Старый 05.09.2012, 11:56   #1
dasknix
 
Аватар для dasknix
 
Регистрация: 30.07.2010
Сообщений: 20
Репутация: 0
Question Грубый брут листинга защищённого каталога fs

Есть каталог, которому для верности сняты все read/write-bit'ы в perm-map, но стоит x-bit.
Есть тру блек мэн, который хочет узнать че в каталоге лежит, дабы потом открыть, понять, возможно попортить, короче сделать то, на что санкций ему никто не давал

Вопрос - какая панацея может быть на default nixlike system без доп патчей и всяких selinux и facl/chattr-приблуд, чтобы защищить данный каталог от брута посредством последовательного перебра всех возможных имён entries [файлы либо подкаталоги] для этого каталога?
..дело в том, что x-bit, который остался - позволяет выполнять т.н. действие search внутри ката, т.о. если мы search будем делать для существующего подкаталога то фейла не будет, верно? верно. Я не могу точно это утверждать с т. зрения return codes функций открытия и чтения объектов fs, но что-то подсказывает моему больному мозгу, что это не проблема..

any ideas?

люблю пинки если у каблуков есть нагрузка
__________________
[r@/]# rm -Rf / --no-recover
dasknix вне форума   Ответить с цитированием
Старый 05.09.2012, 15:46   #2
16bit
 
Регистрация: 16.06.2011
Сообщений: 66
Репутация: 9
По умолчанию

каким образом будет происхоить брут,кстати?
16bit вне форума   Ответить с цитированием
Старый 05.09.2012, 15:49   #3
dasknix
 
Аватар для dasknix
 
Регистрация: 30.07.2010
Сообщений: 20
Репутация: 0
По умолчанию

подстановкой сгенерированных/словарных названий подкаталогов либо файлов в ф-цию открытия ката, или смены cwd например

зы
вопрос больше ядерщикам наверное, т.к. они изначально, как мне кажется, должны видеть парадигму доступа к информации, используемую в осях

upd
родился вариант, но это уже враппер конечно: работать с fs низкоуровнево, обращаясь к кату тупо через его devname, т.е. устройство может быть всего лишь абcтракцией виртуального раздела fs к которому изначально все биты занулены (aka yet another mountpoint), но если таких девайсов не много, то, мне кажется, можно раскидать по ним критичные по доступу к иерархии каталоги
__________________
[r@/]# rm -Rf / --no-recover

Последний раз редактировалось dasknix; 05.09.2012 в 15:57..
dasknix вне форума   Ответить с цитированием
Старый 05.09.2012, 16:51   #4
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 354
Репутация: 105
По умолчанию

Цитата:
обращаясь к кату тупо через его devname
лолшто прастите?
b3 вне форума   Ответить с цитированием
Старый 05.09.2012, 17:29   #5
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию

> Вопрос - какая панацея может быть на default nixlike system без доп патчей и всяких selinux и facl/chattr-приблуд, чтобы защищить данный каталог от брута посредством последовательного перебра всех возможных имён entries [файлы либо подкаталоги] для этого каталога?

костыль: записать список всех "разрешённых" бинарей, и запустить программку, которая будет чекать активность процессов - если какой-то процесс вне белого списка работает дольше n секунд, прибивать его.

по собственно сабжу ничего придумать не могу. разве что спасибо за хитрый план по бруту часто встречаются 711 на всякие /home/, а я даже как-то не додумывался пробрутить.
надо будет написать брутер на досуге
12309 вне форума   Ответить с цитированием
Старый 05.09.2012, 18:34   #6
16bit
 
Регистрация: 16.06.2011
Сообщений: 66
Репутация: 9
По умолчанию

Цитата:
Сообщение от dasknix Посмотреть сообщение

upd
родился вариант, но это уже враппер конечно: работать с fs низкоуровнево, обращаясь к кату тупо через его devname, т.е. устройство может быть всего лишь абcтракцией виртуального раздела fs к которому изначально все биты занулены (aka yet another mountpoint), но если таких девайсов не много, то, мне кажется, можно раскидать по ним критичные по доступу к иерархии каталоги

как мне кажется,написание лоулевел враппера - это некие костыли.

ты хочешь мониторить/хукать именно сисколы на предмет обращения их к нужной директории?

кстати - а ось какая?
16bit вне форума   Ответить с цитированием
Старый 05.09.2012, 19:11   #7
dasknix
 
Аватар для dasknix
 
Регистрация: 30.07.2010
Сообщений: 20
Репутация: 0
По умолчанию

Цитата:
Сообщение от b3 Посмотреть сообщение
лолшто прастите?
ну создать девайс привязанный к каталогу и типа маунтпоинт, только через спуск на более низкий уровень а не открытие каталога как каталога. короче вся фишка в том, что девайсу, как фаелу так же можно разрешения раскидать, так вот этот дев и будет с корректными разрешениями, только его xbit уже роли играть не будет такой какой он играет в каталоге, но блин это всё равно костыль, причем с солидным наболдашником, так что только в плане если есть много лишнего времени и надо жёска-жёска чтобы всё шито-крыто

..хотя, если подумать, то можно даже забить, наверно, на низкоуровень и потом примонтировать обратно
Цитата:
Сообщение от 12309 Посмотреть сообщение
костыль: записать список всех "разрешённых" бинарей, и запустить программку, которая будет чекать активность процессов - если какой-то процесс вне белого списка работает дольше n секунд, прибивать его.

по собственно сабжу ничего придумать не могу. разве что спасибо за хитрый план по бруту часто встречаются 711 на всякие /home/, а я даже как-то не додумывался пробрутить.
надо будет написать брутер на досуге
да я тоже брутер писать собирался, только от этого необходимость защитить полностью свой собственный сервак как-то не уменьшается)
Цитата:
Сообщение от 16bit Посмотреть сообщение
как мне кажется,написание лоулевел враппера - это некие костыли.
ты хочешь мониторить/хукать именно сисколы на предмет обращения их к нужной директории?
не совсем, речь немного о другом, представь каталог:

вот например вариант с каталогом:
(что ты будешь делать если надо прочитать файл, но не знаешь как он называется?)
Код:
minerva serv # cd /tmp/
minerva /tmp # md xbit-secured
xbit-secured
minerva /tmp # cd xbit-secured/
minerva xbit-secured # echo PR8 DATA >file.conf      
minerva xbit-secured # chmod a-rwxst,o+x .
.
minerva xbit-secured # chmod o+r file.conf
file.conf
minerva xbit-secured # ll
total 6
d--------x   2 root  wheel   512B  ./
drwxrwxrwt  15 root  wheel   1.0k  ../
-rw-r--r--   1 root  wheel     9B  file.conf
minerva xbit-secured #
зы
для полноты картины, каталог, являющийся родительским для xbit-secured доступен для
листинга (сейчас не важно, что это /tmp, это может быть и /usr/local/etc/ и т. д.):
Код:
minerva xbit-secured # ll ..
total 132                                                             
drwxrwxrwt  15 root     wheel   1.0k  ./                              
drwxr-xr-x  19 root     wheel   512B  ../                             
drwxrwxrwt   2 root     wheel   512B  .ICE-unix/                      
drwxrwxrwt   2 root     wheel   512B  .X11-unix/                      
drwxrwxrwt   2 root     wheel   512B  .font-unix/                     
drwxr-x---   5 root     wheel   512B  chrt/                           
drwx------   2 root     wheel   512B  mc-root/                        
drwxr-x---   2 root     wheel   512B  mplayer-configure--87372/       
-rw-r--r--   1 root     wheel     0B  pkgfe.status                    
-rw-------   1 root     wheel     0B  portaudit.59QF3nmT              
drwxr-xr-x   4 root     wheel   512B  screens/
drwx------   2 dasknix  wheel   512B  tmux-1003/                      
d--------x   2 root     wheel   512B  xbit-secured/                   
minerva xbit-secured #
Цитата:
Сообщение от 16bit Посмотреть сообщение
кстати - а ось какая?
юнихлайк, ибо такой подход везде же используется с серчем, я так понимаю это позих вообще

зыту
а че когда код пихаешь он в конце br добвляет или что-там (паддинг?.. лень смотреть)?
__________________
[r@/]# rm -Rf / --no-recover

Последний раз редактировалось dasknix; 05.09.2012 в 19:29..
dasknix вне форума   Ответить с цитированием
Старый 05.09.2012, 20:04   #8
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

тема, по моему, каким-то бредом попахивает ("поиск" сложностей в совершенно очевидных базовых вещах)

искомый брут, в базовом варианте, пишется парой строк на баше + словарь
изучайте башик от b3 в # check all .bash_history
DrakonHaSh вне форума   Ответить с цитированием
Старый 05.09.2012, 20:11   #9
dasknix
 
Аватар для dasknix
 
Регистрация: 30.07.2010
Сообщений: 20
Репутация: 0
По умолчанию

Цитата:
Сообщение от DrakonHaSh Посмотреть сообщение
тема, по моему, каким-то бредом попахивает ("поиск" сложностей в совершенно очевидных базовых вещах)

искомый брут, в базовом варианте, пишется парой строк на баше + словарь
изучайте башик от b3 в # check all .bash_history
кто сказал, что это сложно выполнить? был поставлен вопрос о способе защиты средствами оси без использования заплаток и пакетов
__________________
[r@/]# rm -Rf / --no-recover
dasknix вне форума   Ответить с цитированием
Старый 05.09.2012, 20:36   #10
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

Цитата:
Сообщение от dasknix Посмотреть сообщение
кто сказал, что это сложно выполнить? был поставлен вопрос о способе защиты средствами оси без использования заплаток и пакетов
ой, было столько умных фраз, выражений и букавак, что я этот нюанс немного пропустил
а защита - это да, очень забавно. защита от того, что входит в базовый функционал оси - это конечно прикольно.
может лучше админу, который серваком занимается, вникнуть в права на файлы и каталоги ? а то за админом, который так косячит, много разных защит придется писать

хотя, конечно, если заняться этой задачей серьезно, то можно наверное почти руткит написать - чтоб он менял базовое поведение оси на "защищенное от горе админа"
тут Pashkela расписывал о том, как систему отъучать от нормального для нее поведения.
DrakonHaSh вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot