System na wylot bezpieczny

Subskrybuj RSS A A A
15 marca 2004
Tomasz Grabowski

OpenWall Linux to propozycja dla tych, którzy nie chcą wciąż martwić się o bezpieczeństwo udostępnianych w sieci aplikacji.

Dla kogo OWL

OpenWall Linux to idealna platforma dla aplikacji świadczących usługi publiczne, np. serwerów FTP, poczty, grup dyskusyjnych, DNS itd. Dystrybucja OWL ma oprogramowanie niezbędne do uruchomienia takich usług. Ze względu na to, że zostało ono wszechstronnie przetestowane pod kątem bezpieczeństwa, większość informacji o lukach go nie dotyczy. Ważniejsze jest jednak to, iż OWL jest bezpieczny pod względem architektury uprawnień. Nawet jeśli system czy aplikacja nie zostaną na czas załatane, standardowe mechanizmy systemowe prawdopodobnie i tak uniemożliwią "zdobycie" systemu. Przykładem może być to, że mimo iż w lutym br. pojawiło się kilka nowych błędów w jądrach z serii 2.4.x, użytkownicy jądra 2.4.23-ow2 z dystrybucji OpenWall Linux datowanego na 5 stycznia nie są na te błędy podatni.

Oprócz serwerów publicznych warto rozważyć możliwość użycia OWL w systemach z wieloma użytkownikami wewnątrz firmy, np. jako platformy serwera baz danych. Wysoki poziom bezpieczeństwa przełoży się na oczywiste korzyści dla firmy i administratora, który będzie mieć mniej problemów do rozwiązania. Każde dodatkowe zabezpieczenie wiąże się najczęściej z utratą pewnej funkcjonalności, dlatego - choć znaczna część zabezpieczeń jest przezroczysta dla użytkownika i aplikacji - trudno polecać ten system do użytku domowego.

OpenWall Linux będzie naprawdę bezproblemowy dopóty, dopóki będą na nim uruchamiane aplikacje wchodzące w skład dystrybucji. Instalacja aplikacji zewnętrznych wymaga pewnego doświadczenia i... czasu. Jeżeli w systemie ma działać więcej aplikacji i usług jednocześnie, być może lepiej jest posłużyć się utwardzoną i załataną wersją jednej z popularnych dystrybucji, takich jak Debian czy Red Hat. Z całą pewnością jednak OpenWall Linux jest systemem, o którym należy pamiętać, instalując kolejny serwer w firmie, jego atuty są bowiem trudne do przecenienia.

Tomasz Grabowski jest specjalistą ds. bezpieczeństwa usług sieciowych w Akademickim Centrum Komputerowym na Politechnice Szczecińskiej.

OpenWall Linux
OpenWall Linux (OWL) to dystrybucja, której twórcy stawiają sobie za cel maksymalne bezpieczeństwo już po zainstalowaniu - bez dodatkowych zabiegów "utwardzających". Trudno nazwać OWL systemem przyjaznym dla użytkownika - instalacja i późniejsze utrzymanie systemu wymagają sporego doświadczenia. Te trudy OWL wynagradza administratorowi z nawiązką, oferując mu przysłowiowy święty spokój. Kod włączany do dystrybucji OWL jest wszechstronnie sprawdzany pod względem bezpieczeństwa. Chodzi nie tylko o wykrycie błędów, ale także o architekturę bezpieczeństwa i wykorzystanie "najlepszych praktyk". Aplikacje, które przejdą wstępne sito, są dodatkowo "utwardzane" i konfigurowane tak, by po standardowej instalacji zapewniać minimum uprawnień, co jest zgodne z filozofią bezpieczeństwa sieciowego. Więcej o systemie i dostępnych dla niego aplikacjach można przeczytać na witrynie projektu: http://www.openwall.com.

Separacja przywilejów w OpenWall Linux
Niektóre programy muszą działać z przywilejami użytkownika root. Jest im to potrzebne np. do nasłuchiwania na niektórych portach lub dostępu do plików systemowych. Oczywiście, większość operacji, które takie programy wykonują, może być przeprowadzana z mniejszymi przywilejami (np. niebezpieczne zazwyczaj działania na łańcuchach znaków). Okazuje się, że w praktyce można dość skutecznie podzielić program na te wątki, które potrzebują praw administratora, oraz te, które tych praw nie potrzebują.

Na schemacie obok widać przykład separacji przywilejów w oprogramowaniu popa3d (bezpieczny serwer POP3). Program startuje z prawami root, jednak od razu jest dzielony na dwa wątki. Pierwszy wątek zaczyna nasłuchiwać na porcie 110, a następnie zostaje zamknięty w katalogu /var/empty oraz pozbywa się swoich praw administratora. W takim stanie czeka na połączenia od użytkowników. To jedyna część programu widziana z zewnątrz. Jeśli znalazłby się w niej jakikolwiek błąd pozwalający na przejęcie kontroli nad programem, to atakujący otrzymałby tylko i wyłącznie dostęp do katalogu /var/empty. Nic poza tym. W przypadku, gdy z programu korzysta prawowity użytkownik, jego login i hasło są przekazywane do drugiego wątku, który nadal działa z prawami roota. Zadaniem tego wątku jest wyłącznie weryfikacja loginu i hasła użytkownika. Jeśli krok ten zakończy się sukcesem (użytkownik podał poprawne login i hasło), program ostatecznie pozbędzie się przywilejów administratora, przyjmując jednocześnie przywileje konkretnego użytkownika, i zezwoli na dalszą komunikację z jego uprawnieniami.

Jak widać, ilość kodu, który jest wykonywany z przywilejami użytkownika root, została zdecydowanie zmniejszona, przez co prawdopodobieństwo wystąpienia błędu bezpieczeństwa jest znacznie mniejsze. Ponadto ewentualny audyt kodu staje się łatwiejszy - najbardziej zagrożone fragmenty kodu stanowią zaledwie kilka procent całości.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 0 liczba ocen: 0
« wstecz 1  2 
Podziel się |

Komentarze (0)

+Dodaj komentarz

Najpopularniejsze

Najnowsze

Państwo do konsolidacji

Państwo do konsolidacji
Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

e-Sąd z odsieczą sprawiedliwości

e-Sąd z odsieczą sprawiedliwości
Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

e-Zdrowie w Polsce i na świecie
Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Cyberprzestępcy podążają za użytkownikami
Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Jak zaplanować karierę w branży IT

Jak zaplanować karierę w branży IT
Doświadczenia łączone na różnych stanowiskach w firmach o odmiennych profilach są szczególnie cenione przez pracodawców. Dlatego warto głęboko przeanalizować możliwości rozwoju kariery, które obecnie stwarza rynek IT.

Jakie są różnice między chmurą a wirtualizacją

Jakie są różnice między chmurą a wirtualizacją
Wirtualizacja jest obecnie standardową technologią, stosowaną powszechnie w IT. Od środowiska chmury prywatnej dzieli ją jednak długa droga, gdyż wymaga ona uzupełnienia o istotne składniki.

Rekomendacje



Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88