ubuntu下可用的安全机制
原文链接:http://www.lenky.info/archives/2014/06/2412
ubuntu下可用的安全机制矩阵:https://wiki.ubuntu.com/Security/Features
看了一会,简单罗列下,不知道理解对没:
No Open Ports:系统默认安装完后,没有任何远程可访问的监听端口。
1,127.x.x.x的端口不算,其属于本机回路测试IP地址,因此远程无法访问。
2,特例:DHCP或mDNS。
3,系统管理员安装相关服务程序后,比如apache,可以指定对应的监听端口。
Password hashing:系统密码存放在/etc/shadow,从Ubuntu 8.10开始,使用SHA-512替代之前的MD5做哈希。
SYN cookies:抵御SYN-flood DDOS工具。
Filesystem Capabilities:现代文件系统支持xattrs扩展属性,减少setuid风险。
http://plaintext.blog.edu.cn/home.php?mod=space&uid=1557851&do=blog&id=382146
Configurable Firewall:ufw防火墙,iptables的前端界面。
Cloud PRNG seed:用来协助产生伪随机码,比较适合云环境。
PR_SET_SECCOMP:使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system calls),即read(), write(), exit()和sigreturn(),否则进程便会被终止。
http://note.sdo.com/u/634687868481358385/NoteContent/M5cEN~kkf9BFnM4og00239
AppArmor\SELinux\SMACK:强制访问控制机制,指定应用程序可以执行或不可以执行的操作。
Encrypted LVM:从Ubuntu 12.10后,Ubuntu可安装到一整块加密的lvm上,因此所有分区都在一个逻辑分卷里,包括交换分区,并且都是加密的。在安装过程中选择:guided – use tntire disk and set up encrypted LVM。
eCryptfs:eCryptfs 是在 Linux 内核 2.6.19 版本中引入的一个功能强大的企业级加密文件系统,堆叠在其它文件系统之上(如 Ext2, Ext3, ReiserFS, JFS 等),为应用程序提供透明、动态、高效和安全的加密功能。
Ecryptfs是一个强大的本地加密软件。特点如下:
支持文件粒度:加密到每一个文件。你可以单独取出一个文件进行解密。而不是像其它软件那样,制作一个大大的文件包。
系统内核支持:解密文件夹挂载点(在哪查看解密文件夹),对用户和系统是透明的(与平常文件夹没有区别)。可以对复杂软件进行加密支持,比如sql数据库文件夹、web文件夹、聊天记录(对软件没有影响,也不需设置)。
多种加密方式:与普通软件不同,它提供了不同强度、方式的加密。
http://www.ibm.com/developerworks/cn/linux/l-cn-ecryptfs/
http://wiki.ubuntu.org.cn/Ecryptfs
Stack Protector/Heap Protector/Pointer Obfuscation:开发人员使用
Address Space Layout Randomisation (ASLR):是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。据研究表明ASLR可以有效的降低缓冲区溢出攻击的成功率。
cat /proc/sys/kernel/randomize_va_space
0 – 表示关闭进程地址空间随机化。
1 – 表示将mmap的基址,stack和vdso页面随机化。
2 – 表示在1的基础上增加栈(heap)的随机化。
Built as PIE:位置独立的可执行区域(position-independent executables)。这样使得在利用缓冲溢出和移动操作系统中存在的其他内存崩溃缺陷时采用面向返回的编程(return-oriented programming)方法变得难得多。
gcc -fPIE -pie …
Built with Fortify Source:强化安全编译,通过”-D_FORTIFY_SOURCE=2″或-O1及以上优化,即可开启该项安全保护。
1,扩展安全函数:自动替换使用sprintf、strcpy等的n版函数,也就是snprintf、strncpy等,避免缓冲区溢出。
2,当格式字符串是一个可写的内存段适合,阻止%n格式串,攻击。
3,检查一些重要函数(比如system,write,open等)的返回状态码和参数。
4,创建新文件时需要指定文件mask掩码。
Built with RELRO、Built with BIND_NOW:设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击。
RELRO: RELocation Read-Only:http://isisblogs.poly.edu/2011/06/01/relro-relocation-read-only/
Non-Executable Memory:设置某些内存区域(heap、stack等)为不可执行(Non-eXecute (NX) or eXecute-Disable (XD))。需要BIOS开启(从Ubuntu 11.04开始,Ubuntu忽略BIOS的设置,即不管BIOS是否开启,只要CPU支持,那么Ubuntu就会使用它)。需要开启PAE(64bit或32bit-server或32bit-generic-pae均以开启)。
/proc/$pid/maps protection:限制maps文件只能被本身进程或进程所有者修改,其他均为只读。
其它:….
转载请保留地址:http://www.lenky.info/archives/2014/06/2412 或 http://lenky.info/?p=2412
ubuntu下可用的安全机制矩阵:https://wiki.ubuntu.com/Security/Features
看了一会,简单罗列下,不知道理解对没:
No Open Ports:系统默认安装完后,没有任何远程可访问的监听端口。
1,127.x.x.x的端口不算,其属于本机回路测试IP地址,因此远程无法访问。
2,特例:DHCP或mDNS。
3,系统管理员安装相关服务程序后,比如apache,可以指定对应的监听端口。
Password hashing:系统密码存放在/etc/shadow,从Ubuntu 8.10开始,使用SHA-512替代之前的MD5做哈希。
SYN cookies:抵御SYN-flood DDOS工具。
Filesystem Capabilities:现代文件系统支持xattrs扩展属性,减少setuid风险。
http://plaintext.blog.edu.cn/home.php?mod=space&uid=1557851&do=blog&id=382146
Configurable Firewall:ufw防火墙,iptables的前端界面。
Cloud PRNG seed:用来协助产生伪随机码,比较适合云环境。
PR_SET_SECCOMP:使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system calls),即read(), write(), exit()和sigreturn(),否则进程便会被终止。
http://note.sdo.com/u/634687868481358385/NoteContent/M5cEN~kkf9BFnM4og00239
AppArmor\SELinux\SMACK:强制访问控制机制,指定应用程序可以执行或不可以执行的操作。
Encrypted LVM:从Ubuntu 12.10后,Ubuntu可安装到一整块加密的lvm上,因此所有分区都在一个逻辑分卷里,包括交换分区,并且都是加密的。在安装过程中选择:guided – use tntire disk and set up encrypted LVM。
eCryptfs:eCryptfs 是在 Linux 内核 2.6.19 版本中引入的一个功能强大的企业级加密文件系统,堆叠在其它文件系统之上(如 Ext2, Ext3, ReiserFS, JFS 等),为应用程序提供透明、动态、高效和安全的加密功能。
Ecryptfs是一个强大的本地加密软件。特点如下:
支持文件粒度:加密到每一个文件。你可以单独取出一个文件进行解密。而不是像其它软件那样,制作一个大大的文件包。
系统内核支持:解密文件夹挂载点(在哪查看解密文件夹),对用户和系统是透明的(与平常文件夹没有区别)。可以对复杂软件进行加密支持,比如sql数据库文件夹、web文件夹、聊天记录(对软件没有影响,也不需设置)。
多种加密方式:与普通软件不同,它提供了不同强度、方式的加密。
http://www.ibm.com/developerworks/cn/linux/l-cn-ecryptfs/
http://wiki.ubuntu.org.cn/Ecryptfs
Stack Protector/Heap Protector/Pointer Obfuscation:开发人员使用
Address Space Layout Randomisation (ASLR):是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。据研究表明ASLR可以有效的降低缓冲区溢出攻击的成功率。
cat /proc/sys/kernel/randomize_va_space
0 – 表示关闭进程地址空间随机化。
1 – 表示将mmap的基址,stack和vdso页面随机化。
2 – 表示在1的基础上增加栈(heap)的随机化。
Built as PIE:位置独立的可执行区域(position-independent executables)。这样使得在利用缓冲溢出和移动操作系统中存在的其他内存崩溃缺陷时采用面向返回的编程(return-oriented programming)方法变得难得多。
gcc -fPIE -pie …
Built with Fortify Source:强化安全编译,通过”-D_FORTIFY_SOURCE=2″或-O1及以上优化,即可开启该项安全保护。
1,扩展安全函数:自动替换使用sprintf、strcpy等的n版函数,也就是snprintf、strncpy等,避免缓冲区溢出。
2,当格式字符串是一个可写的内存段适合,阻止%n格式串,攻击。
3,检查一些重要函数(比如system,write,open等)的返回状态码和参数。
4,创建新文件时需要指定文件mask掩码。
Built with RELRO、Built with BIND_NOW:设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击。
RELRO: RELocation Read-Only:http://isisblogs.poly.edu/2011/06/01/relro-relocation-read-only/
Non-Executable Memory:设置某些内存区域(heap、stack等)为不可执行(Non-eXecute (NX) or eXecute-Disable (XD))。需要BIOS开启(从Ubuntu 11.04开始,Ubuntu忽略BIOS的设置,即不管BIOS是否开启,只要CPU支持,那么Ubuntu就会使用它)。需要开启PAE(64bit或32bit-server或32bit-generic-pae均以开启)。
/proc/$pid/maps protection:限制maps文件只能被本身进程或进程所有者修改,其他均为只读。
其它:….
转载请保留地址:http://www.lenky.info/archives/2014/06/2412 或 http://lenky.info/?p=2412
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
赞同 0
评论 0 条
- 上周热门
- 如何使用 StarRocks 管理和优化数据湖中的数据? 2950
- 【软件正版化】软件正版化工作要点 2872
- 统信UOS试玩黑神话:悟空 2833
- 信刻光盘安全隔离与信息交换系统 2728
- 镜舟科技与中启乘数科技达成战略合作,共筑数据服务新生态 1261
- grub引导程序无法找到指定设备和分区 1226
- 华为全联接大会2024丨软通动力分论坛精彩议程抢先看! 165
- 2024海洋能源产业融合发展论坛暨博览会同期活动-海洋能源与数字化智能化论坛成功举办 163
- 点击报名 | 京东2025校招进校行程预告 163
- 华为纯血鸿蒙正式版9月底见!但Mate 70的内情还得接着挖... 158
- 本周热议
- 我的信创开放社区兼职赚钱历程 40
- 今天你签到了吗? 27
- 如何玩转信创开放社区—从小白进阶到专家 15
- 信创开放社区邀请他人注册的具体步骤如下 15
- 方德桌面操作系统 14
- 用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
- 我有15积分有什么用? 13
- 如何让你先人一步获得悬赏问题信息?(创作者必看) 12
- 2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
- 中央国家机关政府采购中心:应当将CPU、操作系统符合安全可靠测评要求纳入采购需求 8
热门标签更多
