|
|
ianchang999
鐵驢友〔初級〕
. 積分: 24
. 文章: 75
. 收花: 81 支
. 送花: 7 支
. 比例: 0.09
. 在線: 347 小時
. 瀏覽: 7551 頁
. 註冊: 7306 天
. 失蹤: 3291 天
|
|
|
|
|
|
|
#3 : 2007-4-8 11:36 PM
只看本作者
|
送花
(3)
送出中...
|
|
|
|
稍微補充幾點
從kernel來看, kernel可以加裝grsecurity的patch, 它提供一些記憶體的防護機制, role base access control, audit機制
從compiler來看可以加裝ssp patch(gcc 3.x, gcc 4.x可不用加裝patch他有選項可以打開), 在應用程式編譯階段可以打開防止stack smash的選項(只對自己compile的程式有用囉.....)
有了以上的機制後一般的exploit應該是很難打的進來(尤其是這些機制在同啟動的時候, 但是, 在個別使用的情況之下是有機會被bypass的.....orz)
但是萬一不幸真的被打進來了, 這時就需要SELinux的mandatory acl機制來將災害減至最低不致擴散
對於ssh方面為了不要讓"帳號/密碼"這種相對弱點暴露出來可以用PK crypto的方式取代之, 然後將PasswordAuthentication改成No
假如在偏執一點就把每一隻對外服務的daemon關在chroot jail或是uml(user mode linux)裡面吧!!!
以上是小弟的小小淺見僅供參考
[ianchang999 在 2007-4-8 11:41 PM 作了最後編輯]
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
|
|