Инструкциями по безопасности для Debian

ferum · 13 февраля 2021, 14:33:12

Цитата: dzhoser от 13 февраля 2021, 11:11:05эти темы говорят об обратном

[offtopic]Человеку от природы свойственно пугаться всего что он не видит или не понимает... вот бывает приснится какая то хрень, потом сидишь и думаешь...[/offtopic]

Листик · 13 февраля 2021, 20:09:44

Цитата: dzhoser от 09 февраля 2021, 15:08:07Раздел /boot необходимо монтировать в c опцией ro, это защитит от подмены ядра. Соответсвенно для обновления ядра необходимо перемонтировать раздел в rw. Для установки некоторых программ разделы /tmp и /var/tmp необходимо перемонтировать без опций noexec,nosuid

Я, например, не представляю себе, как перемонтировать раздел. Примонтировать вот еще могу на этапе установки. А обновления разные прилетают, получается, какое-то нельзя будет просто так установить? И т.п.

yoric · 13 февраля 2021, 20:14:29

Цитата: Листик от 13 февраля 2021, 20:09:44Я, например, не представляю себе, как перемонтировать раздел

Хакер представляет :-) Но вот так просто с налёту невозможно подменить ядро, сначала надо проникнуть другим путём в систему, а тогда уж и перемонтирует без проблем. Так что всё это суета по большей части :-)

dzhoser · 14 февраля 2021, 07:14:47

Цитата: Листик от 13 февраля 2021, 20:09:44Я, например, не представляю себе, как перемонтировать раздел. Примонтировать вот еще могу на этапе установки. А обновления разные прилетают, получается, какое-то нельзя будет просто так установить? И т.п.

В инструкции указано

ЦитироватьРаздел /boot необходимо монтировать в c опцией ro, это защитит от подмены ядра. Соответсвенно для обновления ядра необходимо перемонтировать раздел в rw.

Для этого в /etc/fstab необходимо ro заменить на rw и перезагрузиться.

Cообщение объединено 14 февраля 2021, 07:27:42

Цитата: yoric от 13 февраля 2021, 20:14:29Но вот так просто с налёту невозможно подменить ядро, сначала надо проникнуть другим путём в систему, а тогда уж и перемонтирует без проблем.

Да для замены ядра нужна перезагрузка, на серверах 24/7 она может являться индикатором взлома. Проникать в систему не обязательно. Пользователь может сам установить скомпроментированное ядро.

Cообщение объединено 14 февраля 2021, 07:43:24

Например такое
https://forum.ubuntu.ru/index.php?topic=301750.msg2363674#msg2363674

dogsleg · 14 февраля 2021, 07:53:21

Возможно, кому-то эта инструкция и будет полезна, поэтому хорошо, что она вообще есть. Только выглядит она сейчас ужасно, читать очень трудно, глаза разбегаются. Хотя бы отделите нумерованные пункты друг от друга отступами.

dzhoser · 14 февраля 2021, 08:24:26

dogsleg, пункты разделил, выделил жирным.

yoric · 14 февраля 2021, 08:58:49

Цитата: dzhoser от 14 февраля 2021, 07:14:47Для этого в /etc/fstab необходимо ro заменить на rw и перезагрузиться.

Как говорится, и эти люди запрещают мне колупать в носу, то есть учат других :-)

Код Выделить

mount -o rw,remount /boot и никаких fstab-ов, а тем более перезагрузок.

Цитата: dzhoser от 14 февраля 2021, 07:14:47Проникать в систему не обязательно. Пользователь может сам установить скомпроментированное ядро.

Вот, и не только ядро, а также сам открыть ворота врагу. У Вас ничего не сказано о доверенности репозитариям установки и обновления ПО. Всякие левые PPA и прочие. А это, по-моему, первейший пункт безопасности.

dzhoser · 14 февраля 2021, 09:14:41

Уважаемый yoric,

Цитата: yoric от 14 февраля 2021, 08:58:49mount -o rw,remount /boot

Да так можно сделать, но вопрос, я так понял был в том чтобы rw было постоянно.

Цитата: yoric от 14 февраля 2021, 08:58:49У Вас ничего не сказано о доверенности репозитариям установки и обновления ПО

Поэтому я предлагаю писать инструкцию коллективно, а не одному мне.
И если Вы можете сделать вклад по обновлению, напишите как это правильно делать.

Cообщение объединено 14 февраля 2021, 09:27:10

Добавлен пункт по восстановлению битых deb пакетов

Susumo · 14 февраля 2021, 12:02:12

Цитата: yoric от 14 февраля 2021, 08:58:49Вот, и не только ядро, а также сам открыть ворота врагу. У Вас ничего не сказано о доверенности репозитариям установки и обновления ПО. Всякие левые PPA и прочие. А это, по-моему, первейший пункт безопасности.

В точку! Было дело как то - позвонил мне друг, типа не то его занкомому, не то коллеге понадобилось накатить линь, ну ты типа им пользуешся - помоги. Ну пришел, говорю линь не вынь, переучиватся придется, ну тот вроде сомневаться начал, ну я и поинтересовался зачем ему это. Говорит вирусы достали, по распросам выяснилось, что он сам их с пиратками тащил в систему, антивирус сробатывал, таблетка требовала права администратора и это его не смущало, он смело отправлял все в исключения, а потом удивлялся откуда у него в системе в автозагрузке банер с фалоимитаторами, майнер какой или спам бот.

Гайд избыточен, нужен если на компе реально ценная конфедициальная информация, среднестатистический юзер такой информации не имеет, взламывать его комп не рентабельно, проще взломать самого юзера (описаным выше способом) ради подселения бота или майнера, а против этого данный гайд бессилен.

dzhoser · 14 февраля 2021, 20:10:36

Цитата: Susumo от 14 февраля 2021, 12:02:12проще взломать самого юзера (описаным выше способом) ради подселения бота или майнера, а против этого данный гайд бессилен.

Это не совсем так, данный гайд поможет от запуска бота или майнера с Firefox, так как исполняемый файл не запуститься из /tmp и домашнего каталога пользователя. Если также Майнер был внедрён в установленный пакет данный гайд также поможет восстановить целостность битого пакета.

Susumo · 14 февраля 2021, 20:50:00

Цитата: dzhoser от 14 февраля 2021, 20:10:36Если также Майнер был внедрён в установленный пакет данный гайд также поможет восстановить целостность битого пакета.

Ну я говорил про то, что юзер сам притащит пакет с левого сайта/торента, с какой ни будь проприетарщиной взломаной, в таблетку которого и будет внедрен зловред. А как понимаешь - устанавливать он его будет с правами рута, а потом если и сама таблетка запросит права рута он их ей предоставит, зря что ли он искал-тащил эту взломаную проприетарщину.

Листик · 14 февраля 2021, 21:32:31

Цитата: dzhoser от 14 февраля 2021, 07:14:47Для этого в /etc/fstab необходимо ro заменить на rw и перезагрузиться.

А дальше, после обновления? Опять заменять на ro?

dzhoser · 15 февраля 2021, 06:26:35

Цитата: Листик от 14 февраля 2021, 21:32:31А дальше, после обновления? Опять заменять на ro?

Смысл монтирования в ro в защите от замены файлов в каталогe /boot . Соответственно Debian не обладает разумом не может определить обновления там или вредоносная активность, поэтому решение остаётся за пользователем. Хотите защиты перемонтируйте в ro.

yoric · 15 февраля 2021, 09:30:56

Цитата: dzhoser от 15 февраля 2021, 06:26:35Смысл монтирования в ro в защите от замены файлов в каталогe /boot .

А почему только /boot? Несправедливость, и недостаточность защиты. Можно ведь и /usr и /lib* и прочие места, где всё постоянно, а перед обновлением перемонтировать rw.

dzhoser · 15 февраля 2021, 10:04:05

Цитата: yoric от 15 февраля 2021, 09:30:56Можно ведь и /usr и /lib* и прочие места, где всё постоянно, а перед обновлением перемонтировать rw.

Это не критичные каталоги, как правило они обновляются после установки обновлений, или приложений, но они не смогут распаковаться и выполнится из за ограничений в /boot, /tmp, /var/tmp.
По поводу каталогов, где все не меняется готовится обновление инструкции.
Контроль файлов с помощью afick и ограничение приложений с помощью apparmor.