Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 21 reacties
Bron: Trusted Debian, submitter: pven

Het Trusted Debian project heeft versie 1.0 vrij gegeven, zo is te lezen op de site van het project. Trusted Debian is een uitbreiding op een standaard Debian Woody distributie die uitgebreid wordt met de nodige veiligheidsverhogende maatregelen. Volgens het persbericht van de site van het project is Trusted Debian de eerste Linux-variant die een dergelijke hoge mate van veiligheid beschikbaar maakt voor de massa. De enige projecten die vergelijkbare mogelijkheden bieden zijn OpenBSD en in mindere mate Gentoo Linux.

De focus van versie 1.0 van Trusted Debian ligt op het voorkomen van misbruik veroorzaakt door zogenaamde 'buffer overflow exploits'. Deze fouten in software zijn een veelvoorkomend veiligheids probleem bij huidige Unix- en Windowssystemen. Trusted Debian probeert de schadelijke gevolgen van deze fouten te voorkomen door de toevoeging van het PaX-project aan Trusted Debian. PaX voert controles op het geheugen uit, waarbij programma's die delen van het geheugen proberen te benaderen waar ze geen toegang tot mogen hebben worden terug gefloten.

Verder randomized PaX de geheugenlocaties van data en instructies en voert het een strikte scheiding van programma instructies en data door, waardoor de veiligheid wordt verhoogd. Trusted Debian voorziet uiteraard in nog meer maatregelen om het veiligheidsniveau op een hoger niveau te brengen, onder andere door toevoeging van FreeS/WAN en RSBAC aan de kernel. Voor de uitgebreide lijst met veiligheidsmaatregelen en bijbehorende uitleg kan men op de site van Trusted Debian terecht. Het pakket is direct beschikbaar en kan eenvoudig worden ge´nstalleerd op een standaard Debian installatie via apt-get. Vooralsnog is Trusted Debian een volledig losstaand project en heeft geen binding met Debian Linux:

Debian logoToday the Trusted Debian project releases its first official release, Trusted Debian v1.0. The main focus of this release has been on fixing many (but not all) buffer overflow problems. Buffer overflows have been a popular way to break system security for years. A large portion of the Linux exploits found on the Internet today involve buffer overflows.

[...] PaX randomizes the place a program is loaded into memory. Buffer overflow attacks depend on the exact location of memory locations. Attacks are much harder when that location varies every time a program is executed. Thus making it much harder for attackers to locate the exact locations they need for a succesful attack. Again, PaX is the first to implement this kind of protection. No other UNIX system uses this kind of protection against buffer overflows, except OpenBSD. But their implementation is more restricted. It will randomize only one aspect of the memory (which technical people call the stack) where PaX randomizes four aspects (stack, heap, libraries and the main executable) and their implementation uses 10 bits against 24 bits for PaX.
Moderatie-faq Wijzig weergave

Reacties (21)

De enige projecten die vergelijkbare mogelijkheden bieden zijn OpenBSD en in mindere mate Gentoo Linux.
Er zijn er wel meer hoor ;)
Je hebt ook nog trustix en Security-Enhanced Linux van de NSA :)

En ik vind tot nu toe dat het extra beveiligde gentoo nog niet klaar is voor grote projecten.

Maar voegt dit nou echt wat toe aan de al bestaande lijst met distributies :? Voor zover ik weet zijn pax en RSBAC's er ook losstaand en kun je ze ook bij een ¨normale¨ debian installatie installeren.

Of is dit er gewoon om alles makkelijker te maken en/of een een default secure install aan te bieden?
Voor bijvoorbeeld de glibc patches moeten de apps gerecompiled worden, tuurlijk kan dat met een standaard debian, maar dit is net ff iets makkelijker en op elkaar afgestemd :)
Erug leuk dit maar bestaat er ook zoiets voor Redhat bijvoorbeeld? Deze maatregels dekken niet alles, maar maakt het allemaal wel weer wat makkelijker
Ik ben wel benieuwd. Ik heb gewoon Debian Woody draaien op mijn ADSL verbinding en ben dus altijd online.

Ik draai hierop BIND 9 en ssh als belangrijkste services. Ik update bijna dagelijks en draai een redelijk goed dichtgespijkerde ipchains firewall.

Hoe groot is de kans in zo'n geval nog dat je gehackt word?
Zoals je zelf al aangeeft is je ipchains
redelijk goed dichtgespijkerd
... Daar waar je nog gaten hebt kan je potentieel gehackt (cracked zo u wil) worden.

BIND staat redelijk bekend als een beetje lek, of dat met versie 9 nog steeds zo is weet ik niet, heb het de laatste tijd niet meer zo bijgehouden; ik installeer dagelijks mijn security-updates en dan vertrouw ik erop dat het Debian Security team goed werk levert. Dat is gelukkig ook zo :)

SSH wil regelmatig ook negatief in het nieuws opduiken, maar ook hier geldt, houdt je security updates bij en je bent tegen bekende lekken vrij snel en adequaat beschermd.
Ik draai ook debian/woody op een servertje, maar met de recente samba exploit waren ze er wel mooi te laat bij met de security update. Er zijn vrij veel machines op de campus gehackt, en mijn servertje was er een van. Maar verder doet het security team wel goed werk ;)
Sinds wanneer komen beveilegings lekken positief in het nieuws.
Men is meer geintresserd in een lek dan een nieuwe feature.
Ik ben wel benieuwd. Ik heb gewoon Debian Woody draaien op mijn ADSL verbinding en ben dus altijd online.

Ik draai hierop BIND 9 en ssh als belangrijkste services. Ik update bijna dagelijks en draai een redelijk goed dichtgespijkerde ipchains firewall.

Hoe groot is de kans in zo'n geval nog dat je gehackt word?
Het gevaar is veel groter als er mensen shell accounts op je server hebben. Dan kunnen ze ook zelf code uitvoeren en zo buffer overvlows veroorzaken.
Vooral de toevoeging van RSBAC is errug interessant. Hiermee kun je werkelijk alles op je systeem controleren en afschermen. In ben bezig met je docje te maken over dit systeem, als het af is zet ik het hier wel ergens op GOT.

Voor meer info over RSBAC zie www.rsbac.org.
Zorgt het random toewijzen van geheugenplaatsen niet voor een ernstig gefragmenteerd geheugen? Of welke kunstige techniek wordt hiervoor toegepast?
BIND staat redelijk bekend als een beetje lek, of dat met versie 9 nog steeds zo is weet ik niet, heb het de laatste tijd niet meer zo bijgehouden;
BIND 9 heeft geloof ik de zwaarste issues van versie 8 wel opgelost, en daarbij, je bent redelijk goed op weg als je hem gewoon CHrooted draait (bind 9 support dat beter)

ontopic:

Toch 'es uitproberen dat Trusted Debian, had ik net nodig, en Gentoo vind ik net iets te unstable voor een productie server..
Betekent dit dat ik moet herinstalleren of kan ik dit ook gewoon apt-getten?
Het pakket is direct beschikbaar en kan eenvoudig worden ge´nstalleerd op een standaard Debian installatie via apt-get.
Kom op man, het staat gewoon letterlijk in de tekst.
edit: sorry dubbelpost
Leuk ;-) Maar je kan dit eigenlijk met gelijk welk distro doen hoor maar nog geen enkel heeft dit standaard. Nu nog de administrators slimmer laten worden (geen passen laten rondslingeren, encryptie)
Ik vind de naam wel mooi cynisch gekozen, Trusted Debian... In dit geval slaat het Trusted wel degelijk op het systeem door de systeembeheerder, iets wat het bij dat andere platform niet zozeer hoeft te betekenen ;)
Ik ben hier wel blij mee, ik ben altijd erg voorzichtig maar was wel gehacked door een buffer overflow exploit :r. Dit komt als geroepen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True