2. Fórumok
  3. OS, alkalmazások
  4. Linux kezdőknek
  5. (kiemelt téma)
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2023-12-13 05:03

    Fototrend

    Linux kezdőknek - érdemes beleolvasni, mielőtt kérdezel

Új hozzászólás Aktív témák

  • #94555 urandom0 senior tag sh4d0w #94548
    Új Válasz #94555
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    urandom0

    senior tag

    válasz sh4d0w #94548 üzenetére

    Lehet olvasni a neten olyan javaslatokat, hogy adjunk noexec-t a /tmp-nek, mert az növeli a biztonságot. Szerintem, ha kéretlenül bekerül a rendszerbe bármi, aminek nem kellene ott lennie, az már eleve olyan súlyos probléma, hogy az egész biztonsági rendszert felül kell vizsgálni.
    És mint a mellékelt eset is mutatja, adódhatnak problémák, ha a /tmp-t bizgeráljuk.

    Pár hete találkoztam egy olyan esettel, hogy Debian stable alá, harmadik fél hanyagsága miatt (elavult szoftverkomponens + kompromittálódott SSH kulcs) kihasználásra került egy bug, és bekerült a rendszerbe egy cryptominer. Az is a /tmp-ből futott természetesen, és a /var/spool/cron alá írta be a frissítő crontabját.
    Csináltunk egy új szervert, az adatbázist átmigráltuk, új SSH kulcsokat osztottunk ki + beállítottuk a jelszavas hitelesítést IS. A régi szerverről leszedtem szinte mindent, elzártem a net elől, a /tmp-t és a cron kiürítettem, és kíváncsiságból hagytam futni. Két nap múlva ugyanúgy megjelentek a crontab bejegyzések, és ugyanúgy futott tovább a miner.
    Ha lett volna noexec a /tmp-n, nem tudott volna futni a miner, de itt nyilván az már csak a következmény volt, a rendszer attól még lyukas maradt volna. Egyébként dél-koreai IP címről léptek be az ellopott SSH kulccsal.

Új hozzászólás Aktív témák