From: Burak DAYIOGLU (dayioglu@metu.edu.tr)
Date: Sat 14 Jul 2001 - 07:26:57 EEST
Merhaba,
Bugun linux-guvenlik@linux.org.tr listesine gonderecegime soz verdigim
Immunix izlenimleri ve tanitimi yazisi asagidadir. Bu dagitimin
pek cogunuzun ilginizi cekebilecegini dusunuyorum.
Immunix guvenlikli Linux dagitimi, 1990'larin ortasinda Oregon Graduate
Institute of Science&Technology'den bir arastirma ekibinin basladigi
ve bu gune degin surdurdugu calismalarin bir derlemesi olarak
dusunulebilir.
Bu calismalarin en eskisi StackGuard adi ile bilinen bir yazilim
guvenligi arttirma teknolojisi. StackGuard, alan tasirma
(buffer-overflow) olarak bilinen ve ag uzerinden yapilabilen
saldirilarin neredeyse %50'sini teskil eden bir saldiri grubunu oldukca
zorlastiriyor. Sisteminize bind'daki, rpc.statd'deki ya da wu-ftpd'deki
bir aciktan faydalanarak biri daha once girdi ise, StackGuard'dan
faydalanmis olsaydiniz isi cok daha zor olabilirdi.
Temel olarak Stackguard, korunacak tum programlarin "stackguard yamasi"
yapilmis bir derleyici ile yeniden derlenmesi ile kullaniliyor. Yani
herhangi bir programin kaynak kodunu alip stackguard yamasi yapilmis
gcc'niz ile derlediginizde programi daha yuksek guvenlikli hale
getirebiliyorsunuz.
Stackguard ile ilgili onemli nokta, alan tasirma saldirilarini
"imkansiz"
kilmamasi, yalnizca zorlastirmasi. Ancak bu bile, Internet'ten eline
iki program gecirip saga-sola saldiran coluk-cocugu bilgisayarlarinizdan
uzak tutmada tahmin edemeyeceginiz kadar etkili olabiliyor.
90'li yillarin ortasindan beri var olsada, Stackguard'in kullanimi
gectigimiz seneye kadar oldukca dusuktu. Korunacak her programi yeniden
derlemek cok zahmetli oldugundan pek az musterisi vardi...
Bunu farkeden ekip, kendi Linux dagitimlarini olusturmaya ve bu
dagitimdaki tum programlari da Stackguard yamali bir derleyici ile
derlemeye karar verdiler ve Immunix adli dagitim fikri boylece ortaya
cikmis oldu.
Ama bir dagitim hazirlamak hic kolay olmadi; durumun guclugunu
farkedince
daha kolay (ve bence de makul) olani yaptilar ve RedHat dagitimini aynen
kullanmaya basladilar. Yeni cikan RedHat surumunu aliyor, kaynak
kodlarindan yeniden derliyor ve hic degistirmeden Immunix adi ile
dagitiyorlardi. Boylece, RedHat'ten gorunuste ve kullanimda hic ama hic
farki kalmiyordu. (Kurulum ekraninin birinde bile Immunix yazmiyor :)
Bu tumuyle bir RedHat!
Yakin zamanda populer olan "format-string" saldirilarina karsi
formatGuard yamasinin da eklenmesi ile dagitim biraz daha guvenlikli
bir hale geldi.
Esas bombalar sona kaldi. Immunix ile birlikte gelen SubDomain isimli
ilave, Linux cekirdegine onemli guvenlik gelistirmeleri ekliyor.
SubDomain'in ekli oldugu bir cekirdeginiz varsa her program icin ayri
ayri hangi dosyaya erisebilecegini tanimlayabiliyorsunuz. Boylece,
ornegin DNS sunucusu bind icin /etc/named.conf ve /var/named dizini
disinda hic bir yere erisemesin demek mumkun hale geliyor. Hatta
/etc/named.conf'a yalnizca okuma icin erissin diyerek dosyaya bir
bicimde yazmasini da engelleyebiliyorsunuz. Geleneksel yontemle
chroot() yaptiginizda biri digerinden soyutlanmis iki sistem
goruntusune sahip olurken, SubDomain sizi chroot()'un getirdigi
bu karmasik duzenden de kurtariyor.
Son olarak henuz tamamlanmamis bir ilave CryptoMark. Bu ilave ile
sizin sisteminize gore sifrelenmemis hic bir uygulama sisteminiz
uzerinde calistirilamiyor. Boylece, birisi sizin sisteminize sizsa
bile truva ati (cekirdek modulu olarak ya da baska bicimde) kurup
isletemiyor.
Yukaridaki ifadeler ve tanitim bazilariniza fazla teknik ve karmasik
gelmis olabilir; hic sorun degil... :)
En basit ifadesi ile Immunix, tumuyle bir RedHat ama daha yuksek
guvenlik becerilerine sahip. SubDomain gibi bazi becerilerin kullanimi
ozel ayarlar vb. yapmanizi gerektiriyorsa da, StackGuard ve
FormatGuard'i kullanmak icin bir sey yapmaniz gerekmiyor; bunlar siz
farketmeden de calisiyor ve onlari dusunmeniz gerekmiyor.
RedHat'ten hoslananlara ozellikle tavsiye olunur...
Biraz hizlica yazmak zorunda kaldim, hatalar varsa affola...
selamlar, sevgiler,
-bd
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------