Антихакинг в сети

Политика для named содержит 73 строки правил. В общем виде они выглядят так:
native-accept: permit
Когда /usr/sbin/named пытается использовать системный вызов acceptO для принятия соединения через сокет под «родным» ABI, это разрешается (permit). Остальные правила значительно более строгие. Вот пример для bind О — системного вызова, позволяющего программе запросить подключение к ТСР/1Р-порту:
native-bind: sockaddr match "inet-*:53" then permit
sockaddr [...]

До версии 3.x программы stunnel имелась возможность настраивать все параметры из командной строки. В версиях 4.x и выше используется файл настройки stunnelxonf. Пример этого файла обычно можно найти в /etc/stunnel/stunnel. conf-sample или /usr/local/etc/stunnel/stunnel.conf-sample.
Давайте рассмотрим базовую форму файла настройки, указывающего перенаправление локального порта на удаленный порт. Клиентская сторона:
pid =
client = yes
[<server port>]
accept = <forwarded port>
connect = [...]

Самый простой способ настройки ACL для конкретной команды — указать, что вы хотите использовать режим обучения grsecurity, а не указывать вручную каждый ACL. Если ACL-система уже активирована, ее необходимо временно исключить из вашей оболочки (shell), запустив команду gradm -а. После этого вы сможете обратиться к файлам /etc/grsec; в противном случае этот каталог будет скрыт от [...]

Мы также знаем, что named регистрируется в syslog. Для этого ему понадобится доступ к /dev/log:
native-connect: sockaddr eq "/dev/log" then permit
Эта программа может использовать системный вызов native connect О для общения с /dev/log, и только с /dev/log. Это устройство соединения из другого места поддерживать не будет.
Кроме того, можно увидеть несколько элементов для системных вызовов, которых не [...]

Документация manpage systrace(l) содержит полное описание синтаксиса, используемого для описания политик, но проще рассмотреть несколько примеров работающих политик и лишь затем вникнуть в подробности синтаксиса. Поскольку вопросы безопасности named недавно были предметом рассмотрения, давайте познакомимся с политикой, которую OpenBSD 3.2 использует в отношении named.
Перед рассмотрением политики познакомимся с общими требованиями доступа к системе, предъявляемыми демоном [...]

Unix поддерживает также широкое разнообразие библиотечных вызовов языка С. Их иногда путают с системными вызовами, но фактически они — лишь стандартизированные процедуры, которые можно использовать в программах. Например, можно написать функцию, вычисляющую квадратные корни в программе, но невозможно написать функцию, вьтделяющую память на основе системного вызова. Если есть сомнения, является ли конкретная функция системным вызовом [...]

Изучая политику, можно разобраться, что же действительно делает программа. Просмотрите каждый системный вызов, используемый программой, и решите, как можно ограничить дальнейший доступ. Как правило, политики, сгенерированные автоматически, приходится еще больше ограничивать. Однако они являются хорошим отправным моментом.
Применение политики к программе подобно созданию политики. Просто запустите программу в качестве аргумента systrace с использованием ключа -а:
# systrace [...]

Вот пример блокировки пользователя andrew (Ой! Это я!) с узла colossus: - : andrew : colossus
До сих пор мы рассматривали, как ограничить место, откуда пользователь сможет зарегистрироваться в системе. А как настроить модуль РАМ на ограничение диапазона времени, в который возможна регистрация? Для настройки модуля pamtime необходимо отредактировать файл /etc/security/time.conf. Формат записей этого файла благодаря [...]

Для добавления модуля pamaccess в службу login можно было добавить дополнительную учетную запись в конфигурационный файл login, который, конечно же, лишь разрешал использование этого модуля для службы login. В качестве альтернативы модуль можно добавить в файл system-auth, который разрешал бы его использование для большинства РАМ-совместимых служб системы.
Для добавления pamaccess в службу login (или другие службы) [...]

При настройке службы доступны несколько типов элементов-записей. Эти типы позволяют указывать, должен ли модуль обеспечивать идентификацию, управление доступом, управление правилами смены паролей, установлением и завершением сеанса. Сейчас нас интересует только один тип: account. Элемент этого типа позволяет указывать модули, которые будут управлять доступом к идентифицируемым учетным записям. Помимо специфичных для службы конфигурационных файлов, некоторые модули [...]