LINUX USER Slackware
Każdy, kto rozważa zastosowanie
Uszczelnianie i zabezpieczenia systemu Slackware
dystrybucji Slackware na stacji ro-
boczej lub serwerze, powinien pa-
Uszczelka
miętać o podstawowych czynno-
ściach związanych z bezpieczeń-
stwem systemu.
dla Slackware
MARCIN KUBECKI
Motto  Błędne poczucie bezpieczeństwa jest gorsze niż brak zabezpieczeń.  Steve Gibson
lackware jest powszechnie uważa- wiemy się ze strony producenta dystrybu- ną na nowo wykryty błąd setsockopt
ny za jedną z bezpieczniejszych cji. Pakiety natomiast najlepiej pobrać MCAST_MSFILTER (Tabela 1). Do tej
Sdystrybucji Linuksa. Twórca syste- z serwera FTP lub jednego z dostępnych wersji jądra ściągamy również łaty Open-
mu  Patrick Volkerding, postawił sobie mirrorów. Dobrym pomysłem jest rów- wall ze strony producenta www.open-
za cel stworzenie dystrybucji zarówno nież zapisanie się na listę dyskusyjną, wall.com/linux.
bezpiecznej, jak i funkcjonalnej. Osiągnął z której to dowiemy się o nowych zagroże- W katalogu /usr/src rozpakowujemy
to wprowadzając rygorystyczną politykę niach w sieci. Program służący do aktuali- z
ródła poleceniem:
bezpieczeństwa systemu. zacji zainstalowanych pakietów to:
Slackware stosuje politykę wydawania tar -zxpvf linux-2.4.26.tar.gz
pakietów jedynie w pełnych wersjach pro- upgradepkg [opcje] U tar -zxpvf linux-2.4.26-ow1.U
gramów, co niestety oznacza też brak pro- stary_pakiet%nowy_pakiet tar.gz
gramów beta, lecz zapewnia nam bezpiecz-
ny i przetestowany kod z
ródłowy. Jądro Kompilacja oraz zakładanie Zawartość poszczególnych archiwów
systemu udostępnianie jest w postaci nie łaty Openwall (2.4.26) wyświetli się na ekranie. Po zakończeniu
zmienianej, co umożliwia bezproblemowe Powodów, dla których warto skompilować rozpakowywania pojawią się dwa nowe
zaaplikowanie dowolnej łaty znajdującej jądro, jest co najmniej kilka. Przede katalogi linux-2.4.26 oraz linux-2.4.26-
się w sieci. System ten jest tworzony prak- wszystkim dopasowujemy jądro do po- ow1/. Kolejnym krokiem jest zaaplikowa-
tycznie przez jedną osobę, co również ma trzeb zarówno sprzętowych, jak i progra- nie łaty Openwall, wykonujemy to polece-
wielki wpływ na jego bezpieczeństwo.. mowych  jądro skompilowane w ten spo- niem patch -p1 < /usr/src/src/linux-
sób powinno pracować zdecydowanie wy- 2.4.26/linux-2.4.26-ow1.diff z katalogu li-
Aktualizacja pod wzglę- dajniej. Kolejnym argumentem za kompi- nux-2.4.26 oraz tworzymy dowiązanie
dem bezpieczeństwa lacją jądra jest wybór wersji jądra oraz
Marcin Kubecki zajmuje się bezpie-
Od wydania ostatniej stabilnej wersji możliwość zaaplikowania łatki zwiększa-
Slackware minęło już kilka miesięcy. jącej bezpieczeństwo np. Openwall [Ram- czeństwem systemów o otwartym
W okresie tym wykryto wiele błędów ka 1] znanego specjalisty od bezpieczeń-
kodzie z
ródłowym. Jest studentem
o krytycznym znaczeniu dla bezpieczeń- stwa sieciowego Solar Designera.
Wyższej Szkoły Technologii Informa-
stwa systemu (Tabela 1). Bieżąca aktuali- y
ródła jądra możemy ściągnąć
tycznych. W swoim doświadczeniu
zacja to podstawa do osiągnięcia bezpiecz- z www.kernel.org. Interesująca nas wersja
ma zabezpieczenia sieci składającej
nego systemu. O sposobie aktualizacji pa- jądra to 2.4.26, która w czasie pisania ar-
się ze 100 komputerów.
kietów, którą należy przeprowadzić, do- tykułu była wersją bezpieczną oraz odpor-
Tabela 1: Najnowsze błędy krytyczne Slackware
Błąd y
ródło Opis
http://www.isec.pl/vulnerabilities/isec-0015-msfilter.txt Za błąd odpowiedzialna jest funkcja ip_setsockopt.. Błąd dotyczy opcji
MCAST_MSFILTER w makrze IP_MSFILTER_SIZE. Wykorzystanie błędu może
umożliwić lokalne uzyskanie przywilejów administratora
mremap  kernel (2.2.25 i niższe, http://www.isec.pl/vulnerabilities/isec-0014-mremap-unmap.txt Za błąd odpowiedzialne jest wywołanie systemowe mremap(). Wykorzystując ten błąd
2.4.24 i niższe, 2.6.2 i niższe) można lokalnie uzyskać prawa administratora lub wykonanie ataku DoS.
OpeSSl wersje 0.9.c do 0.6.k http://eve.mitre.org/cgi-bin/cvname.cgi?name=CAN-2004-0079 Za błąd odpowiedzialna jest funkcja do_change_spec, która umożliwia atak DoS (denial
oraz 0.9.7a do 0.9.7c of service). Zalecana aktualizacja do wersji OpenSSL.0.9.7d
Mutt wersja 1.4.1 http://eve.mitre.org/cgi-bin/cvname.cgi?name=CAN-2004-0079 Możliwe jest wykonanie ataku DoS (denial of service) poprzez wykorzystanie błędu
oraz wcześniejsze przepełnienia bufora. Zalecana aktualizacja do wersji mutt.1.4.2i
94 Czerwiec 2004 www.linux-magazine.pl
AUTOR
Slackware LINUX USER
Ramka 1: Główne cechy
i zadania łaty Openwall.
Do priorytetowych zadań Openwalla należy:
% ochrona przed większością ataków prze-
pełnienia bufora, ponieważ łata Open-
wall czyni stos niewykonywalnym
% kontrola nad dowiązaniami w katalogach
z atrybutem +t (sticky bit)
% kontrola dostępu do /proc, co powoduje,
że jedynie uprzywilejowani użytkownicy
mają dostęp do pełnego drzewa procesów
% restrykcja na kolejki FIFO, co nie pozwala
na zapis użytkownikowi, który nie jest jej
właścicielem.
jest odpowiedzialny za uruchamianie po-
Rysunek1: Okno dostępnych opcji Openwalla w jądrze szczególnych zadań konfiguracyjnych
znajdujących się w osobnych plikach. Oto
symboliczne ln -s linux-2.4.26 linux i prze- szy system, bazę taką należy stworzyć już po czynności wykonywane przez niego:
chodzimy do właściwej kompilacji jądra. jego ręcznej konfiguracji. Baza jest bardzo % Uruchamianie systemu Linux, związane
przydatna w celu zautomatyzowania procesu jest z inicjalizacją skryptów startowych
make menuconfig dostrajania i uszczelniania systemu. Przykła- /etc/rc.d/. Skrypty te zawierają wpisy
make dep dem może być sieć składająca się z kilku ser- o usługach, które mają być uruchamia-
make bzImage werów, na których trzeba wykonywać te same ne, inicjalizacje urządzeń oraz wpisy
make modules czasochłonne operacje, a skorzystanie z goto- związane z czyszczeniem plików tym-
make modules_install wych skryptów znacznie skraca ten czas. czasowych czy przeładowywaniem
make bzlilo Poniżej znajdziecie zestaw bardzo pro- ldconfig, jednak w swojej standardowej
konfiguracji zawierają wie-
Po tym zabiegu będziemy już le niepotrzebnie urucha-
Tabela 2: Parametry dla polecenia upgradepkg
posiadaczami nowego jądra mianych usług. Ich dopaso-
Opcja Działanie
z zaaplikowaną łatką bezpie- wanie do własnych potrzeb
--verbose Powoduje wyświetlenie szczegółów procesu aktualizacji
czeństwa Openwall. oraz inicjalizacja jedynie
--install-new Powoduje, że upgradepkg zainstaluje również nowe programy
Poprawne skompilowanie niezbędnych usług świad-
--reinstall Opcji tej używamy, gdy chcemy ponownie zainstalować już zainstalowane pakiety
jądra nie polega tylko na czy o doświadczeniu użyt-
tym, że jądro działa, ale że kownika. Dobrym pomy-
posiada jedynie niezbędne składniki, co stych skryptów służących do procesu słem jest również odebranie wszystkim
jest owocem stabilności oraz bezpieczeń- uszczelniania systemu. Zadania wykony- skryptom praw do czytania ich przez
stwa systemu. wane przez te skrypty będą szczegółowo użytkownika innego niż właściciel. Od-
omawiane. Wzorując się na nich możemy powiedzialny za wyżej wymienione
Uszczelnianie oraz proces sobie przygotować dalsze narzędzia, dzię- czynności jest skrypt rc.script, a przy-
jego automatyzacji ki którym zautomatyzujemy cały proces kład plików startowych znajduje się
Po zainstalowaniu naszej nowej dystrybucji konfiguracji systemu. Zadanie realizuje- w katalogu./files/rc.d.
oraz aktualizacji jądra przychodzi czas na my na dystrybucji Slackware, wybór jed- % Usuwanie atrybutu SUID oraz SGID
uszczelnianie systemu. Większość zmian nak nie był przypadkowy. W dystrybucji z około 20 standardowych programów
musimy wprowadzać po każdorazowej insta- tej nadal do konfiguracji potrzebna jest w systemie. Wykonuje to bezpośrednio
lacji, więc dużym ułatwieniem podczas ręczna ingerencja użytkownika, co daje skrypt suid_sgid.sh. Kolejny skrypt
uszczelniania systemu jest baza z informa- gwarancję, że zmiany wprowadzane są je- przegląda system w poszukiwaniu pli-
cjami, jakie wprowadzaliśmy w poprzednich dynie tam, gdzie tego potrzebujemy. ków z atrybutami suid/sgid, a wyniki
jego wersjach. Jeśli jednak jest to nasz pierw- Głównym skryptem jest ldsecurity.sh, który działania zapisuje w plikach suid_ oraz
sgid_. Aby ściągnąć wyżej wymienione
atrybuty wpisujemy:
Problemy z uruchamianiem nowego jądra
Jeżeli masz problem z uruchomieniem systemu z nowym jądrem, a nie masz stworzonej
chmod -s /sciezka/do/progamu
dyskietki startowej włóż do napędu płytę instalacyjną i po znaku zachęty wpisz: bare.i ro-
ot=/dev/hda1 noinit rw. W tym przykładzie główna partycja systemu to /dev/hda1  zmień
Skrypt wykonujący te działanie to:
to stosownie do swojej konfiguracji.
find.sh.
www.linux-magazine.pl Czerwiec 2004 95
LINUX USER
% Usuwanie z pliku /etc/group oraz % Ustawienie w pliku /etc/login.defs wstęp do stworzenia bezpiecznego syste-
/etc/passwd zbędnych w większości kon- zmiennej PASS_MAX_DAYS, dzięki mu. Opisane w niniejszym artykule skryp-
figuracji, grup oraz użytkowników ta- której ważność haseł wynosi 2 miesią- ty warto rozbudować o własne procedury,
kich jak: uucp, news, games, rpc. Dzia- ce. Zmienione są również prawa dostę- które będą wykonywały nasze założenia.
łanie to wykonuje skrypt del.sh. pu do pliku, do odczytu oraz zapisu Nie da się stworzyć systemu w 100% bez-
% Kopiowanie nowego pliku /etc/innit- tylko dla właściciela. Skrypt wykonu- piecznego, więc nie należy ulegać błędne-
tab, w którym to została zablokowana jący te działanie to login.sh. mu poczuciu bezpieczeństwa. Tworzenie
możliwość resetowania komputera % Zmiana komunikatów powitań syste- jednak coraz to nowszych zabezpieczeń
klawiszami [CTRL]+[ALT]+[DEL]. mowych issue, issue.net oraz motd, z któ- jest znacznym utrudnieniem dla poten-
Opcja odpowiedzialna za możliwość rych agresor może zdobyć informacje cjalnych włamywaczy. %
restartowania systemu w taki sposób o zainstalowanej dystrybucji oraz wer-
to ca::ctrlaltdel:/sbin/shutdown -t5 -r sji jądra. Zmiana plików /etc/issue oraz
INFO
now. Aby ją zablokować należy w tym /etc/issue.net polega jedynie na edycji
[1] Oficjalna strona dystrybucji Slackware:
wierszu umieścić znak komentarza #. tych plików, natomiast aby wprowadzić
www.slackware.com
Odpowiedzialny za to działanie jest zmiany w pliku /etc/motd, należy wcze-
[2] Skrypty opisywane w artykule:
skrypt innit.sh. śniej opatrzyć znakiem komentarza li-
www.linux-magazine.pl/issue05/
nię echo  '/bin/uname -sr.' >/etc/motd
slack_script.tar.gz
znajdującą się w skrypcie startowym
Tabela 3:Nowe wpisy
[3] Oficjalne wersje kernela: www.kernel.org
/etc/rc.S /. Skryptem odpowiedzialnym
w sysglog.conf
[4] A
aty bezpieczeństwa Openwall:
za tę czynność jest issue.sh.
www.openwall.org/linux
kern.debug -/var/log/syslogd/kern.log
% Dodawanie nowych wpisów do pliku
[5] Informacje o zagrożeniach i
mail.debug -/var/log/syslogd/mail.log
/etc/syslog.conf (Tabela 3) oraz zmiana
aktualizacjach Slackware:
daemon.debug -/var/log/syslogd/daemon.log
prawa dostępu do tego pliku. Czynno-
http://www.slackware.com/security
daemon.debug -/var/log/syslogd/daemon.log
ści te wykonuje skrypt syslog.sh
[6] Listy dyskucyjne o Slackware:
auth.debug -/var/log/syslogd/auth.log
http://www.slackware.com.pl/list
authpriv.debug -/var/log/syslogd/authpriv.log
Podsumowanie
syslog.debug -/var/log/syslogd/syslog.log
[7] Pakiety z aktualizacjami: ftp://ftp.slac-
Tych kilka działań w istotny sposób zabez-
*.* /dev/tty12
kware.at/slackware-9.1/patches/packages/
pieczy nasz system, lecz jest to dopiero
Prenumerata Linux Magazine
Nie przegap takiej okazji
% Zamawiając prenumeratę
oszczędzasz!
% Płacisz jak za 9 numerów,
a otrzymujesz 12!
% Z każdym numerem DVD
lub płyta CD-ROM.
Najszybszy sposób zamówienia prenumeraty:
http://www.linux-magazine.pl
Infolinia: 0801-800-105