id: Гость   вход   регистрация
текущее время 05:02 29/03/2024
Автор темы: Гость, тема открыта 24/10/2011 16:20 Печать
Категории: софт, анонимность, tor
https://www.pgpru.com/Форум/АнонимностьВИнтернет/ПрозрачнаяТорификацияРута
создать
просмотр
ссылки

Прозрачная торификация рута


Программы управления пакетами в никсах, портами -в БСД, работают от рута. Всякого рода iptables -L -v и tcpdump запускаются от рута (да,да, я знаю про опцию -n, но иногда хочется посмотреть названия хостов – они бывают более информативными чтоли), многие опции nmap работают только от рута и т.д. и т.п.
В связи с этим возникает вопрос, а что будет, если в правилах прозрачной торификации прописать юзера с UID==0 ?
Естественно, никто от рута не собирается ходить в сеть через браузер, отправлять почту и т.п. Но вышесказанного достаточно, чтобы задуматься над этим вопросом.
Могут ли быть в этом случае какие-либо побочные проблемы с функционированием системы?!
И еще такой вопрос, раз уж речь зашла про nmap. А зачем многие его опции работают от рута, как это способствует безопасности? Типа чтобы браузерный эксплойт не мог его запустить? И стоит ли снизить эти привилегии, или решать вопрос торификацией рута (если это не вызывает побочных проблем)?


 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (18/05/2012 17:47)   <#>
С катанием бочки на прозрачную торификацию (точнее, на firewall-контроль Tor'а) надо быть очень, очень аккуратным — это та последняя миля, которая реально страхует утечку реального IP от полного фейла.

Давеча сидел в огороженном всеми средствами и заторенном юзере. Никто не должен был из-под этого юзера ходить в интернет, никогда, кроме руками запускаемого TorBrowser, в котором прописаны верные настройки сети. Сижу спокойно, уже долго читаю постороннюю страницу в одной из вкладок, как вдруг передо мной внезапно всплывает окно какого-то музыкального (или даже видео) проигрывателя в gnome. У меня отвисает челюсть (первый раз вижу такое), мысли в голове путаются, но, зная что подстраховки есть, слежу за тем, что будет дальше. Он, значит, запустился, и сразу же полез в интернет, какой-то ubuntu store или что там... не помню деталей. Как мне показалось, это как-то связано с не очень давно введёной фичей подгрузки песен, текстов или даже самой музыки из каких-то централизованных харнилищ. Ума, правда, вылезти в интернет у него не хватило (нужно было к прокси подцепиться, а он настройки из TorBrowser не распознал), потому просто пожаловался на отсутствие сети, и шоу закончилось. Я сдуру забыл сделать скриншот перед закрытием окна, но дамп процессов ps aux на всякий пожарный сохранил. А теперь представьте себе, что внешнего Tor-рутера не было б, что не было б контроля на уровне firewall. Сразу сухари сушить или кирпичи откладывать? Невольно вспоминается:
Перспективнее собирать всю информацию об имеющихся уязвимостях (и проводить свои исследования в этой области), особенно отслеживать тенденции в технологиях, которые приносят больше удобства и меньше безопасности by-design, без всяких умышленных потайных ходов.
Ладно, если кое-где собирают информацию об имеющихся уязвимостях в браузере, а если там коллекционируют 0day на ядра Linux, загружая их на подставные сайты?
— Гость (10/06/2012 01:51)   <#>
Хотя недавно где-то читал, что "новомодная" тенденция закрывать фаерволом всю систему (прозрачно торифицировать в смысле), и затем открывать для отдельных юзеров, т.е. наоборот.

Одна из проблем модных решений — написать так, чтобы работало у всех и при всех конфигурациях, иначе замучишься искать проблему (у кого и почему не работает). Намного лучше, когда пользователь знает, что делает и продуманно составляет правила сам под себя. Иногда оказывается, что чего-то не хватает, что-то не работает и т.д. Я бы не сказал, что отладка правил файерволла — непростая вещь, даже для опытного UNIX-юзера. Самый правильный способ (и самый требовательный к квалификации настраивающего), на мой взнгляд, таков:

  1. По умолчанию закрываем путь всем пакетам и со всех интерфейсов, включая lo0.
  2. Определяем список пользователей, которым необходимо по роду деятельности иметь доступ в сеть.
  3. Для каждого юзера из списка делаем правила файерволла, позволяющие ему то, и только то, что ему необходимо — полный минимум, ничего лишнего, никаких «на всякий случай».
  4. Проверяем правила на предмет перекрытия. Каждый пакет должен подходить только под одно из правил (за исключением варианта «полностью заблокировать») и только им обрабатываться. В итоге все правила можно будет разбить на независимые группы правил, где каждая группа регламентирует доступ в сеть только определённому юзеру.
  5. Все опции правил, являющиеся фиксированными с точки зрения нужной настройки, должны быть фиксированы и явно прописаны. Если нужен только tcp, прописываем только tcp. Если нужен tcp и udp, прописываем их, и только их. Если правилу можно приписать конкретного user (owner), прописываем. Делаем с расчётом того, что всё, что может быть фиксировано, должно быть фиксировано, т.к. всегда есть вероятность, что в каком-то случае это спасёт от чего-то непредсказуемого*.

Так проще всего анализировать безопасность правил.

*Например, в pf когда-то была дыра, работающая, только если не был указан список конкретных протоколов. У меня он предусмотрительно был указан (tcp,udp,icmp), на всякий случай, потому система оказалась неуязвимой.
— Гость (27/09/2013 07:44)   <#>

Прошёл всего один год, и пророчество сбылось.
— SATtva (27/09/2013 09:02)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Справедливости ради, арест пока прошёлсостоялся только один. Хотя кого-то могли взять на карандаш, да, но это уже спекуляции.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3