Relato da Palestra "Kernel Hardening com GRSecurity"
Tiago "Salvador" Souza (salvador_linux AT yahoo.com.br) informou: A primeira palestra de segurança do dia começou um tanto quanto vazia, mas foi enchendo ao longo da apresentação (o pessoal deve ter ficado festando na festa oficial do evento na noite anterior :P ). André Avelino da Costa Santos começou apresentando o cenário atual em relação a segurança (bugs e auditorias constantes) e os objetivos do GRSecurity, que é um patch para o kernel que visa melhorar a detecção, prevenção e contenção de certos tipos de bugs. As características do GRSecurity são:
- Prevenção contra explorações de falhas de buffer overflow através do PAX (que é um projeto separado que realiza a segmentação da memória, separando áreas de leituras de áreas de execução, de modo que código não possa ser inserido para executar na área de dados).
- Controle de acesso RBAC. - Randomização de processos e pilha TCP/IP.
- Restrição de visualização de processos.
- Melhorias no processo de chroot.
- Auditoria (permitindo que um determinado grupo de usuários seja 'vigiado').”
O texto do Tiago continua abaixo.
“Depois desse resumo, André partiu para detalhes mais específicos das partes do GRSecurity,começando com as características do PAX, que são:
- Proteção contra stack overflow, heap overflow, return-to-libc,etc...
- Randomização do buffer de saída (return address) dos programas, que precisam ser recompilados com SUPORTE a essa opção.
- Nonexec (Não permitir que código seja executado em área de memória como dito anteriormente).
- Randstack (ESP), que é a randomização da pilha (stack) do kernel.
- Randmmap (randomização do mapeamento de memória).
- ASLR
E depois as do RBAC, que provê: - Definição de controle de acesso por 'papéis' no sistema, como o próprio acrônimo do nome já diz (Role Based Access Control). - Herança dessas 'permissões'. - Controle do que será acessado por usuários e aplicações. - Learning mode, que consiste em acionar o controle do RBAC para aprender o que os usuários acessam para geraruma configuração inicial. O objetivo dessa definição de papéis é dar aos usuários acesso restrito apenas ao que ele precisa para executar a sua função. Depois dessas explicações foram mostradas as configurações no kernel, as vantagens e as desvantagens dos diversos níveis de segurança oferecidos (quanto mais alto, mais incompatível com diversas aplicações, como Xorg, Wine, Java, etc...) e dois utilitários de gerênciamento do sistema, que são: GRADM, que é o utilitário de gerênciamento do controle de acesso RBAC, usado para ativar e desativar o mesmo (relembrando que ativar antes de configurar pode tornar o sistema inoperável, já que o superusuário não terá seu papel definido por default). CHPAX, que como o nome 'mostra', é usado para controlar o PAX. o que é necessário por exemplo para fazerem certas aplicações incompatíveis com o PAX o contornarem, como o XFree, o que com certezadiminuiria a segurança do sistema. A palestra foi finalizada com links de projetos relacionados que acho interessante relatar aqui. São eles: - Gentoo Hardened: www.gentoo.org/proj/en/hardened - Debian Secure by Default (DSD): dsd.aliath.debian.org - Adamantix: www.adamantix.org
- Prevenção contra explorações de falhas de buffer overflow através do PAX (que é um projeto separado que realiza a segmentação da memória, separando áreas de leituras de áreas de execução, de modo que código não possa ser inserido para executar na área de dados).
- Controle de acesso RBAC. - Randomização de processos e pilha TCP/IP.
- Restrição de visualização de processos.
- Melhorias no processo de chroot.
- Auditoria (permitindo que um determinado grupo de usuários seja 'vigiado').”
O texto do Tiago continua abaixo.
“Depois desse resumo, André partiu para detalhes mais específicos das partes do GRSecurity,começando com as características do PAX, que são:
- Proteção contra stack overflow, heap overflow, return-to-libc,etc...
- Randomização do buffer de saída (return address) dos programas, que precisam ser recompilados com SUPORTE a essa opção.
- Nonexec (Não permitir que código seja executado em área de memória como dito anteriormente).
- Randstack (ESP), que é a randomização da pilha (stack) do kernel.
- Randmmap (randomização do mapeamento de memória).
- ASLR
E depois as do RBAC, que provê: - Definição de controle de acesso por 'papéis' no sistema, como o próprio acrônimo do nome já diz (Role Based Access Control). - Herança dessas 'permissões'. - Controle do que será acessado por usuários e aplicações. - Learning mode, que consiste em acionar o controle do RBAC para aprender o que os usuários acessam para geraruma configuração inicial. O objetivo dessa definição de papéis é dar aos usuários acesso restrito apenas ao que ele precisa para executar a sua função. Depois dessas explicações foram mostradas as configurações no kernel, as vantagens e as desvantagens dos diversos níveis de segurança oferecidos (quanto mais alto, mais incompatível com diversas aplicações, como Xorg, Wine, Java, etc...) e dois utilitários de gerênciamento do sistema, que são: GRADM, que é o utilitário de gerênciamento do controle de acesso RBAC, usado para ativar e desativar o mesmo (relembrando que ativar antes de configurar pode tornar o sistema inoperável, já que o superusuário não terá seu papel definido por default). CHPAX, que como o nome 'mostra', é usado para controlar o PAX. o que é necessário por exemplo para fazerem certas aplicações incompatíveis com o PAX o contornarem, como o XFree, o que com certezadiminuiria a segurança do sistema. A palestra foi finalizada com links de projetos relacionados que acho interessante relatar aqui. São eles: - Gentoo Hardened: www.gentoo.org/proj/en/hardened - Debian Secure by Default (DSD): dsd.aliath.debian.org - Adamantix: www.adamantix.org
(postado por Augusto Campos)
http://d-sbd.alioth.debian.org/www/
E vale aproveitar a deixa p/ passar o link do Debian Hardened, que além dos projetos citados na palestra é tb uma alternativa interessante para quem busca realizar alterações no kernel para aumentar a segurança do sistema operacional.
http://debian-hardened.org/