Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
Шлюз на Live CD
 
Вот такой у меня любопытный вопрос:

Поднимал кто-нибудь шлюз на Live CD дистрибутиве, и если да, то на каком?
Я так понимаю... это весьма повысит безопасность самого шлюза - модифицировать файлы операционки будет нельзя! А если корректно все настроить... да за шлюзом создать и другие линии обороны, сеть будет... Весьма безопасной...

Или я ошибаюсь?

Ну, и как дополнение к вопросу... какой дистрибутив на Live CD посоветуете для исследования безопасности сети? Whoppix? Frenzy? RTK?
 
Frenzy -- пашет отлично -- все конфиги на ro флопаре...
 
ну соответсвенно и обновить тоже ничего нельзя.. минусом будет  именно отсутствие гибкости, разве только самому собрать CD,
 
ИМХО, геммороя будет уйма.....
 
Whoppix рулит
 
Цитата
CyberPunk пишет:
Whoppix рулит

Рулит чем? Интересно узнать, чем мотивирован такой выбор...
 
В принципе, если самому собрать LiveCD  наподобие Frenzy, закатать на него -stable версии только необходимого ПО может получиться неплохо. Если LiveCD собираешь сам с обновлением проблем не будет.

Только вот систему это вряд ли сильно обезопасит, так читать любые файлы и писать в память (изменять логику работы запущенных приложений) все равно можно будет при получении рутовых привелегий.

кстати, как на таком шлюзе вести логи? если на монтируемый rw диск, тогда основное преимущество использование LiveCD теряется.
 
Цитата
ивил пишет:
кстати, как на таком шлюзе вести логи?

К примеру, отжиг на cd-r =) И логи останутся целы)
 
Цитата
Крысолов пишет:
К примеру, отжиг на cd-r =) И логи останутся целы)

существуют программные реализации, позволяющие в реальном времени писать логи на cd-r и по функциональности схожие например с syslog ?
 
Овчинка, по-моему,  не стоит выделки. Посчитай насколько быстро убъется привод.
 
вот пару ссылок на создание LiveCD на опенбсд

http://www.jtan.com/jtanoss/cdboot/
http://www.onlamp.com/pub/a/bsd/2005/07/14/openbsd_live.html
 
Цитата
Овчинка, по-моему, не стоит выделки. Посчитай насколько быстро убъется привод.
Совершенно правильно,а если еще учесть то что с сидюка будет работать очень медленно...
 
Цитата
кстати, как на таком шлюзе вести логи?
syslog умеет логить по сети на другую машину.
 
Цитата
qBiN пишет:
Совершенно правильно,а если еще учесть то что с сидюка будет работать очень медленно...
Можно сделать и LiveFlash  ;)
http://www.nmedia.net/~chris/soekris/
 
Почему же медленно... оперативки гигабайт, и будет работать весьма хорошо.

Меня волнует в основном вопрос безопасности - будет ли в этом реальный плюс, и как частность - вопрос немодифицируемости файлов ОС - она все же будет или нет? :( Как на такую систему будут воздействовать средства взлома системы? вирусы, эксплойты?
 
А апдейтить как? бинды например, или еще чего нить, логи опять же
эт постоянно отрезать свежий лайв, и ребутить? :))))
помоему грамотно настроенный фаерволл менее геморойнее, или покопатся в selinux
 
Цитата
Почему же медленно... оперативки гигабайт, и будет работать весьма хорошо.

Меня волнует в основном вопрос безопасности - будет ли в этом реальный плюс, и как частность - вопрос немодифицируемости файлов ОС - она все же будет или нет? :( Как на такую систему будут воздействовать средства взлома системы? вирусы, эксплойты?

А не проще ли перевести через fstab всё в ридонли то что ненужно...Собрать всё самое свежее. и грамотно настроить...ну или на крайняк поставить SElinux. Я бы например не мучился так с ЛайвСиди....имхо не для этого их придумали  :(
 
http://m0n0.ch/wall/
Очень хорошая вещь. Маленький и с большими возможностями.
 
Цитата
Меня волнует в основном вопрос безопасности - будет ли в этом реальный плюс, и как частность - вопрос немодифицируемости файлов ОС - она все же будет или нет?
для безопасности,
1 - следует оставить толко крайне необходимые программы, шелы, текстовые редакторы, интерпретаторы и команды типа mount в  "крайне необходимые программы"  не входят. (если в используемой ОС код работы с сетью включен в ядро то вобще никаих програм кроме загрузчика ядра и ядра не нужно)
2 - следует модифицировать ядро так чтобы в нем не осталось кода позволояющего работать с дисками или какиминибудь устройствами кроме необходимых для выполнения кода ядра и поддержки работы сетевых инерфейсов. (впрочем если на машине не осталось ни одной программы то делать системные вызовы будет нечему)
впринципе тогда всеровно с чего грузится, но  желательно размещать ядро в ПЗУ отображаемом в ОЗУ тогда и загрузчик не онадобится.
Цитата
_fi  31.10.2005 12:02:13
А не проще ли перевести через fstab всё в ридонли то что ненужно.
Ну если я получил нужные(root) права то кто помешает мне их перемантировать? а если у меня их нет то хватит и обычного разгранисения прав доступа..
 
Цитата
Я так понимаю... это весьма повысит безопасность самого шлюза - модифицировать файлы операционки будет нельзя! А если корректно все настроить... да за шлюзом создать и другие линии обороны, сеть будет... Весьма безопасной...

Или я ошибаюсь?
.
Важно заметить что шлюз сам по себе не оченто и нужен, интересны машины что за ним, т.е. если например в сетевом фильтре будет уязвимость при посылки спецально подоброного пакета он вдруг станет пропускать все пакеты во все стороны, то невозможность модифицировать файлы не актуальна, если воспользовавшись переполнением буфера (если конечно у нас не  гарвардская архитектура) в конечном итоге запушу свой код то  возможность записи это вопрос удобства. Достадочно важный плюс я вижу толко в том что после перезагрузки система ГАРАНТИРОВАНО (если конечно у нас не пишуший привод, и bios закрыт от записи) верентся в начальное состояние. А если есть возможность заставить ее перезагружатся через определенные промежутки времени(непример через каждые 30 минут) то это может затруднить взломшику проникновение на шлюз. Но он в конечном итоге хочет попасть не на шлюз, а на машину внутри сети..
А вот вебсервер на LiveCD (LiveFlash read only) где оснавная цель зашитить странички от подмены это уже интересней, хотя прийдется для логов что то делать
Страницы: 1 2 След.
Читают тему