On Sun, 2007-09-02 at 19:10 -0300, Klaus Schneider wrote: > Boa noite a todos da lista... depois de alguns anos voltei pra lista FUG, > lista da qual participava desde que era FUGSP-BR =) > > Bem, e vou (re)começar com uma pergunta: > > Alguém ai sabe como proteger o um sistema de que alheios executem arquivos > binários que não sejam compilados localmente possam ser executados? Existem > algumas soluções, uma delas é o mac_chkexec, mas parece que o projeto não > esta andando, é preciso fazer alguns paches não oficiais e foi desenvolvido > em cima da versão 5.x, outra é uma solução desenvolvida no NetBSD, o veriexec, > e pelo que me parece ainda não foi portada para o FreeBSD... > Alguns pontos importantes: > A) O interesse nisso, é que caso alguém consiga acesso a shell do sistema ou > um modo de executar comandos, o hacker não consiga colocar binários e > executá-los. > > B) Montar uma partição noexec não me parece uma boa saída, já que precisam > ter alguns binários nos diretórios dos usuários, > > C) Usar um IDS como tripewire ou AIDA ajuda, mas não impede que o código > seja upado para o servidor e posteriormente executado, e infelizmente não > podemos ficar 24hs na frente de um computador monitorando logs. >
Eu penso que a melhor opcao pra vc é o noexec na /home mesmo, sendo que esses executaveis que os usuarios precisam nos seus homes, vc pode colocar dentro um /usr/homeexecutaveis e fazer links simbolicos nos homes deles. Assim continuaria tendo as mesmas funcionalidades e se alguem upar algo pode até conseguir compilar mas nao executar. Cuide pra que a /tmp e /var também tenham a flag noexec. []s Nilson ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
