anonymous@RULINUX.NET~# Last login: 2024-11-23 17:24:59
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-режима

Анонсирован релиз надежного, защищенного и высокопроизводительного FTP-сервера vsftpd 3.0.0. Ключевым улучшением, появившимся в новой версии, является реализация нового sandbox-режима, изолирующего выполнение процесса с использованием seccomp-фильтра.

В настоящее время в vsftpd задействован полный спектр средств защиты, доступных в Linux, включая выполнение в chroot, capabilities, контроль файловых дескрипторов, пространства имён, rlimits и даже экспериментальный уровень изоляции на основе ptrace. Seccomp позволяет реализовать новый уровень изоляции на уровне системных вызовов, чем-то напоминая sandbox на базе ptrace, но изначально основанный на технологии для обеспечения безопасности (ptrace является отладочным инструментом), обладающий значительно более высокой производительностью и отличающийся более высокой стабильностью.

Seccomp пока не включён в состав основного ядра Linux, но будет активирован по умолчанию в 64-разрядной сборке Ubuntu 12.04. Принцип работы Seccomp сводится к ограничению доступа к системным вызовам, при том, что логика выставляемых ограничений задаётся на уровне защищаемого приложения. Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов. BPF позволяет реализовывать достаточно сложные правила доступа, учитывающие передаваемые и возвращаемые аргументы. В код программы добавляется структура с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае несовпадения (например, KILL_PROCESS).

Программа сама определяет какие системные вызовы её необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом при помощи seccomp приложении. Более того, изоляция с использованием seccomp позволяет защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, выявленные за последние годы критические уязвимости в glibc и ядре Linux, такие как AF_CAN, sock_sendpage и sys_tee, успешно блокируются при использовании функциональности seccomp по проверке аргументов. Кроме vsftpd, патч с поддержкой seccomp уже подготовлен для OpenSSH и будет включён в состав OpenSSH 6.0.

Кроме обеспечения поддержки seccomp из изменений, добавленных в vsftpd 3.0.0 можно отметить:

  •   По умолчанию сервер запускается в обособленном режиме, самостоятельно обрабатывающем соединения (listen). Ранее по умолчанию подразумевался запуск через inetd;
  •   Ранее реализованный экспериментальный sandbox на базе ptrace теперь именуется в настройках "ptrace_sandbox" вместо "sandbox". Новый sandbox "seccomp_sandbox" включен по умолчанию для систем, поддерживающих seccomp;
  •   Добавлены дополнительные проверки состояния в код привилегированного управляющего процесса;
  •   Для сборки использована подборка опций, обеспечивающих более высокий уровень безопасности (например, включаются различные рандомизаторы памяти и средства защиты от переполнения стека);
  •   Добавлена новая опция "allow_writeable_chroot" для управления возможностью записи в chroot-окружениях, создаваемых для аутентифицированных пользователей;
  •   В качестве SSL-шифра по умолчанию задействован AES128-SHA;
  •   Устранение проблем с работой пассивного режима FTP при высокой нагрузке на сервер;
  •   Решение проблем с таймаутами, в частности, возникающими при использовании SSL.


Цельнотянуто с opennet.ru

>>> Подробнее

Id(*) (2012-04-11 10:25:36)
Отредактировано Tux-oid по причине "не указана"
Mozilla/5.0 (Linux x86_64) AppleWebKit/535.4+ (KHTML, like Gecko) WebKitGTK+/1.6.3 luakit

Подтверждено: Tux-oid(*) (2012-04-11 10:44:07)

[Ответить на это сообщение]

avatar
Скрыть

Re:Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-режима

Исправьте пожалуйста линк "подробнее" ...

Id(*)(2012-04-11 10:28:02)

Mozilla/5.0 (Linux x86_64) AppleWebKit/535.4+ (KHTML, like Gecko) WebKitGTK+/1.6.3 luakit
avatar
Скрыть

Re:Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-режима

И какова нагрузка на процессор при использовании этого seccomp_sandbox?

PS: может в новости перенести?

anonymous(*)(2012-04-11 10:47:54)

avatar
Скрыть

Re:Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-режима

>может в новости перенести?
Изначально в новостях, просто некоторые из трекера не вылезают и считают его разделом толкс ;)

По вопросу хз, но думаю они же не зря оптимизацией занимались, хотя на боевых машинах я бы подождал 3.0.х



p.s. Исправьте плз pennte,ru на openet.ru , а то лицензию нарушаем ;)

Id(*)(2012-04-11 11:40:42)

Mozilla/5.0 (Linux x86_64) AppleWebKit/535.4+ (KHTML, like Gecko) WebKitGTK+/1.6.3 luakit
Этот тред читают 2 пользователя:
Анонимных: 2
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!