Tomsk Sysadmins Forum

Unix => Администрирование => Topic started by: Comrad on February 25, 2007, 20:26:27

Title: Сборка пакетов для маршрутизатора
Post by: Comrad on February 25, 2007, 20:26:27
Хотелось бы услышать мнение специалистов на следущую тему.
Есть маршрутизатор в небольшой сети, соединяет ее с внешкой.
На нем крутися небольшое количество сопутствующих сервисов.
Работает все под Slackware.
Сборка некоторых пакетов проводилась из исходников.
На сколько понял держать исходники и компилятор на самом маршрутизаторе не является правильным из соображений безопасности.
Поразмыслив малость пришел к двум вариантам:Оба варианта имеют свои достоинства и недостатки.
Помогите советом.
Title: Сборка пакетов для маршрутизатора
Post by: Unit on February 25, 2007, 20:33:52
А с чего вы взяли, что является небезопасным?
Title: Сборка пакетов для маршрутизатора
Post by: Comrad on February 25, 2007, 22:10:26
Ну скажем, практически во всех встреченных мною статьях по взлому машин происходит этап сборки эксплойта или бэкдора неппосредственно на атакуемой машине. Админ при этом характеризуется не лучшими качествами.
Title: Сборка пакетов для маршрутизатора
Post by: Unit on February 25, 2007, 23:40:57
А что мешает не запускать всё подряд из-под рута? Что мешает запретить руту напрямую логиниться через ssh? Что мешает открыть ssh на определённые адреса?
Моё мнение такого, что вы сами погорите из-за вашей паранойи, причём будете этому очень не рады.
Title: Сборка пакетов для маршрутизатора
Post by: HotIce on February 27, 2007, 11:49:30
имхо.. вполне обоснованное желание белать все безопасно.. и никакой тут паранои...  нет а с другой стороны... что мещает "врагу" залить все что ему надо самостоятельно... если он конечно до рута добрался. ))
Кстати первый вариант очень даже неплох.. если уж совсем хочется
Title: Сборка пакетов для маршрутизатора
Post by: SinClaus on February 27, 2007, 17:47:45
Если "враг" залогинился под рутом или эквивалентным (например у Апача оставлен шелл, и нет пароля), то отсутствие компилятора уже не спасет.
Title: Сборка пакетов для маршрутизатора
Post by: Comrad on February 27, 2007, 23:31:56
Попробую оба варианта, но второй почему то нравится больше.
Согласен, если дело дошло до прав рута, то дело плохо. Но компилятор и библиотеки нужно еще залить, а это все дополнительные следы взлома в системе. Больше следов - легче обнаружить и защититься.
Title: Сборка пакетов для маршрутизатора
Post by: ack on March 01, 2007, 22:51:39
Quote from: Comrad
  • Установить на другой машине (c ASP-ом) VMware, туда копию маршрутизатора, производить сборку там и копировать все обратно на маршрутизатор.
  • Создать на другой машине каталог develop, там установить компилятор, и каталог для исходников.
    Монтировать его к маршрутизатору по NFS, и все собирать по месту.
Оба варианта имеют свои достоинства и недостатки.
Помогите советом.
Оба варианта обладают одним большим недостатком: они делают систему менее безопасной.
Первый вариант - это по сути копия системы на другом компе. У атакующего теперь есть альтернатива: можно атаковать основной сервер, а можно с тем же успехом его копию. Вероятность успешной атаки заметно повышается.
Второй вариант ещё хуже. Мало того, что весь сборочный софт находится на другом компьютере (см выше чем это может аукнуться), для связи используется "небезопасный" NFS. Что такое угроза конфиденциальности и целостности данных при передаче по сети, думаю, расшифровывать не надо.
Вот во что на только на первый взгляд может вылиться чрезмерная забота о безопасности.