Ядро Linux ограничивает доступ для укоренения с кнопкой?
Что происходит, когда Вы используете-b?
-b bind_address
Use bind_address on the local machine as the source address of
the connection. Only useful on systems with more than one
address.
Что-либо обычно возможно с Linux/Unix, но большую часть времени взлом не проникает через парадную дверь путем вхождения в корневую учетную запись. Более типичный вектор нападения - то, что процесс, который работает с поднятыми полномочиями, предназначен для нападения, и затем слабость в функциональности приложений определяется и используется.
Более общий подход не должен запускать Ваши приложения с такими очень поднятыми полномочиями. Вы обычно запускаете приложение как корень, но затем ветвление другая копия процесса как альтернативный пользователь.
Дополнительно a chroot среда используется, чтобы также ограничить воздействие базовой файловой системы.
При прохождении через Ссылки безопасности Сервера от Red Hat, это покрывает большую часть того, что я упомянул более подробно, если Вам интересно.
-
1я знаю, что это - причина, я хочу ограничить доступ к корневой учетной записи во время загрузки ядра. Причина, которую я хочу сделать, это вызвано тем, что, если я продаю устройство, я хотел позволить дать Удаленный помощник, но что единственный способ внести изменения состоит в том, чтобы нажать кнопку и затем перезагрузку для управления доступом устройства. Скажем, это некоторый тип восстановления. Затем, по крайней мере, используйте сервер, выполняющий VPN или Прокси для перенаправления всего трафика от клиентов. Я довольно фокусируюсь на части безопасности, потому что это - самая важная часть, и я не доверяю ISP или их сотрудникам. – DarkXDroid 13.08.2013, 20:56
-
2На самом деле я рассматриваю использование взламывания методов в уровнях безопасности как запрет клиентов от AP с помощью MDk3, маршрутизатор имеют дефекты безопасности также. Сбросьте маршрутизатор, и правил не стало. Я буду использовать сервер для управления доступом на основе MAC-адреса, но это недостаточно. Я использую 5 уровней безопасности для обнаружения пользователей, потому что я знаю, насколько легкий к, украл информацию об общих людях, которые ничего не знают о компьютере или о безопасности. Проблема состоит в том, что нет никакого безопасного метода вообще, RFID может быть взломан с помощью arduino нано и ;) – DarkXDroid 13.08.2013, 21:15
Я не знаю ни о какой существующей реализации, но Вы могли записать модуль PAM, который требует, чтобы кнопка была нажата.
Однако это только защитило бы Вашу систему от вредоносного программного обеспечения, которое так или иначе получило учетные данные, которые Вы используете для входа в систему как корень. Например, если Вы используете sudo и введите свой пароль для выполнения команд как корня, и некоторому вредоносному программному обеспечению удается захватить пароль, затем то вредоносное программное обеспечение может работать sudo без Вашего обнаружения его. Требование нажатия кнопки сделало бы это невозможным.
Это примерно бесполезно. Вредоносное программное обеспечение, которое может сделать, который мог также осуществить контрейлерные перевозки в первый раз, это видит, что Вы работаете sudo и завод что-то, что работает с полномочиями пользователя root. Это не наиболее распространенный вектор атаки: вредоносное программное обеспечение обычно получает корневые разрешения путем использования ошибки в ядре или в программе, которую это запускает как корень. Это не потребует нажатия кнопки, потому что насколько любой видит, это - совершенно нормальное поведение: уже под управлением программа, делающая, что это программируется, чтобы сделать. Тому, что программа выполняет предоставленный взломщиками код вместо того, что это должно делать, нельзя помочь: компьютер делает то, что сказано, не обязательно, что Вы хотели бы, чтобы это сделало.
-
1Это - идеальное решение, но оно может работать при начальной загрузке на ранних стадиях начальной загрузки и обнаруженный, даже когда система произошла?? Раз так затем я могу программировать модуль, чтобы перезагрузить и запустить скрипт для изменения параметров загрузки?? Там другой путь состоит в том, чтобы выполнить это?? – DarkXDroid 16.08.2013, 11:26