[so] angel(2) (C) Unix system call and processes security

[Alexandru Goia]

Bună ziua,

Mi-a mai venit în minte o aplicatie directa a acestui apel de sistem, de
aceasta data în securitatea sistemului, a proceselor din sistem (care îl
apelează).

Va ( re) amintesc, după cum am publicat pe lista în 2018-2019, ca acest
sistem call face procesele imorale, chiar și la Sigkill și Sigstop, și doar
prin exit() ori return 0 procesele se termina (by coding).

Deci sa zicem ca cineva de pe rețea iti owneaza sistemul-pc-ul-serverul
Linux via systemd și metasploit. Poate sa iti owneze și procesul tău, sa
ti-l distrugă?

Răspuns : NU, dacă sistemul de semnale NU ii permite (faci patchul în
nucleu & recompilezi kernelul). Apoi, sa presupunem ca ai un web-server, o
soluție ad-hoc de securitate este sa arzi pe un DVD site-ul web, dacă e
mostly static, și sa faci un link de la /mnt/cdrom  la /var/www/html. Și
faci daemonize(pid_of_webserver-process), on the fly.

De asemeni, dacă rulezi un qmail, email server, emailurile le pui pe o
partitie read-only, emailurile primite.

Desigur, poate sa iti facă DOS local, denial of service, dacă se joaca la
tuning, partiții, IPC, etc.


Aceste HACKURI deștepte le-am obținut din my /dev/brain. Ele pot ajuta
esențial, au elemente distinse de programare Unix,

fără a fi cunoscute ca best practice, ori
din cărțile lui Evi Nemeth USAH/USLAH edițiile 3 4 5, ori alte carti de
serious admining (on Linux, BSD, Solaris, or commercial Unix).

Alte carti de admining, superioare... fiind

Time Management of Sys Adm
The practice of Sys Adm
și O Reilly poate, Ellen Frisch
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://cursuri.cs.pub.ro/pipermail/so/attachments/20200515/7c1063f6/attachment.html>