Грубый брут листинга защищённого каталога fs

[dasknix]

Есть каталог, которому для верности сняты все read/write-bit'ы в perm-map, но стоит x-bit.
Есть тру блек мэн, который хочет узнать че в каталоге лежит, дабы потом открыть, понять, возможно попортить, короче сделать то, на что санкций ему никто не давал

Вопрос - какая панацея может быть на default nixlike system без доп патчей и всяких selinux и facl/chattr-приблуд, чтобы защищить данный каталог от брута посредством последовательного перебра всех возможных имён entries [файлы либо подкаталоги] для этого каталога?
..дело в том, что x-bit, который остался - позволяет выполнять т.н. действие search внутри ката, т.о. если мы search будем делать для существующего подкаталога то фейла не будет, верно? верно. Я не могу точно это утверждать с т. зрения return codes функций открытия и чтения объектов fs, но что-то подсказывает моему больному мозгу, что это не проблема..

any ideas?

люблю пинки если у каблуков есть нагрузка

[16bit]

каким образом будет происхоить брут,кстати?

[dasknix]

подстановкой сгенерированных/словарных названий подкаталогов либо файлов в ф-цию открытия ката, или смены cwd например

зы
вопрос больше ядерщикам наверное, т.к. они изначально, как мне кажется, должны видеть парадигму доступа к информации, используемую в осях

upd
родился вариант, но это уже враппер конечно: работать с fs низкоуровнево, обращаясь к кату тупо через его devname, т.е. устройство может быть всего лишь абcтракцией виртуального раздела fs к которому изначально все биты занулены (aka yet another mountpoint), но если таких девайсов не много, то, мне кажется, можно раскидать по ним критичные по доступу к иерархии каталоги

[b3]

Цитата:

обращаясь к кату тупо через его devname

лолшто прастите?

[12309]

> Вопрос - какая панацея может быть на default nixlike system без доп патчей и всяких selinux и facl/chattr-приблуд, чтобы защищить данный каталог от брута посредством последовательного перебра всех возможных имён entries [файлы либо подкаталоги] для этого каталога?

костыль: записать список всех "разрешённых" бинарей, и запустить программку, которая будет чекать активность процессов - если какой-то процесс вне белого списка работает дольше n секунд, прибивать его.

по собственно сабжу ничего придумать не могу. разве что спасибо за хитрый план по бруту часто встречаются 711 на всякие /home/, а я даже как-то не додумывался пробрутить.
надо будет написать брутер на досуге

[16bit]

Цитата:

Сообщение от dasknix

upd
родился вариант, но это уже враппер конечно: работать с fs низкоуровнево, обращаясь к кату тупо через его devname, т.е. устройство может быть всего лишь абcтракцией виртуального раздела fs к которому изначально все биты занулены (aka yet another mountpoint), но если таких девайсов не много, то, мне кажется, можно раскидать по ним критичные по доступу к иерархии каталоги

как мне кажется,написание лоулевел враппера - это некие костыли.

ты хочешь мониторить/хукать именно сисколы на предмет обращения их к нужной директории?

кстати - а ось какая?

[dasknix]

Цитата:

Сообщение от b3

лолшто прастите?

ну создать девайс привязанный к каталогу и типа маунтпоинт, только через спуск на более низкий уровень а не открытие каталога как каталога. короче вся фишка в том, что девайсу, как фаелу так же можно разрешения раскидать, так вот этот дев и будет с корректными разрешениями, только его xbit уже роли играть не будет такой какой он играет в каталоге, но блин это всё равно костыль, причем с солидным наболдашником, так что только в плане если есть много лишнего времени и надо жёска-жёска чтобы всё шито-крыто

..хотя, если подумать, то можно даже забить, наверно, на низкоуровень и потом примонтировать обратно

Цитата:

Сообщение от 12309

костыль: записать список всех "разрешённых" бинарей, и запустить программку, которая будет чекать активность процессов - если какой-то процесс вне белого списка работает дольше n секунд, прибивать его.

по собственно сабжу ничего придумать не могу. разве что спасибо за хитрый план по бруту часто встречаются 711 на всякие /home/, а я даже как-то не додумывался пробрутить.
надо будет написать брутер на досуге

да я тоже брутер писать собирался, только от этого необходимость защитить полностью свой собственный сервак как-то не уменьшается)

Цитата:

Сообщение от 16bit

как мне кажется,написание лоулевел враппера - это некие костыли.
ты хочешь мониторить/хукать именно сисколы на предмет обращения их к нужной директории?

не совсем, речь немного о другом, представь каталог:

вот например вариант с каталогом:
(что ты будешь делать если надо прочитать файл, но не знаешь как он называется?)

Код:

minerva serv # cd /tmp/
minerva /tmp # md xbit-secured
xbit-secured
minerva /tmp # cd xbit-secured/
minerva xbit-secured # echo PR8 DATA >file.conf      
minerva xbit-secured # chmod a-rwxst,o+x .
.
minerva xbit-secured # chmod o+r file.conf
file.conf
minerva xbit-secured # ll
total 6
d--------x   2 root  wheel   512B  ./
drwxrwxrwt  15 root  wheel   1.0k  ../
-rw-r--r--   1 root  wheel     9B  file.conf
minerva xbit-secured #

зы
для полноты картины, каталог, являющийся родительским для xbit-secured доступен для
листинга (сейчас не важно, что это /tmp, это может быть и /usr/local/etc/ и т. д.):

Код:

minerva xbit-secured # ll ..
total 132                                                             
drwxrwxrwt  15 root     wheel   1.0k  ./                              
drwxr-xr-x  19 root     wheel   512B  ../                             
drwxrwxrwt   2 root     wheel   512B  .ICE-unix/                      
drwxrwxrwt   2 root     wheel   512B  .X11-unix/                      
drwxrwxrwt   2 root     wheel   512B  .font-unix/                     
drwxr-x---   5 root     wheel   512B  chrt/                           
drwx------   2 root     wheel   512B  mc-root/                        
drwxr-x---   2 root     wheel   512B  mplayer-configure--87372/       
-rw-r--r--   1 root     wheel     0B  pkgfe.status                    
-rw-------   1 root     wheel     0B  portaudit.59QF3nmT              
drwxr-xr-x   4 root     wheel   512B  screens/
drwx------   2 dasknix  wheel   512B  tmux-1003/                      
d--------x   2 root     wheel   512B  xbit-secured/                   
minerva xbit-secured #

Цитата:

Сообщение от 16bit

кстати - а ось какая?

юнихлайк, ибо такой подход везде же используется с серчем, я так понимаю это позих вообще

зыту
а че когда код пихаешь он в конце br добвляет или что-там (паддинг?.. лень смотреть)?

[DrakonHaSh]

тема, по моему, каким-то бредом попахивает ("поиск" сложностей в совершенно очевидных базовых вещах)

искомый брут, в базовом варианте, пишется парой строк на баше + словарь
изучайте башик от b3 в # check all .bash_history

[dasknix]

Цитата:

Сообщение от DrakonHaSh

тема, по моему, каким-то бредом попахивает ("поиск" сложностей в совершенно очевидных базовых вещах)

искомый брут, в базовом варианте, пишется парой строк на баше + словарь
изучайте башик от b3 в # check all .bash_history

кто сказал, что это сложно выполнить? был поставлен вопрос о способе защиты средствами оси без использования заплаток и пакетов

[DrakonHaSh]

Цитата:

Сообщение от dasknix

кто сказал, что это сложно выполнить? был поставлен вопрос о способе защиты средствами оси без использования заплаток и пакетов

ой, было столько умных фраз, выражений и букавак, что я этот нюанс немного пропустил
а защита - это да, очень забавно. защита от того, что входит в базовый функционал оси - это конечно прикольно.
может лучше админу, который серваком занимается, вникнуть в права на файлы и каталоги ? а то за админом, который так косячит, много разных защит придется писать

хотя, конечно, если заняться этой задачей серьезно, то можно наверное почти руткит написать - чтоб он менял базовое поведение оси на "защищенное от горе админа"
тут Pashkela расписывал о том, как систему отъучать от нормального для нее поведения.