Boa noite a todos da lista... depois de alguns anos voltei pra lista FUG, lista da qual participava desde que era FUGSP-BR =)
Bem, e vou (re)começar com uma pergunta: Alguém ai sabe como proteger o um sistema de que alheios executem arquivos binários que não sejam compilados localmente possam ser executados? Existem algumas soluções, uma delas é o mac_chkexec, mas parece que o projeto não esta andando, é preciso fazer alguns paches não oficiais e foi desenvolvido em cima da versão 5.x, outra é uma solução desenvolvida no NetBSD, o veriexec, e pelo que me parece ainda não foi portada para o FreeBSD... Alguns pontos importantes: A) O interesse nisso, é que caso alguém consiga acesso a shell do sistema ou um modo de executar comandos, o hacker não consiga colocar binários e executá-los. B) Montar uma partição noexec não me parece uma boa saída, já que precisam ter alguns binários nos diretórios dos usuários, C) Usar um IDS como tripewire ou AIDA ajuda, mas não impede que o código seja upado para o servidor e posteriormente executado, e infelizmente não podemos ficar 24hs na frente de um computador monitorando logs. -- /* * Klaus Schneider */ ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
