SlideShare una empresa de Scribd logo

Linux Kernel Hardening - BugCON 2013

Alvaro Soto
Alvaro Soto

Este documento presenta una discusión sobre el hardening del kernel de Linux. Explica que el kernel de Linux no tiene protecciones contra muchos tipos de ataques y deja que los usuarios hagan lo que quieran en la memoria. Luego discute la necesidad de protegerse contra vulnerabilidades como desbordamientos de búfer y carreras de archivos temporales mediante el uso de controles de acceso más estrictos como DAC vs MAC, protección de memoria como ASLR y DEP, y enfoques como GRSecurity & PAX y SELinux.

Tecnología
1 de 21
Descargar para leer sin conexión
Linux Kernel Hardening Alvaro Soto ( @alsotoes ) http://headup.ws - alsotoes@gmail.com Friday, February 15, 13
Alvaro que? • Developer • Infraestructura // Arquitecturas OpenSource • Hardening & Tuning geek... freak • Linux (Gentoo Lover) • Kernel Vanilla Sources Friday, February 15, 13
Por que hardening al Kernel ? • Por triste que suene... el Kernel de Linux no posee herramientas contra muchos tipos de ataques. • En cuanto a la memoria, por defecto deja hacer lo que se antoje. • Y en controles de acceso DAC estrictamente no cuenta como esquema de seguridad... avanzado Friday, February 15, 13
Estatus de vulnerabilidades Integer Overflows Buffer Overflows Race/tmpfiles Race/non-tmpfiles Bad malformed data handling Lack of environment checks Generic bugs and bad design Kernel/Generic Kernel/Buffer Overflow 0 12.50 25.00 37.50 50.00 USN Analysis Friday, February 15, 13
Entonces: ¿ Es seguro el Kernel de Linux ? ¿ Que tan seguro es ? Friday, February 15, 13
Entonces: ¿ Se puede asegurar ? ¿ Que tanto ? Friday, February 15, 13
Estatus de vulnerabilidades Integer Overflows Buffer Overflows Race/tmpfiles Race/non-tmpfiles Bad malformed data handling Lack of environment checks Generic bugs and bad design Kernel/Generic Kernel/Buffer Overflow 0 12.50 25.00 37.50 50.00 USN Analysis Friday, February 15, 13
Contra que necesitamos protección? ? Friday, February 15, 13
Contra que necesitamos protección? Friday, February 15, 13
Contra que necesitamos protección? Friday, February 15, 13
Contra que necesitamos protección? • Controles de acceso • DAC v/s MAC..... no mas chmod 777 a todo lo que se pueda. • El usuario root es omnipotente. • Memoria. • Modificación del address space. • Ejecución de codigo arbitrario. • Filesystem. • Races (tmp races). • chroot Friday, February 15, 13
Condideraciones “básicas” • De bajo a alto nivel. • Configurar cada rincón del sistema. • Estándares y politicas de seguridad. • Instalar parches de seguridad continuamente. • Auditar cada acción del sistema. Friday, February 15, 13
RTFM Friday, February 15, 13
DAC v/s MAC Friday, February 15, 13
DAC v/s MAC • Usuarios no pueden cambiar sus politicas de seguridad. • Se puede separar el espacio de trabajo de los usuarios con distintos contextos. • Politicas muy bien definidas: • Usuarios, archivos, directorios • Memory, Sockets, tcp/udp ports... etc., etc. Friday, February 15, 13
Memory Protection • DEP (Data execution prevention). • Se divide la memoria en ejecutable y lectura. • ASLR (Address space layout randomization). • Tareas del kernel. • Posición de las librerias. • Tareas del usuario (userland stack). • UNA VIOLACION DE ALGUNA DE ESTAS POLITICAS PRODUCE QUE EL KERNEL MATE EL PROCESO, CAMBIANDO UN POSIBLE ACCESO POR UN DOS. Friday, February 15, 13
GRSecurity & PAX V/S SELinux Friday, February 15, 13
GRSecurity & PAX • Control de acceso Mandatorio por medio de RBAC definidas en ACL. • Generación automatica de reglas. • Proteccion del filesystem con bloqueos de: • chroot • mount • mknod Friday, February 15, 13
SELinux • Un ejemplo de Mandatory Access Control para Linux. • Etiquetar todo a lo que necesita aplicar una politica. • user:role:type:level(opcional) • Comandos con argumentos extendidos ----->>>> -Z • ls -Z • id -Z • ps -Z • netstat -Z Friday, February 15, 13
Preguntas ???? Friday, February 15, 13
GRACIAS !!!!! Friday, February 15, 13

Recomendados

Memorias ram
Memorias ramMemorias ram
Memorias ram
seravb
 
Memorias
MemoriasMemorias
Memorias
issy_15sept
 
MEMORIA RAM
MEMORIA RAMMEMORIA RAM
MEMORIA RAM
jhota97
 
Trabajo sena
Trabajo senaTrabajo sena
Trabajo sena
linamariacruzlopera
 
Memoria ram
Memoria ramMemoria ram
Memoria ram
Freddy Montenegro
 
Memoria ram.
Memoria ram.Memoria ram.
Memoria ram.
Alondr
 
Memoria (ram rom)
Memoria (ram rom)Memoria (ram rom)
Memoria (ram rom)
Suly Zambrano
 
Memoria (ram rom)
Memoria (ram rom)Memoria (ram rom)
Memoria (ram rom)
Paul Mandrilo
 

Recomendados

Memorias ram
Memorias ramMemorias ram
Memorias ram
seravb
 
Memorias
MemoriasMemorias
Memorias
issy_15sept
 
MEMORIA RAM
MEMORIA RAMMEMORIA RAM
MEMORIA RAM
jhota97
 
Trabajo sena
Trabajo senaTrabajo sena
Trabajo sena
linamariacruzlopera
 
Memoria ram
Memoria ramMemoria ram
Memoria ram
Freddy Montenegro
 
Memoria ram.
Memoria ram.Memoria ram.
Memoria ram.
Alondr
 
Memoria (ram rom)
Memoria (ram rom)Memoria (ram rom)
Memoria (ram rom)
Suly Zambrano
 
Memoria (ram rom)
Memoria (ram rom)Memoria (ram rom)
Memoria (ram rom)
Paul Mandrilo
 
Localizacion de fallas
Localizacion de fallasLocalizacion de fallas
Localizacion de fallas
Franke Boy
 
Trabajo práctico Seminario del Operador
Trabajo práctico Seminario del OperadorTrabajo práctico Seminario del Operador
Trabajo práctico Seminario del Operador
Lucas Tebes
 
Presentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperazaPresentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperaza
Adriana Rodriguez
 
Sql tips 06_fragmentacion
Sql tips 06_fragmentacionSql tips 06_fragmentacion
Sql tips 06_fragmentacion
Adrian Miranda
 
Trabajo equipos
Trabajo equiposTrabajo equipos
Trabajo equipos
Lorentia Fernandez
 
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
RootedCON
 
Expo sistema operativo
Expo sistema operativoExpo sistema operativo
Expo sistema operativo
Marco Antonio Ovalle Mtz
 
TIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARETIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARE
2mimigallego
 
Tic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - HardwareTic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - Hardware
Rosa Fernández
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetya
Juan Astudillo
 
Sistemas raid
Sistemas raidSistemas raid
Sistemas raid
Jairo Quiroz Cabanillas
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013
S2 Grupo · Security Art Work
 
Actividades 5 y 6
Actividades 5 y 6Actividades 5 y 6
Actividades 5 y 6
glee10
 
Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011
Lennin Caro
 
Asdfklñ
AsdfklñAsdfklñ
Asdfklñ
Minakiry
 
Trabajo Práctico Técnico Hardware
Trabajo Práctico Técnico HardwareTrabajo Práctico Técnico Hardware
Trabajo Práctico Técnico Hardware
Yamile08
 
File System Management
File System ManagementFile System Management
File System Management
Juan Sánchez
 
Escenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMSEscenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMS
Jose Arturo Mora Soto
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaa
ocampoerika1
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaa
ocampoerika1
 
CephDay Argentina 2019
CephDay Argentina 2019CephDay Argentina 2019
CephDay Argentina 2019
Alvaro Soto
 
OpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata ContainersOpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata Containers
Alvaro Soto
 

Más contenido relacionado

Similar a Linux Kernel Hardening - BugCON 2013

Localizacion de fallas
Localizacion de fallasLocalizacion de fallas
Localizacion de fallas
Franke Boy
 
Trabajo práctico Seminario del Operador
Trabajo práctico Seminario del OperadorTrabajo práctico Seminario del Operador
Trabajo práctico Seminario del Operador
Lucas Tebes
 
Presentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperazaPresentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperaza
Adriana Rodriguez
 
Sql tips 06_fragmentacion
Sql tips 06_fragmentacionSql tips 06_fragmentacion
Sql tips 06_fragmentacion
Adrian Miranda
 
Trabajo equipos
Trabajo equiposTrabajo equipos
Trabajo equipos
Lorentia Fernandez
 
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
RootedCON
 
Expo sistema operativo
Expo sistema operativoExpo sistema operativo
Expo sistema operativo
Marco Antonio Ovalle Mtz
 
TIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARETIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARE
2mimigallego
 
Tic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - HardwareTic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - Hardware
Rosa Fernández
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetya
Juan Astudillo
 
Sistemas raid
Sistemas raidSistemas raid
Sistemas raid
Jairo Quiroz Cabanillas
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013
S2 Grupo · Security Art Work
 
Actividades 5 y 6
Actividades 5 y 6Actividades 5 y 6
Actividades 5 y 6
glee10
 
Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011
Lennin Caro
 
Asdfklñ
AsdfklñAsdfklñ
Asdfklñ
Minakiry
 
Trabajo Práctico Técnico Hardware
Trabajo Práctico Técnico HardwareTrabajo Práctico Técnico Hardware
Trabajo Práctico Técnico Hardware
Yamile08
 
File System Management
File System ManagementFile System Management
File System Management
Juan Sánchez
 
Escenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMSEscenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMS
Jose Arturo Mora Soto
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaa
ocampoerika1
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaa
ocampoerika1
 

Similar a Linux Kernel Hardening - BugCON 2013 (20)

Localizacion de fallas
Localizacion de fallasLocalizacion de fallas
Localizacion de fallas
 
Trabajo práctico Seminario del Operador
Trabajo práctico Seminario del OperadorTrabajo práctico Seminario del Operador
Trabajo práctico Seminario del Operador
 
Presentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperazaPresentacin1 170301214724mm-170313222255-1loperaza
Presentacin1 170301214724mm-170313222255-1loperaza
 
Sql tips 06_fragmentacion
Sql tips 06_fragmentacionSql tips 06_fragmentacion
Sql tips 06_fragmentacion
 
Trabajo equipos
Trabajo equiposTrabajo equipos
Trabajo equipos
 
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]
 
Expo sistema operativo
Expo sistema operativoExpo sistema operativo
Expo sistema operativo
 
TIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARETIC 04 Componentes del ordenador HARDWARE
TIC 04 Componentes del ordenador HARDWARE
 
Tic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - HardwareTic 04 - Componentes del ordenador - Hardware
Tic 04 - Componentes del ordenador - Hardware
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetya
 
Sistemas raid
Sistemas raidSistemas raid
Sistemas raid
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013
 
Actividades 5 y 6
Actividades 5 y 6Actividades 5 y 6
Actividades 5 y 6
 
Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011Monitoreo tunning postgresql_2011
Monitoreo tunning postgresql_2011
 
Asdfklñ
AsdfklñAsdfklñ
Asdfklñ
 
Trabajo Práctico Técnico Hardware
Trabajo Práctico Técnico HardwareTrabajo Práctico Técnico Hardware
Trabajo Práctico Técnico Hardware
 
File System Management
File System ManagementFile System Management
File System Management
 
Escenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMSEscenarios de Sistemas Distribuidos con Chamilo LMS
Escenarios de Sistemas Distribuidos con Chamilo LMS
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaa
 
Que es la bios kim y erikaa
Que es la bios kim y erikaaQue es la bios kim y erikaa
Que es la bios kim y erikaa
 

Más de Alvaro Soto

CephDay Argentina 2019
CephDay Argentina 2019CephDay Argentina 2019
CephDay Argentina 2019
Alvaro Soto
 
OpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata ContainersOpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata Containers
Alvaro Soto
 
Ceph Meetup
Ceph MeetupCeph Meetup
Ceph Meetup
Alvaro Soto
 
Meetup OpenStackCDMX / 28-03-2017
Meetup OpenStackCDMX / 28-03-2017Meetup OpenStackCDMX / 28-03-2017
Meetup OpenStackCDMX / 28-03-2017
Alvaro Soto
 
Data sovereignty
Data sovereigntyData sovereignty
Data sovereignty
Alvaro Soto
 
Glance vBrownBagLatAm 2016
Glance vBrownBagLatAm 2016Glance vBrownBagLatAm 2016
Glance vBrownBagLatAm 2016
Alvaro Soto
 
OpenStack101 vBrownBagLatAm 2016
OpenStack101 vBrownBagLatAm 2016OpenStack101 vBrownBagLatAm 2016
OpenStack101 vBrownBagLatAm 2016
Alvaro Soto
 
Ceph, storage cluster to go exabyte and beyond
Ceph, storage cluster to go exabyte and beyondCeph, storage cluster to go exabyte and beyond
Ceph, storage cluster to go exabyte and beyond
Alvaro Soto
 

Más de Alvaro Soto (8)

CephDay Argentina 2019
CephDay Argentina 2019CephDay Argentina 2019
CephDay Argentina 2019
 
OpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata ContainersOpenInfra Meetup 27082019 / Kata Containers
OpenInfra Meetup 27082019 / Kata Containers
 
Ceph Meetup
Ceph MeetupCeph Meetup
Ceph Meetup
 
Meetup OpenStackCDMX / 28-03-2017
Meetup OpenStackCDMX / 28-03-2017Meetup OpenStackCDMX / 28-03-2017
Meetup OpenStackCDMX / 28-03-2017
 
Data sovereignty
Data sovereigntyData sovereignty
Data sovereignty
 
Glance vBrownBagLatAm 2016
Glance vBrownBagLatAm 2016Glance vBrownBagLatAm 2016
Glance vBrownBagLatAm 2016
 
OpenStack101 vBrownBagLatAm 2016
OpenStack101 vBrownBagLatAm 2016OpenStack101 vBrownBagLatAm 2016
OpenStack101 vBrownBagLatAm 2016
 
Ceph, storage cluster to go exabyte and beyond
Ceph, storage cluster to go exabyte and beyondCeph, storage cluster to go exabyte and beyond
Ceph, storage cluster to go exabyte and beyond
 

Último

Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
larapalaciosmonzon28
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
YaniEscobar2
 
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
alejandromanuelve
 
HERRAMIENTAS WEB--------------------.pptx
HERRAMIENTAS WEB--------------------.pptxHERRAMIENTAS WEB--------------------.pptx
HERRAMIENTAS WEB--------------------.pptx
maralache30
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Festibity
 
Sitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajasSitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajas
paulroyal74
 
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVATECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
LilibethEstupian
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Festibity
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
JimmyTejadaSalizar
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
cbtechchihuahua
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Festibity
 
Actividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdfActividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdf
NajwaNimri1
 
modelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptxmodelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptx
evelinglilibethpeafi
 
herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024
julio05042006
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
mantenimientocarbra6
 
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
AMADO SALVADOR
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
larapalaciosmonzon28
 
SISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsxSISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsx
tamarita881
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
doctorsoluciones34
 
Conceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdfConceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdf
ValeriaAyala48
 

Último (20)

Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
 
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
 
HERRAMIENTAS WEB--------------------.pptx
HERRAMIENTAS WEB--------------------.pptxHERRAMIENTAS WEB--------------------.pptx
HERRAMIENTAS WEB--------------------.pptx
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
 
Sitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajasSitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajas
 
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVATECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
 
Actividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdfActividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdf
 
modelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptxmodelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptx
 
herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
 
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
 
SISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsxSISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsx
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
 
Conceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdfConceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdf
 

Linux Kernel Hardening - BugCON 2013

  • 1. Linux Kernel Hardening Alvaro Soto ( @alsotoes ) http://headup.ws - alsotoes@gmail.com Friday, February 15, 13
  • 2. Alvaro que? • Developer • Infraestructura // Arquitecturas OpenSource • Hardening & Tuning geek... freak • Linux (Gentoo Lover) • Kernel Vanilla Sources Friday, February 15, 13
  • 3. Por que hardening al Kernel ? • Por triste que suene... el Kernel de Linux no posee herramientas contra muchos tipos de ataques. • En cuanto a la memoria, por defecto deja hacer lo que se antoje. • Y en controles de acceso DAC estrictamente no cuenta como esquema de seguridad... avanzado Friday, February 15, 13
  • 4. Estatus de vulnerabilidades Integer Overflows Buffer Overflows Race/tmpfiles Race/non-tmpfiles Bad malformed data handling Lack of environment checks Generic bugs and bad design Kernel/Generic Kernel/Buffer Overflow 0 12.50 25.00 37.50 50.00 USN Analysis Friday, February 15, 13
  • 5. Entonces: ¿ Es seguro el Kernel de Linux ? ¿ Que tan seguro es ? Friday, February 15, 13
  • 6. Entonces: ¿ Se puede asegurar ? ¿ Que tanto ? Friday, February 15, 13
  • 7. Estatus de vulnerabilidades Integer Overflows Buffer Overflows Race/tmpfiles Race/non-tmpfiles Bad malformed data handling Lack of environment checks Generic bugs and bad design Kernel/Generic Kernel/Buffer Overflow 0 12.50 25.00 37.50 50.00 USN Analysis Friday, February 15, 13
  • 8. Contra que necesitamos protección? ? Friday, February 15, 13
  • 9. Contra que necesitamos protección? Friday, February 15, 13
  • 10. Contra que necesitamos protección? Friday, February 15, 13
  • 11. Contra que necesitamos protección? • Controles de acceso • DAC v/s MAC..... no mas chmod 777 a todo lo que se pueda. • El usuario root es omnipotente. • Memoria. • Modificación del address space. • Ejecución de codigo arbitrario. • Filesystem. • Races (tmp races). • chroot Friday, February 15, 13
  • 12. Condideraciones “básicas” • De bajo a alto nivel. • Configurar cada rincón del sistema. • Estándares y politicas de seguridad. • Instalar parches de seguridad continuamente. • Auditar cada acción del sistema. Friday, February 15, 13
  • 14. DAC v/s MAC Friday, February 15, 13
  • 15. DAC v/s MAC • Usuarios no pueden cambiar sus politicas de seguridad. • Se puede separar el espacio de trabajo de los usuarios con distintos contextos. • Politicas muy bien definidas: • Usuarios, archivos, directorios • Memory, Sockets, tcp/udp ports... etc., etc. Friday, February 15, 13
  • 16. Memory Protection • DEP (Data execution prevention). • Se divide la memoria en ejecutable y lectura. • ASLR (Address space layout randomization). • Tareas del kernel. • Posición de las librerias. • Tareas del usuario (userland stack). • UNA VIOLACION DE ALGUNA DE ESTAS POLITICAS PRODUCE QUE EL KERNEL MATE EL PROCESO, CAMBIANDO UN POSIBLE ACCESO POR UN DOS. Friday, February 15, 13
  • 17. GRSecurity & PAX V/S SELinux Friday, February 15, 13
  • 18. GRSecurity & PAX • Control de acceso Mandatorio por medio de RBAC definidas en ACL. • Generación automatica de reglas. • Proteccion del filesystem con bloqueos de: • chroot • mount • mknod Friday, February 15, 13
  • 19. SELinux • Un ejemplo de Mandatory Access Control para Linux. • Etiquetar todo a lo que necesita aplicar una politica. • user:role:type:level(opcional) • Comandos con argumentos extendidos ----->>>> -Z • ls -Z • id -Z • ps -Z • netstat -Z Friday, February 15, 13