Có một số lựa chọn trong nhân Linux. Bao gồm cơ chế đồng bộ cookie
syn_cookie. Tràn ngăn xếp bộ nhớ (Stack overflow) được kiểm soát bởi một miếng vá bảo mật gọi là tường mở (openwall) hoặc OWL.
● tcp_syncookies
Để kích hoạt lựa chọn này bạn chỉ cần thực hiện như sau:
[root@nasaspc /proc]#echo "1" > /proc/sys/net/ipv4/tcp_syncookies
Dòng lệnh này sẽ chỉ thị cho nhân gửi một cookie tới client trong tín hiệu trả lời SYN+ACK của nó. Trong chế độ này, máy chủ sẽ đóng socket và đợi tín hiệu
Nếu file tcp_syncookies khơng tồn tại trong thư mục /proc thì bạn cần phải dịch lại nhân với lựa chọn hỗ trợ syncookies.
Chú ý: Mặc định, thậm chí nếu syncookies đã được hỗ trợ bởi nhân thì bạn cần
phải kích hoạt hỗ trợ bằng cách thêm "1" vào /proc/sys/net/ipv4/tcp_syncookies.
Điều này thường được thực hiện trong /etc/rc.d/rc.local. Tuy nhiên có một giải
pháp khác hiệu quả hơn là thêm một đầu vào (entry) vào /etc/sysctl.conf
● Miếng vá bảo mật owl (phần này khơng phải là đối tượng trình bày của tài liệu này)
Miếng vá này quan tâm đến hầu hết các vấn đề liên quan đến ngăn xếp bộ nhớ và nó khơng nằm trong phạm vi của khoá học này.
Địa chỉ miếng vá owl và nhân Linux:
http://www.openwall.com
http://www.kernel.org/pub/linux/kernel/v2.2/
Miếng vá này chỉ hỗ trợ cho nhân 2.2-19 hoặc phiên bản tiếp theo.
Sau khi download linux-2.2.19.tar.gz và linux-2.2.19-ow1.tar.gz vào thư mục
/usr/src/, chắc chắn là bạn đã xoá linux symbolic link.
[root@nasaspc src]#pwd /usr/src/
[root@nasaspc src]#rm -rf linux
Giải nén các gói.
[root@nasaspc src]#tar xvzf linux-2.2.19.tar.gz [root@nasaspc src]#tar xvzf linux-2.2.19-owl.tar.gz
Để kiểm tra hệ thống, chuyển tới thư mục linux-2.2-19-owl. Có một thư mục được
gọi là lựa chọn chứa file có tên là stacktest.c.
[root@nasaspc optional]#pwd /usr/src/linux-2.2.19-ow1/optional
[root@nasaspc optional]#gcc stacktest.c -o stacktest
Nếu bạn chạy stacktest thì sẽ thu được danh sách các lựa chọn. Chạy mô phỏng
tràn bộ nhớ.
Một tấn công tràn bộ nhớ đệm thành công:
[root@nasaspc optional]#stacktest Usage: ./stacktest OPTION
Non-executable user stack area tests -t call a GCC trampoline
-e simulate a buffer overflow exploit
-b simulate an exploit after a trampoline call [root@nasaspc optional]#stacktest -e
Attempting to simulate a buffer overflow exploit... Succeeded.
Để áp dụng miếng vá bạn cần phải di chuyển tới thư mục linux. Sau đây là các câu
lệnh.
Sử dụng miếng vá openwall:
[root@nasaspc linux]#pwd /usr/src/linux
Bây giờ nếu bạn thực hiện make menuconfig bạn sẽ thấy một cửa sổ nhập mới
gọi là Security options. Các lựa chọn mặc định đều hợp lý. Từ đây bạn có thể bắt
QUẢN TRỊ HỆ THỐNG LINUX
Tổng quan
Chúng ta sẽ xem xét các nhiệm vụ chính của quản trị hệ thống như quản lý các file nhật ký, lập lịch công việc bằng cách sử dụng at và cron....