SlideShare una empresa de Scribd logo

Linux Kernel Hardening - BugCON 2013

Alvaro Soto
Alvaro Soto

Este documento presenta una discusión sobre el hardening del kernel de Linux. Explica que el kernel de Linux no tiene protecciones contra muchos tipos de ataques y deja que los usuarios hagan lo que quieran en la memoria. Luego discute la necesidad de protegerse contra vulnerabilidades como desbordamientos de búfer y carreras de archivos temporales mediante el uso de controles de acceso más estrictos como DAC vs MAC, protección de memoria como ASLR y DEP, y enfoques como GRSecurity & PAX y SELinux.

Tecnología
1 de 21
Descargar para leer sin conexión
Linux Kernel Hardening Alvaro Soto ( @alsotoes ) http://headup.ws - alsotoes@gmail.com Friday, February 15, 13
Alvaro que? • Developer • Infraestructura // Arquitecturas OpenSource • Hardening & Tuning geek... freak • Linux (Gentoo Lover) • Kernel Vanilla Sources Friday, February 15, 13
Por que hardening al Kernel ? • Por triste que suene... el Kernel de Linux no posee herramientas contra muchos tipos de ataques. • En cuanto a la memoria, por defecto deja hacer lo que se antoje. • Y en controles de acceso DAC estrictamente no cuenta como esquema de seguridad... avanzado Friday, February 15, 13
Estatus de vulnerabilidades Integer Overflows Buffer Overflows Race/tmpfiles Race/non-tmpfiles Bad malformed data handling Lack of environment checks Generic bugs and bad design Kernel/Generic Kernel/Buffer Overflow 0 12.50 25.00 37.50 50.00 USN Analysis Friday, February 15, 13
Entonces: ¿ Es seguro el Kernel de Linux ? ¿ Que tan seguro es ? Friday, February 15, 13
Entonces: ¿ Se puede asegurar ? ¿ Que tanto ? Friday, February 15, 13
Estatus de vulnerabilidades Integer Overflows Buffer Overflows Race/tmpfiles Race/non-tmpfiles Bad malformed data handling Lack of environment checks Generic bugs and bad design Kernel/Generic Kernel/Buffer Overflow 0 12.50 25.00 37.50 50.00 USN Analysis Friday, February 15, 13
Contra que necesitamos protección? ? Friday, February 15, 13
Contra que necesitamos protección? Friday, February 15, 13
Contra que necesitamos protección? Friday, February 15, 13
Contra que necesitamos protección? • Controles de acceso • DAC v/s MAC..... no mas chmod 777 a todo lo que se pueda. • El usuario root es omnipotente. • Memoria. • Modificación del address space. • Ejecución de codigo arbitrario. • Filesystem. • Races (tmp races). • chroot Friday, February 15, 13
Condideraciones “básicas” • De bajo a alto nivel. • Configurar cada rincón del sistema. • Estándares y politicas de seguridad. • Instalar parches de seguridad continuamente. • Auditar cada acción del sistema. Friday, February 15, 13
RTFM Friday, February 15, 13
DAC v/s MAC Friday, February 15, 13
DAC v/s MAC • Usuarios no pueden cambiar sus politicas de seguridad. • Se puede separar el espacio de trabajo de los usuarios con distintos contextos. • Politicas muy bien definidas: • Usuarios, archivos, directorios • Memory, Sockets, tcp/udp ports... etc., etc. Friday, February 15, 13
Memory Protection • DEP (Data execution prevention). • Se divide la memoria en ejecutable y lectura. • ASLR (Address space layout randomization). • Tareas del kernel. • Posición de las librerias. • Tareas del usuario (userland stack). • UNA VIOLACION DE ALGUNA DE ESTAS POLITICAS PRODUCE QUE EL KERNEL MATE EL PROCESO, CAMBIANDO UN POSIBLE ACCESO POR UN DOS. Friday, February 15, 13
GRSecurity & PAX V/S SELinux Friday, February 15, 13
GRSecurity & PAX • Control de acceso Mandatorio por medio de RBAC definidas en ACL. • Generación automatica de reglas. • Proteccion del filesystem con bloqueos de: • chroot • mount • mknod Friday, February 15, 13
SELinux • Un ejemplo de Mandatory Access Control para Linux. • Etiquetar todo a lo que necesita aplicar una politica. • user:role:type:level(opcional) • Comandos con argumentos extendidos ----->>>> -Z • ls -Z • id -Z • ps -Z • netstat -Z Friday, February 15, 13
Preguntas ???? Friday, February 15, 13
GRACIAS !!!!! Friday, February 15, 13

Recomendados

Memorias ram
Memorias ramMemorias ram
Memorias ramseravb
 
Memorias
MemoriasMemorias
Memoriasissy_15sept
 
MEMORIA RAM
MEMORIA RAMMEMORIA RAM
MEMORIA RAMjhota97
 
Trabajo sena
Trabajo senaTrabajo sena
Trabajo senalinamariacruzlopera
 
Memoria ram
Memoria ramMemoria ram
Memoria ramFreddy Montenegro
 
Memoria ram.
Memoria ram.Memoria ram.
Memoria ram.Alondr
 
Memoria (ram rom)
Memoria (ram rom)Memoria (ram rom)
Memoria (ram rom)Suly Zambrano
 
Memoria (ram rom)
Memoria (ram rom)Memoria (ram rom)
Memoria (ram rom)Paul Mandrilo
 

Recomendados

Memorias ram
Memorias ramMemorias ram
Memorias ramseravb
 
Memorias
MemoriasMemorias
Memoriasissy_15sept
 
MEMORIA RAM
MEMORIA RAMMEMORIA RAM
MEMORIA RAMjhota97
 
Trabajo sena
Trabajo senaTrabajo sena
Trabajo senalinamariacruzlopera
 
Memoria ram
Memoria ramMemoria ram
Memoria ramFreddy Montenegro
 
Memoria ram.
Memoria ram.Memoria ram.
Memoria ram.Alondr
 
Memoria (ram rom)
Memoria (ram rom)Memoria (ram rom)
Memoria (ram rom)Suly Zambrano
 
Memoria (ram rom)
Memoria (ram rom)Memoria (ram rom)
Memoria (ram rom)Paul Mandrilo
 
Localizacion de fallas
Localizacion de fallasLocalizacion de fallas
Localizacion de fallasFranke Boy
 
Trabajo práctico Seminario del Operador
Trabajo práctico Seminario del OperadorTrabajo práctico Seminario del Operador
Trabajo práctico Seminario del OperadorLucas Tebes
 
Presentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperazaPresentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperazaAdriana Rodriguez
 
Sql tips 06_fragmentacion
Sql tips 06_fragmentacionSql tips 06_fragmentacion
Sql tips 06_fragmentacionAdrian Miranda
 
Trabajo equipos
Trabajo equiposTrabajo equipos
Trabajo equiposLorentia Fernandez
 
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]RootedCON
 
Expo sistema operativo
Expo sistema operativoExpo sistema operativo
Expo sistema operativoMarco Antonio Ovalle Mtz
 
Tic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - HardwareTic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - HardwareRosa Fernández
 
TIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARETIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARE2mimigallego
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaJuan Astudillo
 
Sistemas raid
Sistemas raidSistemas raid
Sistemas raidJairo Quiroz Cabanillas
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013S2 Grupo · Security Art Work
 
Actividades 5 y 6
Actividades 5 y 6Actividades 5 y 6
Actividades 5 y 6glee10
 
Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011Lennin Caro
 
Asdfklñ
AsdfklñAsdfklñ
AsdfklñMinakiry
 
Trabajo Práctico Técnico Hardware
Trabajo Práctico Técnico HardwareTrabajo Práctico Técnico Hardware
Trabajo Práctico Técnico HardwareYamile08
 
File System Management
File System ManagementFile System Management
File System ManagementJuan Sánchez
 
Escenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMSEscenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMSJose Arturo Mora Soto
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaaocampoerika1
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaaocampoerika1
 
CephDay Argentina 2019
CephDay Argentina 2019CephDay Argentina 2019
CephDay Argentina 2019Alvaro Soto
 
OpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata ContainersOpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata ContainersAlvaro Soto
 

Más contenido relacionado

Similar a Linux Kernel Hardening - BugCON 2013

Localizacion de fallas
Localizacion de fallasLocalizacion de fallas
Localizacion de fallasFranke Boy
 
Trabajo práctico Seminario del Operador
Trabajo práctico Seminario del OperadorTrabajo práctico Seminario del Operador
Trabajo práctico Seminario del OperadorLucas Tebes
 
Presentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperazaPresentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperazaAdriana Rodriguez
 
Sql tips 06_fragmentacion
Sql tips 06_fragmentacionSql tips 06_fragmentacion
Sql tips 06_fragmentacionAdrian Miranda
 
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]RootedCON
 
Tic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - HardwareTic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - HardwareRosa Fernández
 
TIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARETIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARE2mimigallego
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaJuan Astudillo
 
Actividades 5 y 6
Actividades 5 y 6Actividades 5 y 6
Actividades 5 y 6glee10
 
Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011Lennin Caro
 
Trabajo Práctico Técnico Hardware
Trabajo Práctico Técnico HardwareTrabajo Práctico Técnico Hardware
Trabajo Práctico Técnico HardwareYamile08
 
File System Management
File System ManagementFile System Management
File System ManagementJuan Sánchez
 
Escenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMSEscenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMSJose Arturo Mora Soto
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaaocampoerika1
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaaocampoerika1
 

Similar a Linux Kernel Hardening - BugCON 2013 (20)

Localizacion de fallas
Localizacion de fallasLocalizacion de fallas
Localizacion de fallas
 
Trabajo práctico Seminario del Operador
Trabajo práctico Seminario del OperadorTrabajo práctico Seminario del Operador
Trabajo práctico Seminario del Operador
 
Presentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperazaPresentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperaza
 
Sql tips 06_fragmentacion
Sql tips 06_fragmentacionSql tips 06_fragmentacion
Sql tips 06_fragmentacion
 
Trabajo equipos
Trabajo equiposTrabajo equipos
Trabajo equipos
 
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
 
Expo sistema operativo
Expo sistema operativoExpo sistema operativo
Expo sistema operativo
 
Tic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - HardwareTic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - Hardware
 
TIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARETIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARE
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetya
 
Sistemas raid
Sistemas raidSistemas raid
Sistemas raid
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013
 
Actividades 5 y 6
Actividades 5 y 6Actividades 5 y 6
Actividades 5 y 6
 
Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011
 
Asdfklñ
AsdfklñAsdfklñ
Asdfklñ
 
Trabajo Práctico Técnico Hardware
Trabajo Práctico Técnico HardwareTrabajo Práctico Técnico Hardware
Trabajo Práctico Técnico Hardware
 
File System Management
File System ManagementFile System Management
File System Management
 
Escenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMSEscenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMS
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaa
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaa
 

Más de Alvaro Soto

CephDay Argentina 2019
CephDay Argentina 2019CephDay Argentina 2019
CephDay Argentina 2019Alvaro Soto
 
OpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata ContainersOpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata ContainersAlvaro Soto
 
Meetup OpenStackCDMX / 28-03-2017
Meetup OpenStackCDMX / 28-03-2017Meetup OpenStackCDMX / 28-03-2017
Meetup OpenStackCDMX / 28-03-2017Alvaro Soto
 
Data sovereignty
Data sovereigntyData sovereignty
Data sovereigntyAlvaro Soto
 
Glance vBrownBagLatAm 2016
Glance vBrownBagLatAm 2016Glance vBrownBagLatAm 2016
Glance vBrownBagLatAm 2016Alvaro Soto
 
OpenStack101 vBrownBagLatAm 2016
OpenStack101 vBrownBagLatAm 2016OpenStack101 vBrownBagLatAm 2016
OpenStack101 vBrownBagLatAm 2016Alvaro Soto
 
Ceph, storage cluster to go exabyte and beyond
Ceph, storage cluster to go exabyte and beyondCeph, storage cluster to go exabyte and beyond
Ceph, storage cluster to go exabyte and beyondAlvaro Soto
 

Más de Alvaro Soto (8)

CephDay Argentina 2019
CephDay Argentina 2019CephDay Argentina 2019
CephDay Argentina 2019
 
OpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata ContainersOpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata Containers
 
Ceph Meetup
Ceph MeetupCeph Meetup
Ceph Meetup
 
Meetup OpenStackCDMX / 28-03-2017
Meetup OpenStackCDMX / 28-03-2017Meetup OpenStackCDMX / 28-03-2017
Meetup OpenStackCDMX / 28-03-2017
 
Data sovereignty
Data sovereigntyData sovereignty
Data sovereignty
 
Glance vBrownBagLatAm 2016
Glance vBrownBagLatAm 2016Glance vBrownBagLatAm 2016
Glance vBrownBagLatAm 2016
 
OpenStack101 vBrownBagLatAm 2016
OpenStack101 vBrownBagLatAm 2016OpenStack101 vBrownBagLatAm 2016
OpenStack101 vBrownBagLatAm 2016
 
Ceph, storage cluster to go exabyte and beyond
Ceph, storage cluster to go exabyte and beyondCeph, storage cluster to go exabyte and beyond
Ceph, storage cluster to go exabyte and beyond
 

Último

Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 

Último (10)

Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 

Linux Kernel Hardening - BugCON 2013

  • 1. Linux Kernel Hardening Alvaro Soto ( @alsotoes ) http://headup.ws - alsotoes@gmail.com Friday, February 15, 13
  • 2. Alvaro que? • Developer • Infraestructura // Arquitecturas OpenSource • Hardening & Tuning geek... freak • Linux (Gentoo Lover) • Kernel Vanilla Sources Friday, February 15, 13
  • 3. Por que hardening al Kernel ? • Por triste que suene... el Kernel de Linux no posee herramientas contra muchos tipos de ataques. • En cuanto a la memoria, por defecto deja hacer lo que se antoje. • Y en controles de acceso DAC estrictamente no cuenta como esquema de seguridad... avanzado Friday, February 15, 13
  • 4. Estatus de vulnerabilidades Integer Overflows Buffer Overflows Race/tmpfiles Race/non-tmpfiles Bad malformed data handling Lack of environment checks Generic bugs and bad design Kernel/Generic Kernel/Buffer Overflow 0 12.50 25.00 37.50 50.00 USN Analysis Friday, February 15, 13
  • 5. Entonces: ¿ Es seguro el Kernel de Linux ? ¿ Que tan seguro es ? Friday, February 15, 13
  • 6. Entonces: ¿ Se puede asegurar ? ¿ Que tanto ? Friday, February 15, 13
  • 7. Estatus de vulnerabilidades Integer Overflows Buffer Overflows Race/tmpfiles Race/non-tmpfiles Bad malformed data handling Lack of environment checks Generic bugs and bad design Kernel/Generic Kernel/Buffer Overflow 0 12.50 25.00 37.50 50.00 USN Analysis Friday, February 15, 13
  • 8. Contra que necesitamos protección? ? Friday, February 15, 13
  • 9. Contra que necesitamos protección? Friday, February 15, 13
  • 10. Contra que necesitamos protección? Friday, February 15, 13
  • 11. Contra que necesitamos protección? • Controles de acceso • DAC v/s MAC..... no mas chmod 777 a todo lo que se pueda. • El usuario root es omnipotente. • Memoria. • Modificación del address space. • Ejecución de codigo arbitrario. • Filesystem. • Races (tmp races). • chroot Friday, February 15, 13
  • 12. Condideraciones “básicas” • De bajo a alto nivel. • Configurar cada rincón del sistema. • Estándares y politicas de seguridad. • Instalar parches de seguridad continuamente. • Auditar cada acción del sistema. Friday, February 15, 13
  • 14. DAC v/s MAC Friday, February 15, 13
  • 15. DAC v/s MAC • Usuarios no pueden cambiar sus politicas de seguridad. • Se puede separar el espacio de trabajo de los usuarios con distintos contextos. • Politicas muy bien definidas: • Usuarios, archivos, directorios • Memory, Sockets, tcp/udp ports... etc., etc. Friday, February 15, 13
  • 16. Memory Protection • DEP (Data execution prevention). • Se divide la memoria en ejecutable y lectura. • ASLR (Address space layout randomization). • Tareas del kernel. • Posición de las librerias. • Tareas del usuario (userland stack). • UNA VIOLACION DE ALGUNA DE ESTAS POLITICAS PRODUCE QUE EL KERNEL MATE EL PROCESO, CAMBIANDO UN POSIBLE ACCESO POR UN DOS. Friday, February 15, 13
  • 17. GRSecurity & PAX V/S SELinux Friday, February 15, 13
  • 18. GRSecurity & PAX • Control de acceso Mandatorio por medio de RBAC definidas en ACL. • Generación automatica de reglas. • Proteccion del filesystem con bloqueos de: • chroot • mount • mknod Friday, February 15, 13
  • 19. SELinux • Un ejemplo de Mandatory Access Control para Linux. • Etiquetar todo a lo que necesita aplicar una politica. • user:role:type:level(opcional) • Comandos con argumentos extendidos ----->>>> -Z • ls -Z • id -Z • ps -Z • netstat -Z Friday, February 15, 13