

W nocy został wydany wordpress 2.3.3, w którym poprawiono poważny błąd bezpieczeństwa, który z grubsza polega na tym, że posiadając dowolnego użytkownika w serwisie, można zmienić posty, nawet jeżeli nie ma się do tego uprawnień.

Po przeczytaniu natychmiast wystawiłem zadanie do działu obsługi, żeby powiadomili klienta i rozpoczęli procedurę uaktualniania kilku serwisów opartych właśnie o wordpressa. Za około 30 minut klient sam podesłał zadanie, że w jednym z wpisów pojawiły się dziwaczne odnośniki (viagra, powiększanie, podróże), czyli generalnie automatycznie dodawany spam pozycjonerski.

Tym którym zależy na takiej promocji serwisów swoich klientów korzystają z prostych automatów wykorzystujących właśnie to, że opensource’owy soft zazwyczaj sam przedstawia się, czym jest, co znacznie ułatwia „pracę” tych, którzy to wykorzystują. Rozwinięcie tematu znajdziecie tutaj: WordPress – bezpieczeństwo, tutaj skupię się tylko na usunięciu wpisu o wersji.

Prawie w każdym themie jest linijka która podaje z jakiej wersji wordpressa korzystamy. Wpis zrobiony jest w części „head” za pomocą tagu meta z następującymi wartościami:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
<!-- leave this for stats please -->

Widać, że wersja jest uzupełniana automatycznie.

Sugestia jest następująca: mimo prośby producenta, by zostawić wpis do tworzenia statystyk należy się tej linijki albo pozbyć, albo wpisać na sztywno jakąś poprzednią istniejącą wersję z sugestią na coś naprawdę archiwalnego. Z punktu widzenia blogera niczego to nie zmienia, a nieco poprawia nasza sytuację w czasie między wypuszczeniem aktualizacji, a wykonaniem jej w naszym serwisie. Bo aktualizację należy wykonać bezwzględnie, bo automaty często pomijają sprawdzanie wersji i po prostu próbują wstrzyknąć nam niechciane treści.

Zapomniałeś hasła?

Google znajdzie go dla ciebie. Niestety.

Taki złowieszczy tytuł oraz cały artykuł znajdziecie na stronie Guardiana.

Forgotten your password? Google can find it for you. Unfortunately

Większość dotyczy hasha md5, więc nie jest aż tak źle jak zapowiadają, ale podsumowując: proste hasło dla którego ktoś uzyska (ukradnie) hash md5 daje się odnaleźć w bardzo krótkim czasie.

Musiałem to sprawdzić.

Oparte na WordPress & Theme by Anders Norén