欧宝体育登陆首页官网下载

Systemd是sysvinit的一个更现代的替代品，它正在被集成到大多数主流Linux发行版中。我对它的一个功能有点困惑。

我想讨论一下正向安全密封(FSS)systemd的一部分的日志文件特性。FSS对本地系统日志进行加密签名，因此您可以检查日志文件是否已被更改。这将使攻击者更难隐藏他或她的踪迹。

对于日志文件，攻击者可以做两件事:

1. 删除它们
2. 修改它们(删除/更改有罪的行)

FSS特性并不能防止这些风险。但是，如果定期验证签名，确实可以帮助您检测到可疑的地方。所以基本上FSS有点像绊网。

FSS只能告诉您日志文件是否被更改。它不能告诉你其他任何东西。更具体地说，它不能告诉你原因。所以我想知道这个功能有多大价值。

还有其他一些事情。对日志文件进行签名(密封)默认15分钟一次．这使攻击者有足够的时间修改或删除最近的日志事件，通常正是那些需要修改/删除的事件。即使将这个数字降低到10秒，也会允许攻击者使用自动化删除(一些)初始活动。那么这有多有用呢?

未更改的日志内容本身可能有助于确定系统发生了什么。FSS原则上不能做的是保护日志文件的实际内容。如果您希望保存日志事件，唯一安全的选项是将它们发送到外部日志主机(假设攻击者无法访问)。

然而，令我惊讶的是，FSS是外部日志记录的替代方案．引用Lennart Poettering的话:

传统上，这个问题的解决方法是使用外部安全的日志服务器进行即时日志记录，或者使用本地行打印机直接连接到日志系统。但这些解决方案的设置更加复杂，需要外部基础设施，并存在一定的可伸缩性问题。有了FSS，我们现在有了一个简单的替代方案，无需任何外部基础设施即可工作。

这句话非常令人不安，因为它没有承认外部日志主机être的原因之一。这似乎表明FSS为外部日志记录提供了一种替代方案，而实际上它在原则上没有也不能这样做。它永远无法解决攻击者可以更改或删除日志的问题，而外部日志记录可以减轻这种风险。

在我看来，systemd现在也想扮演一些粗糙的入侵检测系统的角色。对我来说，这有点像范围蔓延。

就我个人而言，我只是想知道还有什么更有用的功能可以实现，而不是允许您使用QR码将日志文件验证密钥传输到您的智能手机(什么鬼?)

这整个观察并不是原创的，在systemd作者的博客文章的评论中，安德鲁·怀亚特(Andrew Wyatt)(两年前)也提出了同样的观点。systemd作者的反应是封杀他。(见我之前链接到的Lennart Poettering的博客文章的评论)。

更新:安德鲁·怀亚特一开始对伦纳特·波特林表现得有点不成熟，所以我理解他那边的一些怨恨，但安德鲁的批评是有效的，他从来没有说过。

我认为，如果systemd作者只是实现了将日志事件发送到外部日志服务器，那么在安全性方面就会更有用。在那之前,这也许可以.．.

IPsec是一种知名且应用广泛的VPN解决方案。似乎并不是很多人都知道尼尔斯·弗格森和布鲁斯·施奈尔表演了IPsec的详细安全性分析结果并不是很积极。

我们强烈反对使用当前形式的IPsec来保护任何有价值的信息，并希望该设计的未来迭代将得到改进。

我很方便地漏掉了第二部分:

然而，我们更强烈地反对任何现有的替代方案，当替代方案是一个不安全的网络时，建议使用IPsec。这就是世界的现实。

把这个放在背景下:请记住，这篇论文发表于2003年，实际的研究甚至可能更早(1999!)OpenVPN一种基于ssl的开源VPN解决方案诞生于2001年，到2003年仍处于成熟阶段。所以当时没有其他选择。

让我担心的是，弗格森和施奈尔的这项研究已经有十多年的历史了。我一直在寻找关于IPsec当前安全状态的最新文章，但我找不到太多。已经有一些新的关于IPsec的rfc发布了，但我对这些材料不够熟悉，无法理解其含义。欧宝体育直播官网他们在论文中提出了很多提高IPsec安全性的建议，但是这些建议真的被实现了吗?

我确实找到了演讲2013年起彼得·古特曼奥克兰大学。从他的维基百科页面来看，他似乎对密码学“有些了解”。欧宝体育直播官网这篇论文提到了斯诺登对美国国家安全局的泄密，也谈到了IPsec。欧宝体育直播官网他基本上依赖于弗格森和施奈尔的论文。

但是让我们想想这个:Fergus欧宝体育直播官网on和Schneier批评了IPsec的设计。它在设计上有缺陷。这是任何与密码学相关的事情都可能受到的最糟糕的批评之一。据我所知，这个设计可能没有太大变化。因此，如果他们对IPsec的批评在很大程度上仍然有效，那就更有理由了不使用IPsec．

这是结论的一部分，并没有拐弯抹角:

我们已经在IPsec的所有主要组件中发现了严重的安全弱点。就像在安全领域一样，90%的准确率是没有奖励的;你必须把每件事都做好。IPsec远远达不到这一目标，在它可能提供良好的安全级别之前，需要进行一些重大更改。比我们所发现的弱点更让我们担心的是系统的复杂性。在我们看来，当前的评估方法无法处理如此复杂的系统，而当前的实现方法也无法为如此复杂的系统创建安全的实现。

如果不是IPsec，应该使用什么?我会选择使用基于SSL/ tls的VPN解决方案OpenVPN．

我不能保证OpenVPN的安全性，但是荷兰一家著名的安全公司Fox-IT已经发布了一个精简版的OpenVPN软件(去掉了一些功能)，他们认为这个版本适合(荷兰)政府使用。并不是说您应该使用特定的OpenVPN版本:关键是OpenVPN被认为足够安全，可以用于政府用途。不惜一切代价。

至少，基于SSL的VPN解决方案有使用SSL/TLS的好处，这可能有它自己的问题，但至少不像IPsec那么复杂。

我遇到了红帽保安博客这解释了为什么chroot命令有它的用途，但它不是神奇的安全仙尘。在chroot jail中运行应用程序或仅在配置良好的系统上运行应用程序将获得相同级别的安全性。

Josh医学教授:

将普通用户放在chroot()中将阻止他们访问系统的其余部分。这意味着使用chroot不是更不安全，但也不是更安全。如果您在系统上配置了适当的权限，那么在chroot中使用系统权限对用户进行检查并不比使用chroot更安全。当然，您可以认为每个人都会犯错误，因此在chroot中运行比在可能会配置错误的chroot外运行更安全。这个参数可能是正确的，但请注意，设置chroot可能比配置系统复杂得多。配置错误可能导致chroot环境的安全性低于非chroot环境。

在过去，我曾尝试为应用程序设置chroot，这是一个痛苦的过程。如果你想做好它，它将需要相当多的努力，每个应用程序都有自己的要求。但为什么要花这么大力气呢?

杰克继续说:

可能无法跳出chroot，但是攻击者仍然可以使用系统资源，例如发送垃圾邮件、获取本地网络访问、将系统加入僵尸网络等等。

chroot jail隐藏了“真正的”文件系统的其余部分。但是文件系统只是安全等式的一部分:破坏chroot应用程序的攻击者仍然可以执行任意代码。不是作为根用户，这很公平，但它真的能阻止攻击者吗?攻击者已经获得了进入网络其余部分的垫脚石¹．作为非特权用户，攻击者可以尝试利用本地内核漏洞获得根访问权限或通过网络在其他主机上进行攻击。

如果你运行某种论坛或公告板，这个软件比网络服务器本身更有可能被破坏。结果往往是相同的:任意代码执行与web服务器软件的特权。因此，攻击者控制了应用程序及其所有内容，包括电子邮件地址和密码(哈希值)。

在这种情况下，树根监狱并不能提供任何额外的安全保障。访问文件系统的其余部分可能有点困难，但如果攻击者作为非特权用户具有访问权限，并且文件系统权限设置正确，那么是否有好处?

我认为更明智的做法是花时间配置适当的文件系统特权并将其传播出去木偶，厨师或ansible．并运行一些脚本来审计/验证文件系统特权。

更新

如果应用程序支持chroot，启用它可能仍然是明智的。它通常很容易配置，并且可能会延迟攻击者。