16 Mar
2014
16 Mar
'14
2:36 a.m.
On 03/16/2014 02:13 AM, Pavel Snajdr wrote:
Je to porad udrzovane. Konceptualne je to outdated, jak jsem psal - ale stale
dost lidi to pouziva. Je to max na "lame fial haxxore". Ale asi taky nic
lepsiho
automatizovaneho neznas? Treba nejaky solver, ktery by dokazoval, ze v tom
systemu neni neco uplne mimo. Jinak zustava manualni audit, co vzdy zabere dost
casu a je to napul magie.
Tenhle typek (Brad Spender, autor PaX/grsecurity) -
https://twitter.com/grsecurity - umi psat z kernel patchu local kernel exploity,
nekdy tam dava PoC. Coz nove zacina byt celkem bezna praxe - botnetmastri
reverzuji patche a pisou podle toho exploity. Zatim predevsim pro Windows, ale
trend je videt.
Ondro
On 03/16/2014 01:54 AM, Ondrej Mikle wrote:
Aha, uplne jsem zapomnel, ze to umi i jine funkce. Pamatuji si, ze jsi na
InstallFestu rikal, ze ta linuxova implementace je jiz dostatecne stabilni,
Oracle a onehda Sun dost valcil licencne s CDDL.
Osobne mi prijde ZFS jako velmi dobry filesystem,
mozna to kapku
prehnali s pouzitim SHA256 na "error-detection/integrity
protection" (postacila by jednodussi funkce). Ale jsem rad, ze ZFS
driver pro linux je uz pouzitelny :-)
Z manu ZFS:
---
checksum=on | off | fletcher2,| fletcher4 | sha256
Controls the checksum used to verify data integrity. The
default value is on, which automatically selects an appropriate
algorithm (currently, fletcher4, but this may change in future
releases). The value off disables integrity checking on user data.
Disabling checksums is NOT a recommended practice. Changing this
property affects only newly-written data.
---
Tzn. da se to nastavit per dataset (FS/ZVOL), default je fletcher4,
kterej je paradne rychlej. Ale hodi se jenom na checksumy, protoze je
hodne nachylnej na (a opravdu pravidelne generuje) kolize.
Tzn. fletcher4 by se nedal pouzit v deduplikacnich tabulkach ZFS, ale
ty jsou separatni, takze tam neni problem pouzivat jinej algoritmus,
tam se prave pouziva ta sha256. Tady jen
drobna poznamka pro lidi, co treba taky rkhunter pouzivaji
- rkhunter je "prvni linie obrany" proti backdoorum, ale mam cim
dal vic pocit, ze uz hodne outdated v principech, ktere pouziva.
Ja se prave divim, ze vubec rkhunter pouzivas, ja mel za to, ze uz to
dal nikdo nevyviji, vzdycky mi to prislo jako takovej polomrtvej
projekt - nebo se mylim?