The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от opennews (??) on 10-Апр-12, 15:10 
Анонсирован (http://scarybeastsecurity.blogspot.com/2012/04/vsftpd-300-an...) релиз надежного, защищенного и высокопроизводительного FTP-сервера vsftpd 3.0.0 (https://security.appspot.com/vsftpd.html). Ключевым улучшением, появившимся в новой версии, является реализация нового sandbox-режима, изолирующего выполнение процесса с использованием seccomp-фильтра.

В настоящее время в vsftpd задействован полный спектр средств защиты, доступных в Linux, включая выполнение в chroot, capabilities, контроль файловых дескрипторов, пространства имён, rlimits и даже экспериментальный уровень изоляции на основе ptrace. Seccomp позволяет реализовать новый уровень изоляции на уровне системных вызовов, чем-то напоминая sandbox на базе  ptrace, но изначально основанный на технологии для обеспечения безопасности (ptrace является отладочным инструментом), обладающий значительно более высокой производительностью и отличающийся более высокой стабильностью.

Seccomp пока не включён в состав основного ядра Linux, но будет активирован по умолчанию в 64-разрядной сборке Ubuntu 12.04. Принцип работы Seccomp сводится к ограничению доступа к системным вызовам, при том, что логика выставляемых ограничений задаётся  на уровне (ftp://vsftpd.beasts.org/users/cevans/untar/vsftpd-3.0.0/secc...) защищаемого приложения. Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов. BPF позволяет реализовывать достаточно сложные правила доступа, учитывающие передаваемые и возвращаемые аргументы. В код программы добавляется структура с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае несовпадения (например, KILL_PROCESS).


Программа сама определяет какие системные вызовы её необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом при помощи seccomp приложении. Более того, изоляция с использованием seccomp позволяет защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, выявленные за последние годы критические уязвимости в glibc и ядре Linux, такие как AF_CAN (http://sota.gen.nz/af_can/), sock_sendpage (http://blog.cr0.org/2009/08/linux-null-pointer-dereference-d...) и sys_tee (http://www.juniper.net/security/auto/vulnerabilities/vuln228...),  успешно блокируются при использовании функциональности seccomp по проверке аргументов. Кроме vsftpd, патч с поддержкой seccomp уже подготовлен (http://hg.mindrot.org/openssh/rev/f40779d28db5) для OpenSSH и будет включён (https://twitter.com/#!/damienmiller/status/187351912113377280) в состав OpenSSH 6.0.


Кроме обеспечения поддержки seccomp из изменений, добавленных в vsftpd 3.0.0 можно отметить:

-  По умолчанию сервер запускается в обособленном режиме, самостоятельно обрабатывающем соединения (listen). Ранее по умолчанию подразумевался запуск через inetd;
-  Ранее реализованный экспериментальный sandbox на базе ptrace теперь именуется в настройках "ptrace_sandbox" вместо "sandbox". Новый sandbox "seccomp_sandbox" включен по умолчанию для систем, поддерживающих seccomp;
-  Добавлены дополнительные проверки состояния в код привилегированного управляющего процесса;
-  Для сборки использована подборка опций, обеспечивающих более высокий уровень безопасности (например, включаются различные рандомизаторы памяти и средства защиты от переполнения стека);

-  Добавлена новая опция "allow_writeable_chroot" для управления возможностью записи в chroot-окружениях, создаваемых для аутентифицированных пользователей;

-  В качестве SSL-шифра по умолчанию задействован AES128-SHA;
-  Устранение проблем с работой пассивного режима FTP при высокой нагрузке на сервер;
-  Решение проблем с таймаутами, в частности, возникающими при использовании SSL.

URL: http://scarybeastsecurity.blogspot.com/2012/04/vsftpd-300-an...
Новость: http://www.opennet.ru/opennews/art.shtml?num=33569

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  –2 +/
Сообщение от Аноним (??) on 10-Апр-12, 15:10 
> В настоящее время в vsftpd задействован полный спектр средств защиты, доступных в Linux, включая выполнение в chroot, capabilities, контроль файловых дескрипторов, пространства имён, rlimits и даже экспериментальный уровень изоляции на основе ptrace.

Прекрасно, молодцы ребята.
А в федоре/сусе/мендриве эти средства защиты можно легко задействовать для любой службы, вне зависимости от их поддержки разработчиками. Но федора/мандрива/суся отнюдь не позиционируют себя как супер-пупер защищенные системы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Аноним (??) on 10-Апр-12, 15:12 
> Seccomp пока не включён в состав основного ядра Linux

А почему? Проблемы со стабильностью?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +2 +/
Сообщение от Алексей (??) on 10-Апр-12, 15:13 
Т.е. правила напишуться сами? Или вы настолько хорошо знаете все сервисы, что для каждого можете написать такие правила? Может тогда напишете?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  –6 +/
Сообщение от Vasily Pupkin on 10-Апр-12, 15:15 
Да ёлки же ты палки. Вместо того, что бы всем миром писать нормальные политики к SELinux, занимаются ерундой какой то
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  –1 +/
Сообщение от Аноним email(??) on 10-Апр-12, 15:46 
100500 ФС, 100500 планировщиков, 100500 систем безопасности: SELinux, теперь Seccomp.

Зачем все это плодить, а не продумать один раз наперед?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +1 +/
Сообщение от Andrey Mitrofanov on 10-Апр-12, 16:14 
> Зачем все это плодить, а не продумать один раз наперед?

Гугль не осилил selinux, пользователи хрома не осилили selinux, никто не осилил selinux. Аноним не осилил подумать наперёд. Ситуэйшн нормал.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +2 +/
Сообщение от ононим on 10-Апр-12, 16:42 
SELinux, seccomp, tomoyo, yama, apparmor. действительно, не много ли всего?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от szh (ok) on 10-Апр-12, 17:24 
если включат, потом нельзя ни выключить ни userspace API поменять
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  –1 +/
Сообщение от Andrey Mitrofanov on 10-Апр-12, 17:28 
Много-не много, не важно. Главное, что _не _достаточно!:D
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +1 +/
Сообщение от deadless (ok) on 10-Апр-12, 18:20 
дистрибутивов тоже как-то недостаточно, вообще очень мало
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +1 +/
Сообщение от umbr (ok) on 10-Апр-12, 18:33 
100500 вариантов фичи хороший признак, говорит о её востребованности, и в то же время о незрелости решений.
Так что запасаемся попкорном или коммитим патчи в апстримы - до полного созревания.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Аноним (??) on 10-Апр-12, 19:00 
смотря как ломают API в ядре - это уж за запросто.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +1 +/
Сообщение от filosofem (ok) on 10-Апр-12, 19:51 
> 100500 ФС, 100500 планировщиков, 100500 систем безопасности: SELinux, теперь Seccomp.
> Зачем все это плодить, а не продумать один раз наперед?

Именно так и рассуждает каждый изобретатель нового стопицотпервого велосипеда.


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от anonymous (??) on 10-Апр-12, 20:03 
Как его подружить с sqlite? В плане, виртуальных пользователей авторизовывать через БД, хранящуюся в sqlite? Гугель намекает на модуль pam-sqlite, но я такого не обнаружил, только эти туманные намеки...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от szh (ok) on 10-Апр-12, 21:38 
API эволюционируют внутри ядра оставаясь неизменным в syscalls для юзерспейса. Слово "ломают" неверно по отношению к тому, что не предполагалось быть неизменным.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  –1 +/
Сообщение от Аноним (??) on 11-Апр-12, 01:32 
А правила по хорошему должны писать разработчики.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

22. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +1 +/
Сообщение от Аноним (??) on 11-Апр-12, 01:35 
> нормальные политики к SELinux,

Не, пусть это такие как ты пишут. И всякие хрены из FBI у которых регламент, так что по регламенту положено так сношаться.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Аноним (??) on 11-Апр-12, 01:36 
> дистрибутивов тоже как-то недостаточно, вообще очень мало

Да, то-ли дело винды. Там MS железной рукой за всех решил что сегодня бум жрать вот эти вот кактусы и все тут. И фиг оспоришь. Наверное так лучше по вашему мнению, да? :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  –1 +/
Сообщение от Stax (ok) on 11-Апр-12, 02:23 
Ох. А sqlite это так принципиально? Если вам "на месте просто править", можно взять текстовый файл, хэшируемый средствами dbm - такое поддерживается, если в SQL хранить важно - можно в mysql.

sqlite, он весьма неэффективен под данную задачу - он рассчитан на то, что из приложения будет идти вся работа, а тут вы хотите извне изменять, а он чтобы подтягивал. Это постоянно переоткрывать файл и т.д., в том же dbm это намного эффективнее будет. Поэтому на тему sqlite никто особо и не заморачивается.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Другой Аноним on 11-Апр-12, 03:30 
Вы похожу не представляете что за зверь этот SELinux и в чем его . Его хватит на все. Ну а проблема восприятия процесса настройки политика как (не)приятного акта некоторой деятельности - это сугубо ваша личная проблема, не правда ли?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  –1 +/
Сообщение от bav (ok) on 11-Апр-12, 10:56 
> sqlite, он весьма неэффективен под данную задачу

Ню-ню, тут даже pam-модуль на питоне, который каждый раз парсит xml на предмет аутентификационных данных, справится.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Аноним (??) on 11-Апр-12, 11:10 
Да с кем ты споришь? С этим хренкиным? Он никогда в жизни в заведении крупнее Рогов и Копыт не работал. А строем тем более не ходил, ибо кривой-косой-хромой или просто откосил.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +1 +/
Сообщение от Аноним (??) on 11-Апр-12, 11:11 
> 100500 вариантов фичи хороший признак, говорит о её востребованности, и в то
> же время о незрелости решений.
> Так что запасаемся попкорном или коммитим патчи в апстримы - до полного
> созревания.

Вряд ли ты при жизни это увидишь. Примерно как метро в Зимбабве.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

29. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Аноним (??) on 11-Апр-12, 11:12 
> Ох. А sqlite это так принципиально? Если вам "на месте просто править",
> можно взять текстовый файл, хэшируемый средствами dbm - такое поддерживается, если
> в SQL хранить важно - можно в mysql.
> sqlite, он весьма неэффективен под данную задачу - он рассчитан на то,
> что из приложения будет идти вся работа, а тут вы хотите
> извне изменять, а он чтобы подтягивал. Это постоянно переоткрывать файл и
> т.д., в том же dbm это намного эффективнее будет. Поэтому на
> тему sqlite никто особо и не заморачивается.

Дятло, а почему бы, чтобы карандаш очинить, не взять сразу мельничный жернов? Оракель, например?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Аноним (??) on 11-Апр-12, 11:12 
>> sqlite, он весьма неэффективен под данную задачу
> Ню-ню, тут даже pam-модуль на питоне, который каждый раз парсит xml на
> предмет аутентификационных данных, справится.

Тю! А потом семейка велосипедистов изойдет на гогно, говоря, какой питон тормоз горный.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +1 +/
Сообщение от Аноним (??) on 11-Апр-12, 11:14 
>> дистрибутивов тоже как-то недостаточно, вообще очень мало
> Да, то-ли дело винды. Там MS железной рукой за всех решил что
> сегодня бум жрать вот эти вот кактусы и все тут. И
> фиг оспоришь. Наверное так лучше по вашему мнению, да? :)

Прикинь - это много лучше чем 1024 дистра, отличающихся друг от друга лишь обоями. И причем среди них нет нужного мне - дистра черниговских венерологов с гениталиями крупным планом на обоях в разрешении 1280x1024!

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

32. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Kibab email(ok) on 11-Апр-12, 12:36 
Осталось Capsicum добавить и можно юзать на последней фре :-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от anonymous (??) on 11-Апр-12, 14:25 
> Ох. А sqlite это так принципиально? Если вам "на месте просто править",
> можно взять текстовый файл, хэшируемый средствами dbm - такое поддерживается, если
> в SQL хранить важно - можно в mysql.
> sqlite, он весьма неэффективен под данную задачу - он рассчитан на то,
> что из приложения будет идти вся работа, а тут вы хотите
> извне изменять, а он чтобы подтягивал. Это постоянно переоткрывать файл и
> т.д., в том же dbm это намного эффективнее будет. Поэтому на
> тему sqlite никто особо и не заморачивается.

У меня просто уже есть БД пользователей в sqlite, и хочется держать это централизованно. Может, какой-то другой ftpd это умеет? Я не нашел.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

34. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Аноним (??) on 11-Апр-12, 15:29 
> полный спектр средств защиты, доступных в Linux, включая выполнение в chroot,
> capabilities, контроль файловых дескрипторов, пространства имён, rlimits и даже
> экспериментальный уровень изоляции на основе ptrace.

А LXC где? Чрут галимый - есть, а куда как более дуракозащищенный LXC - оно где?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Аноним (??) on 11-Апр-12, 15:32 
> какой питон тормоз горный.

Насколько он горный - хрен знает, но тормозит отменно :P

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

36. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Kibab email(ok) on 11-Апр-12, 17:58 
Какую поддержку на уровне приложения вы ожидаете? :-)

>> полный спектр средств защиты, доступных в Linux, включая выполнение в chroot,
>> capabilities, контроль файловых дескрипторов, пространства имён, rlimits и даже
>> экспериментальный уровень изоляции на основе ptrace.
> А LXC где? Чрут галимый - есть, а куда как более дуракозащищенный
> LXC - оно где?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Аноним (??) on 11-Апр-12, 19:00 
напиши. Это же опенсорс
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Stax (ok) on 11-Апр-12, 20:36 
Проблема тут в том, что sqlite по дизайну "под одно приложение", на другое применение он не рассчитан - поэтому и работает плохо. Если вам нужно хранить пользователей в sql, то просто нужно сделать маленький шаг и хранить в клиент-серверном mysql, а не "файлике" sqlite, и такой проблемы возникать не будет.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

39. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от Stax (ok) on 11-Апр-12, 20:38 
>> Ох. А sqlite это так принципиально? Если вам "на месте просто править",
>> можно взять текстовый файл, хэшируемый средствами dbm - такое поддерживается, если
>> в SQL хранить важно - можно в mysql.
>> sqlite, он весьма неэффективен под данную задачу - он рассчитан на то,
>> что из приложения будет идти вся работа, а тут вы хотите
>> извне изменять, а он чтобы подтягивал. Это постоянно переоткрывать файл и
>> т.д., в том же dbm это намного эффективнее будет. Поэтому на
>> тему sqlite никто особо и не заморачивается.
> Дятло, а почему бы, чтобы карандаш очинить, не взять сразу мельничный жернов?
> Оракель, например?

А что плохого в том, чтобы держать пользователей в БД? Например, виртуальных пользователей для почты, ftp и так далее. Есть много причин, по которым sql тут удобнее, чем файлик; но sqlite это совершенно некорректный sql под данную задачу, нужно клиент-серверный.

Конечно, с точки зрения корректности правильнее хранить пользователей в ldap, но предлагать городить ldap на пустом месте это как раз будет мельничным жерновом, пожалуй. А вот перейти на более правильный sql - по-моему нормальное предложение.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

40. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от XoRe (ok) on 12-Апр-12, 00:15 
> По умолчанию сервер запускается в обособленном режиме, самостоятельно обрабатывающем соединения (listen). Ранее по умолчанию подразумевался запуск через inetd;

Порадовало.
Я так понимаю, все современные дистрибутивы ещё при инсталляции переделывают конфиг на использование listen.
А то уже лет 5 vsftpd+inetd не то что, на серверах не видел, а даже статей про такую настройку не встречал.

> Добавлена новая опция "allow_writeable_chroot" для управления возможностью записи в chroot-окружениях, создаваемых для аутентифицированных пользователей;

А вот это удобная фича.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-р..."  +/
Сообщение от 1 (??) on 12-Апр-12, 23:48 
tactical facepalm, when simple facepalm is just not enough.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру