# Software > Ασφάλεια >  Adamantix, ας κάνουμε τα Debianόκουτά μας ασφαλέστερα...>

## Mick Flemm

http://www.adamantix.org/

Αφού το διαβάσετε ακούω σχόλια...

----------


## paravoid

Το είχα δει και παλιότερα.
Καταρχάς στο χω ξαναπεί, μην πορώνεσαι με security στο AWMN. Δεν νομίζω πως θα φτάσουμε ποτέ σε σημείο να θέλουμε τέτοιου είδους security.

Σχόλια για το Adamantix τώρα:
Αν δεν κάνω λάθος είναι ένα εντελώς καινούργιο Debian-based distro. Δεν είναι κάποιο add-on (μέσω ενός APT repository π.χ.) Debian, αλλά λόγω του security το ξαναφτιάχνουν από την αρχή.

Δεν αξίζει τον κόπο για μένα...

----------


## Mick Flemm

Οχι για τα routeράκια βρε (εξ άλλου το stack protection κλπ θέλει σοβαρό μηχάνημα), αλλά αμα θέλει κανείς να στήσει κάνα secure server π.χ. ας του δείξουμε ένα τρόπο να το κάνει (κι εύκολο σχετικά).

Το έβαλα εδώ γιατί στην ουσία πρόκειται για το Debian compiled με stack protection (αλλά BSD) με RBSAC (Rule Set Based Access Control) και Grsecurity/PaX ...

Το έχει δοκιμάσει κανείς ?

----------


## m0bius

Από μια πρόχειρη ματιά που έριξα το βασικότερο ατού του Adamantix είναι το kernel patch (http://pax.grsecurity.net) το οποίο προσθέτει το stack protection, heap randomization, Shared library randomization,Executable randomization etc etc

Δηλαδή δεν είναι απαραίτητο να αλλαχτεί το υπάρχον distribution για να μπούν τέτοιου είδους δυνατότητες απλά να περαστεί το συγκεκριμένο patch στον πυρήνα.

Πιθανότατα το Adamantix να έχει και άλλα πράγματα για πιο secure environment αλλά δεν θεωρώ ότι δεν μπορεί να υλοποιηθεί σε ένα υπάρχον distribution. Εξάλλου πιο μεγάλη χαρά πέρνεις να κάνεις ένα insecure distribution secure παρά να το πάρεις έτοιμο.  ::

----------


## Mick Flemm

Το συγκεκριμένο patch είναι στον Kernel που έχω βγάλει. Το θέμα είναι οτι σε αυτό το distro είναι και τα πακέτα compiled με stack protection κλπ

----------


## m0bius

Από την στιγμή που ο πυρήνας έχει έλεγχους για τα buffer overflows είτε αυτά είναι return-to-libc είτε κανονικά νομίζω ότι δεν υπάρχει τόσο μεγάλος λόγος ώστε να σε αναγκάσει να αλλάζεις το distro σου για να βάλεις compiled applications με stack protection. Δεν θα δεις τελικά την τεράστια διαφορά πέρα από το γεγονός ότι το μηχάνημα θα πρέπει να έιναι πιο σοβαρό  :: 

Besides, από όσο θυμάμαι όλα τα compile methods ώστα τα binaries να έχουν stack protection έχουν σπαστεί (StackGuard etc)

----------


## Mick Flemm

nope  ::  το ssp απ' όσο ξέρω είναι secure...

----------


## m0bius

Δεν ξέρω να σου πω την αλήθεια. Μπορεί  :: 

Πάντως αυτό που θα είχε πραγματικά ενδιαφέρον για μένα είναι ένα jail chrooted environment για τους χρήστες με uid!=0.Συνήθως τέτοιου τύπου implementations είναι τα πιο δύσκολα να σπαστούν. (Γιατί ο χρήστης δεν ξέρει ότι είναι σε ένα τέτοιο  :: )

Στους 2.6.x πυρήνες έχουν προστεθεί κάποια τέτοια security locks όπως να μην τρέχουν προγράμματα με uid 0 αν δεν υπάρχει κάποιο USB device και με αποκορύφωμα το NSA implementation πάνω στους linux kernels το οποίο από οτι έχω δεί πρόχειρα προσθέτει ένα layer ανάμεσα στον χρήστη και στον administrator.

Ας παίξουμε με τον 2.6.1 (εξάλλου κάποια στιγμή όλοι θα τον χρησιμοποιήσουν  :: )

----------


## Mick Flemm

LOL το έχει ήδη ο Kernel στο πακετάκι  ::  μπορείς με το gradm να το ρυθμίσεις όπως θες. Ο καινούριος που θα βγάλω μετά την εξεταστική θα έχει και RBSAC (Rule Based Access Control) μέσα που είναι σαφώς καλύτερο...

Το Grsec είναι ανώτερο από το SELinux που στο μέλον όπως πολοί γράφουν θα πάρει τον πούλο γιατί είναι LSM (Linux Security Module) λένε λοιπόν τόσο στο GRsecurity όσο και στο RBSAC οτι αυτό το ριμάδι δίνει την ευκαιρία στον επίδοξο hackera να έχει τα symbols που χρειάζεται μέσα στον kernel, στο μέλλον προβλέπονται πολύ ψαγμένα exploits που θα παίρνουν root κλπ. Επίσεις το GRSecurity και το RBSAC έχουν 3 και 6 χρόνια ζωής άρα αντιθέτως με το SELinux είναι σαφώς ποιό δοκιμασμένα.

Μπορεί το SELinux (το implementation που μπήκε default στους 2.6.χ) να το έφτιαξε η NSA (με την βοήθεια πολών κι ενώ ήδη έχει γίνει πολύ δουλειά επάνω σε αυτό το θέμα) αλλά αυτό δεν λέει κάτι. Πολοί λένε (εκτώς από αυτούς που ανέφερα) οτι αυτό το κόλπο με τα LSMs έγινε για να προωθηθούν τα commercial firewalls τα οποία τώρα θα έχουν τη δυνατότητα μαζί με το precompiled firewall να σου δείνουν και precompiled modules.

Ο 2.4.23 στο πακετάκι είναι αρκετά ψαγμένος  ::  γιατί ακριβώς θέλω να ψαχτούμε όλοι με την ασφάλεια...

Φυσικά όποιος θέλει να του δόσω και τα sources (έχουν περαστεί μερικά patches με το χέρι οπότε ίσως τα βρείτε σκούρα στο pachάρισμα, ειδικά με το superfreeswan)...

----------


## Mick Flemm

Επίσεις έχω βάλει και Cryptoloop device μέσα για όποιον θέλει να παίξει με encrypted filesystem  ::

----------


## Mick Flemm

Και για όσους θέλουν αφού βάλετε τον Kernel φτιάξτε έναν χρήστη και κάντε login. Τώρα τρέξτε ps xau, που πήγαν τα proceses ????  ::   ::   ::   ::   ::

----------


## m0bius

Χεχε!  ::  Χαίρομαι που το ακούω  ::  

ϊσως ισχύει αυτό που λές. Πάντως πρακτικά οτιδήποτε είναι implementation publicly known και όχι custom λύση κάποια στιγμή θα σπάσει. Είναι η μοίρα των security issues!
Ότι κλειδώνει ξεκλειδώνει! Απλά από εκεί και πέρα είναι θέμα του πότε θα γίνει αυτο. 

Θυμάμαι το patch του Solar Designer για τον πυρήνα που ήταν το πρώτο που μπλόκαρε τα buffer overflows και προέκυψε η λύση του return-to-libc exploit. Όπως και με την libsec (έτσι δεν την λέγανε; ) που έμπαινε σαν LD_LIBRARY_PRELOAD και υποτίθεται πρόσθετε limit checks σε functions που ήταν κατεξοχήν λόγοι για τα buffer overflows! Όλα αυτά ανήκουν πλέον στην ιστοριά. 

Υπάρχουν ακόμα και τα string overflows, symlink problems (υπάρχουν; ), process hijacking etc etc και αυτό που πάντα θα υπάρχει και όσα protections βγούν είναι τα λάθος configurations από τους administrators  ::

----------


## Mick Flemm

Και τα symlinks στο /tmp και το proccess highjacking περιορίζονται πολύ καλά από το GRSecurity.

Πάντως συμφωνούμε οτι στο χέρι του καθενός είναι να φτιάξει secure μηχάνημα.

----------


## m0bius

> Πάντως συμφωνούμε οτι στο χέρι του καθενός είναι να φτιάξει secure μηχάνημα.


Ομολογουμένως!  ::  Εξάλου το πιο ασφαλές μηχάνημα είναι αυτό που δεν είναι στην μπρίζα!  ::

----------


## Mick Flemm

Άκυρο το RSBAC παίδες, είναι Κ-Ο-Ρ-Υ-Φ-Α-Ι-Ο αλλά είναι δύσκολο και δεν νομίζω οτι είναι διατεθημένοι οι περισσότεροι να το ψάξουν. Μένουμε στο GRSec λοιπόν...

----------

