Vlákno názorů k článku Kernel lockdown: nová vlastnost ochrání jádro i před rootem od Miroslav Šilhavý - Něco podobného má i FreeBSD - securelevel. https://www.freebsd.org/cgi/man.cgi?securelevel Ten...

Něco podobného má i FreeBSD - securelevel. https://www.freebsd.org/cgi/man.cgi?securelevel
Ten se dá aktivovat kdykoliv - má tři úrovně. Snížit se zpětně nedá, lze jej jen zvyšovat (přitvrzovat). Pro snížení je nutný reboot.

Myšlenkou těchto opatření je, že některé parametry se jednou nastaví a posléze už neexistuje potřeba je měnit, leda při změně konfigurace. Pro útočníka je pak daleko těžší najít takový exploit, který umožní konfiguraci změnit, uložit a rebootovat.

Unixy a unix-like systémy bojují se svojí zastaralou koncepcí, a je to dobře. Největší boj je o to, jaká opatření zavést, aby byla ještě účinná a zároveň nebyla na tolik obtěžující, aby je administrátoři ještě vůbec chtěli používat.

Zpět k Linuxu: tam mi stále děsně moc chybí parametr jádra, který by se spouštěla sít s firewallem v defaultu na DROP. Stále jsme závislí na tom, že neselže inicializace firewallu z userspace - a když selže, zůstává všude default ACCEPT.

problém s FW na linuxu řešíme jednou výchozí sítí pouze pro administraci a aplikační interface se natahuje až v userspace jakmile je FW a další kontroly ok. Je to zároveň i kvůli aplikacím, kdy řada aplikací je klidně listen, ale ještě neumí odpovídat na požadavky.

Má to výhodu v tom, že svůj interface a IP adresu dostane aplikace až prošla testy, je zahřátá (u Javy nutnost) a víme, že neovní produkci.

problém s FW na linuxu řešíme jednou výchozí sítí pouze pro administraci a aplikační interface se natahuje až v userspace jakmile je FW a další kontroly ok

Ano, přesně tak se to musí řešit, ale trochu to nabourává celou koncepci inicializace systému, která by se o to měla starat.

Tento problém má i FreeBSD. Tam natahuju opravdu minimalistický pf.conf během bootu. Teprve po inicializaci spouštím rozsáhlejší script u kterého nevadí, když zhavaruje. Pořád to jistí ta výchozí konfigurace.

Mně tento stav přijde děsně zajímavý. Když si vezmu, že přesně na této systémové chybě se vyškolil Microsoft u Windows XP SP1 skoro před dvaceti lety. Pořád se snažím přijít na to, co by bránilo Linuxu a FreeBSD toto také zavést (jako parametr jádra).

argumenty od FreeBSD jsem četl, že ten systém se může stát díky tomu neovladatelné a nedostupný při chybách. Windows je v drtivé většině nasazený na počítači s fyzickým přístupem, naproti tomu freebsd (nebo i linux) je často na headless stanicích.

Jako výchozí stav to je samozřejmě celé nešikovné, ti pokročilí si s tím ale poradí a není to překážka, se systemd lze již lépe řešit strom závislostí a dát jednotlivé služby do správného pořadí a stavu.

Dnes asi nikdo nechce dělat změnu, která rozbije world.