بررسی های گوناگونی در مورد توزیع های مختلف لینوکسی انجام شده است و معمولا از این سو و آن سو شنیده می شود که فلان توزیع از نظر امنیتی بهتر از توزیع دیگر است. از این رو بهتر است امنیت سیستم عامل لینوکس را از جنبه های مختلف بررسی کنیم. شاید نخستین و اصلی ترین بحث امنیت در سیستم، بحث تامین امنیت فضای کاربر است.
حملاتی که به سیستم های عامل انجام می شود، به طور کلی حافظه و مشکلات مدیریت آن را هدف می گیرند و در واقع، تخریب حافظه یکی از راه های معمول برای نفوذ به سیستم های کامپیوتری مدرن است. ماجرا از این قرار است که یک سرریزی بافر می تواند کار را به حملات پیچیده تخریب حافظه بکشاند و نظام یکپارچه پروسه ها و حافظه سیستم را به هم بزند.
امنیت سیستم ها هر چند که در طول سالیان مختلف و از هر نگارش به نگارش بعدی بهبود یافته است، اما تکنیک های هجوم به این بخش از سیستم در طول زمان پیچیده تر شده و در توزیع های مختلف لینوکس برای آزمون امنیت به کار می رود. بسیاری از کارشناسان معتقدند برخی از مکانیزم های امنیت در مقایسه با دیگر روش ها، مقاوم تر هستند. علاوه بر این، تعدادی از این روش ها تاثیر زیادی روی بازدهی سیستم می گذارند و حتی می توانند هنگام کامپایل نرم افزاری خاص، از نظر تطبیق با سیستم مشکل ساز شوند.
می توان اشاره کرد که این دو فاکتور، یعنی تاثیر در بازدهی سیستم و امکان از دست رفتن کنترل روی نگهداری سیستم، بزرگ ترین دغدغه هایی است که تمام مکانیزم ها و روش های مقاومت در برابر حفره های امنیتی در توزیع های لینوکس با آن مواجهند. در هر نرم افزار و توسعه نرم افزاری آن می توان بدون هیچ تعجبی مشاهده کرد که این مساله حتی می تواند بحث های شدیدتری بین چندین پروژه به وجود بیاورد (همان طور که بحث های زیادی میان اعضای پروژه grsecurity و تیم توسعه هسته لینوکس به وجود آمد).
با این وجود، در این مقاله تلاش شده است تا بین 5توزیع محبوب لینوکس، دبیان، فدورا، اوبونتو، اوپن سوسه و جنتوهاردند مقایسه ای از نظر پیاده سازی مکانیزم های محافظت انجام شود. 4 توزیع نخست بسیار پرکاربرد هستند و جنتو به عنوان توزیع میزان برای به دست آوردن دیدگاهی از یک توزیع امن انتخاب شده است.
مکانیزم های امنیتی که در این مقایسه انجام شده، به صورت زیر است:
- نگاشت حافظه غیر اجرایی (استفاده از بیت سخت افزاری nx)
- کد یا برنامه مستقل از محل (pic/pie)
- پیاده سازی قابلیت fortify_source از glibc
- محافظت از نابودی پشته (ssp)
- relro یا محکم کردن برنامه های elf با مرتب سازی بخش هایی از فایل و تبدیل آنها به حالت فقط خواندنی.
همچنین ابزارهای زیر برای مقایسه استفاده شد:
- checksec.sh – با اصلاح کوچکی که وضعیت fortify_source را نشان دهد.
- اسکریپت پایتونی که قابلیت های checksec.sh را افزایش می دهد.
داده های آزمایش نیز از طریق کاربری که وارد سیستم x شده و یک دمون sshd و مرورگر فایرفاکس را اجرا کرده، گرد آوری شده است. از آنجا که برخی از توزیع ها نسبت به دیگران هنگام اجرا تعداد پروسه های مختلفی دارند (مثلا اوبونتو 96 و جنتو تنها 34 پروسه دارد)، این اقدام باعث می شود که نتایج یکسان دربیاید.
در ویکی پدیا آمده است که هسته لینوکس بیت nx را از زمان توزیع 8/6/2 پشتیبانی کرده است. از این رو برای سخت افزارهای 32 و 64بیتی که این بیت را در مدار خود دارند، فعال است. برای بهره بردن از نگاشت حافظه غیراجرایی در سخت افزارهایی که از این قابلیت استفاده نمی کنند، لازم است که وصله grsecurity یا بسته exec shield را از رد هت دریافت کنید. همچنین باید اشاره شود که بدون محافظت اضافه، مهاجم به سادگی می تواند بیت nx را دور بزند و دسترسی ها را به صورت دستی تنظیم کند. از آنجا که این مساله به هسته لینوکس برمی گردد در شماره های آینده در مورد آن صحبت خواهد شد.
همچنین باید اشاره شود که به جز بیت nx، تمام مکانیزم های امنیتی که در این مقاله به آن اشاره شده است در بخش فضای کاربری حافظه پیاده سازی شده اند و در سطح هسته نیستند. همچنین مهم است بدانیم حفره ای که در هسته لینوکس وجود دارد، صرف نظر از مکانیزم های امنیتی که برای پروسس های فضای کاربر فعال شده است، می تواند مورد تهاجم قرار بگیرد. از این رو می توان هسته های سیستم عامل امروزی را با پشتیبانی نابودی پشته کامپایل کرد، هرچند بهبود امنیت هسته اغلب به نصب وصله های زیادی از جمله وصله grsecurity منجر می شود. برخی از توزیع ها برای خود وصله های خاص امنیتی منتشر می کنند.
relro
حفاظت ساختمان داده داخلی یک فایل elf بر عهده relro است تا نگذارد اطلاعات آن را مهاجم ببیند یا جریان اجرای آن را کنترل کند. این امنیت را با اصلاح جدول اتصال روندها (plt) یا جدول عمومی آفست ها (got) که بخشی از فایل elf است، تضمین می کنند.
وقتی relro استفاده می شود، کل بخش got به حالت فقط خواندنی تغییر پیدا می کند و از این رو وقتی پروسس اجرا می شود نمی تواند توسط هیچ مهاجمی قابل تغییر باشد. اگر relro به صورت جزیی پیاده سازی شود، فقط plt و got به عنوان فقط خواندنی علامت زده می شوند. هر دوی این گزینه ها البته ساختمان داده elf را از نو مرتب می کنند تا مهاجم نتواند این بخش ها را با بخش های دیگر elf روی هم بیندازد.
همچنین لازم به ذکر است که relro کاملا نیازمند آن است که تمامی سمبل ها هنگام اجرای برنامه شناسایی شود تا بتوان کل got را به صورت فقط خواندنی در آورد. از این رو برنامه های بزرگ تر با کندی بیشتری هنگام بازشدن روبه رو می شوند و تعداد زیادی از سمبل ها از کتابخانه های اشتراک یافته باید بارگذاری شوند.
همان طور که در شکل نیز اشاره شده است، دبیان و فدورا هنوز به طور کامل این مکانیزم را پیاده نکرده اند و برای درصد اندکی از باینری های خود، به صورت جزیی آن را فعال کرده اند. در مثال ما فدورا و دبیان برای هیچ کدام از برنامه هایی که به صورت پیش فرض اجرا می شوند، آن را فعال نکرده بودند. از سوی دیگر، اوبونتو و اوپن سوسه relro را به صورت جزیی برای تمام پروسس ها فعال و relro کامل را برای بخشی از آنها فعال کرده اند. جنتو relro را به طور کامل برای تمام برنامه ها به جز یکی فعال کرده است که آن هم به صورت جزیی relro دارد.
از سوی دیگر تنها باینری ای که در اوپن سوسه قابلیت relro کامل را داشت، pulseaudio بود.
محافظ خرابی پشته
محافظ خرابی پشته سوء استفاده از سرریزی بافر را با پیاده سازی بررسی های امنیتی بیشتر در پروسس پشته دشوارتر می کند. افزونه ssp در کامپایلر gcc از زمان نگارش 1/4 به این برنامه اضافه شد.
همان طور که در نمودار بالا می توان مشاهده کرد، فدورا، اوپن سوسه و اوبونتو نتیجه ای به نسبت مساوی دارند و تقریبا 80 درصد از این توزیع ها، این قابلیت را برای پروسس های خود فعال کرده اند. تفاوت های قابل مشاهده در دبیان و جنتو وجود دارد و 10درصد از پروسس ها این مکانیزم را فعال کرده اند. در مورد جنتو باید گفت که این مساله یک مشکل داخلی بود که اول باید آن را برطرف می کردند و بعد این قابلیت را به صورت کلی در سیستم پیاده می کردند. گفتنی است که در نگارش بعدی جنتو و کامپایلر gcc، این قابلیت آزموده و فعال شده است و احتمالا در به روز رسانی بعدی gcc به سیستم اضافه شود.
محمدرضا قربانیمنبع: mwrinfosecurity
در ژرفای لینوکس
... هسته لینوکس یکی از بزرگ ترین پروژه های منبع باز است که قدمتی طولانی دارد ... همان طور که می دانید، توزیع های مختلف لینوکسی، خود لینوکس نیستند و لینوکس تنها به هسته این سیستم عامل می گویند که 13 میلیون خط کد دارد ... هسته سیستم عامل پایین ترین سطح نرم افزاری است که با سخت افزار کامپیوتر در ارتباط است ... لینوکس مسوول تمام نرم افزارهایی است که در حالت کاربری (user mode) اجرا می شوند ... انواع هسته ها برای تولید یک هسته دغدغه های مختلفی وجود دارد ... به طور کلی، بیشتر هسته ها به سه نوع یکپارچه، میکروهسته و ترکیبی تقسیم می شوند ... لینوکس یک هسته یکپارچه است، در صورتی که os x (مکینتاش) و ویندوز7 از هسته های ترکیبی استفاده می کنند ... از طرفی امن تر از هسته های دیگر هستند، چرا که تنها پروسه های مشخصی در حالت کاربر اجرا می شوند که نیازی به اجرا در حالت ناظر (supervisor mode) ندارند ... البته سخت افزارهای پشتیبانی شده توسط این هسته کمتر است و به دلیل اجرای درایورهای سخت افزاری در حالت کاربری، سخت افزارها کندتر هستند ... هسته یکپارچه هسته های یکپارچه درست نقطه مقابل میکروهسته ها هستند و نه تنها پردازنده، حافظه و ipc، بلکه چیزهای دیگری از جمله درایورهای دستگاه ها، مدیریت سیستم فایل و فراخوان های سیستمی را مدیریت می کنند ... هسته های یکپارچه در دسترسی سخت افزاری و چندوظیفگی بهتر عمل می کنند زیرا برنامه ای که در حال اجرا، انتظار یا توقف است می تواند به صورت مستقیم اطلاعات دیگر پروسه ها را دریافت کند و در هیچ صفی برای این عمل منتظر نمی ماند ...
آرچ لینوکس، لینوکس اعظم!
... بعد از معرفی توزیع های بسیار برای لینوکس، این بار نوبت به یکی از توزیع های در حال رشد می رسد ... آرچ لینوکس (archlinux) از آن دسته توزیع هایی است که تعریف منفی در مورد آن خیلی یافت نمی شود و کاربران لینوکسی که کمی از حد تازه وارد گذشته اند، کارکردن با آن را دلپذیر می یابند ... می توان در نصب لینوکس با نصاب در محیط متنی کنار آمد و خب استدلال خاص خودش را هم دارد: به جای این که با صرف وقت بسیار، گنوم و kde را آنقدر سفارشی کنند که یک نصاب تر و تمیز داشته باشد از نصب کننده استاندارد محیط متنی استفاده می کنند ... اما در آرچ لینوکس، مساله دیگری که عذاب آور است مدیر بسته های آن است که در کانال پایدار (stable) نرم افزارهای به روزی ندارد و در بخش ناپایدار (unstable) نیز بخوبی بحث تعیین پیش نیازها و نصب آنها انجام نمی شود، بنابراین در این شاخه جدا شده پایدار از دبیان، باید پیه کامپایل کردن سورس کد را به خود بمالید ... نصب نصب آرچ لینوکس از طریق دیسک اصلی آن در محیطی متنی همانند دبیان یا اسلک ور انجام می شود ... نصب آن ساده است و اگر یک نسخه مستندسازی از وب سایت آرچ لینوکس هم برداشته شود، هیچ مشکلی هنگام نصب به وجود نمی آید ... نصب آرچ با پارتیشن بندی آغاز می شود که می توانید به صورت دستی و به کمک cfdisk و انتخاب نقطه فراز (mount point) نصب را دنبال کنید یا اجازه بدهید خود آرچ لینوکس از تمام هارددیسک شما استفاده کند و به صورت خودکار عملیات فرمت کردن را انجام دهد ...
هفت دلیل برای رفتن به فدورا 13
... این توزیع لینوکسی که با اسم رمز goddard در حال گسترش است، نسبت به فدورا 13امکانات زیادی را اضافه کرده و برای کاربران کمی حرفه ای تر لینوکس ویژگی هایی دارد که آن ها را برای استفاده از این توزیع ترغیب می کند ... فایرفاکس3/6/3و اوپن آفیس2/3 و هسته لینوکس2/6/33 و صدها بسته دیگر با آخرین نگارش هایشان همراه است ... سه بعدی سازی برای کارت های انویدیا کاربران لینوکس دارای کارت های ویدئویی انویدیا مجبور بودند یا درایورهای تجاری انویدیا را تهیه کنند یا با کمترین امکانات کارت گرافیک شان و درایورهای منبع باز سروکله بزنند ... درایورهای تجاری انویدیا با عرضه جدید هسته جدید لینوکس کمی از دور خارج شده اند افزون بر آن، اینکه مشکل مجوز نیز دارند ... اگر می خواهید از لینوکس در امر آموزش استفاده کنید، بهتر است به شوگر یک شانس بدهید ... این سیستم فایل که از نگارش2/6/29 هسته لینوکس پشتیبانی شده است، ابتدا توسط اوراکل ایجاد شد ...
درخت های لینوکسی
... اولین مساله عجیبی که تقریبا همه کاربران ویندوزی بعد از مهاجرت به لینوکس با آن مواجه می شوند، تفاوت از پایه و اساس ساختار دایرکتوری های آن با ساختار ویندوز است ... اما با کمک این راهنما می توانید ساختار دایرکتوری لینوکس را مثل کف دست بشناسید ... البته این فهرست کامل نیست و برخی از بخش ها توضیح داده نشده است، اما می توانید نقاط مهم را در ساختار لینوکس به خوبی بشناسید ... مسیر (/) مسیر اصلی یا ریشه (root)، نقطه آغازین ساختار دایرکتوری در لینوکس است ... اینجا همان جایی است که سیستم لینوکس از آن شروع می شود ... مسیر (/boot) همان طور که از نام آن بر می آید، اینجا محلی است که لینوکس اطلاعات مرتبط با بوت شدن را در آن ذخیره می کند ... برای مثال، اطلاعات هسته لینوکس در این مسیر قرار می گیرد ... این فایل همان فایل هسته لینوکس است ... * مسیر (/usr/src): کدهای منبع نرم افزار سیستمی که شامل هسته لینوکس می شود ... اگر ماشین عضوی از شبکه باشد، در این صورت دایرکتوری /usr می تواند از نظر فیزیکی روی ماشین دیگری غیر از ماشین لینوکس کاربر قرار داشته باشد، اما دایرکتوری /usr/local تنها شامل چیزهایی می شود که قرار نیست روی ماشین های زیادی استفاده شوند و برای استفاده محلی در نظر گرفته شده اند ... می توانید سیستم لینوکس را طوری پیکربندی کنید که کاربران عادی حتی از محتویات فایل های دیگر دایرکتوری ها حتی با خبر هم نشوند ...
لینوکس سیستم عامل نیست
... چرا نباید بدانیم که انتخاب های دیگری برای سیستم عامل وجود دارد و هیچ اجباری در استفاده از ویندوز نیست؟ 1- لینوکس یک سیستم عامل است خیر، این فرض اشتباه است ... لینوکس یک هسته (kernel) است برای سیستم عامل که ویندوز هم چنین هسته ای برای خود دارد ... میزان کیفی یک هسته در سیستم عامل نقش مستقیم دارد ... اگر هسته سیستم عامل ضعیف و پرنقص باشد، کل سیستم عامل نیز ضعیف و پرنقص خواهد شد ... بهترین نام برای سیستم عامل لینوکسی، سیستم عامل گنو/لینوکس است، چرا که هسته لینوکس بدون همنشینی با پروژه نرم افزار گنو به سیستم عامل مستقل تبدیل نمی شد ... 2- لینوکس سیستم عامل شبیه dos است این هم فرض اشتباه دیگری است ... هر چند لینوکس ابزارهای زیادی در دل خود دارد که با خط فرمان کار می کنند و اساسا کارها با خط فرمان در لینوکس سریع تر انجام می شود، اما پروژه های جانبی زیادی برای ایجاد یک رابط گرافیکی دلنشین و جذاب مشابه ویندوز وجود دارد ... 3- لینوکس برای خوره های کامپیوتر است شاید این جمله، 5سال پیش درست بود، اما بیایید منصفانه قضاوت کنیم، به لطف گوگل و دیگر شرکت های بزرگ تجاری، سیستم های عاملی چون آندروید و مابلین در دستگاه های موبایل، در سطوح بسیار پایین تری با کاربر در تماس اند و این نشان می دهد که لینوکس سیستم عامل خاصی نیست ... 4- لینوکس با ویندوز همخوان نیست این موضوع را نمی شود قاطعانه رد کرد ...
هسته جدید منتشر شد
... هسته جدید لینوکس، نگارش 31/6/2 منتشر شد ... به گفته تروالدز در فهرست نامه های هسته لینوکس، این نگارش برخی از مشکلاتی که نسخه قبلی هسته داشت را دیگر ندارد ... هسته 31/6/2 که ژوئن گذشته عرضه شد، با چند مشکل امنیتی روبه رو بود که سر و صدای زیادی را به راه انداخت ... همچنین این هسته بازدهی بهتری نسبت به نسخه قبلی خود دارد و تقریبا 70 درصد تغییرات این هسته، مربوط به بخش درایورهاست ...
یک میلیون لینوکس
... این محققان از 1 میلیون هسته لینوکس که در ماشین های مجازی قرار دارد، استفاده خواهند کرد ... از این رو این افراد به دنبال ایجاد ابرکامپیوتری با 10 میلیون هسته اند ... لینوکس فوق سفارشی ناول عرضه سوسه استودیو نسخه 1 را اعلام کرد ... این سرویس وب که رابط کاربری ساده ای دارد، به کاربران اجازه می دهد توزیع کاملا سفارشی لینوکس خود را به صورت دیسک زنده، usb، xen و یا فایل vmware ایجاد کنند ... هر کاربر تازه وارد می تواند طی ده دقیقه تنظیم کاملا خودکاری از توزیع لینوکس مورد علاقه خود را در ده دقیقه انجام دهد ...
سالشمار کامپیوتر
... – اتحادیه لینوکس در این سال به طور رسمی شکل گرفت ... – در 17 دسامبر نسخه 0/6/2 هسته لینوکس منتشر شد ...
از ویندوز خسته شده اید؟
... لینوکسلینوکس نه یک سیستم عامل کامل بلکه نام هسته سیستم عامل است و به طور کلی می توان گفت این نامی است که به سیستم عامل های شبه یونیکس که براساس هسته لینوکس هستند، اطلاق می شود و فراموش نکنید که هسته سیستم عامل یعنی اصلی ترین بخش آن ... لینوکس گسترش عرضه خود روی رایانه های رومیزی، سرور، همراه و حتی موبایل را مدیون نسخه محبوب ابونتو (ubuntu) است ... لینوکس در حقیقت یک پروژه دانشگاهی بود که لینوس تروالدز آن را آغاز کرد و با درخواست همکاری او از همه، در مدت کوتاهی یک سورس 500 خطی به یک سیستم عامل قدرتمند و به بنیاد لینوکس تبدیل شد که امروزه در جای خود بی رقیب است ... نسخه های اصلی و کاربردی لینوکس را با نام های debian، novell opensuse ibm ، redhat linux،redhat fedora core، ubuntu، sun microsystems opensolaris، xandros، arch linux وcentos enterprise linux می توانید بیابید ... این سیستم عامل به دلیل توانمندی در اداره امنیت و مدیریت مستقل برنامه ها از هسته سیستم عامل قابلیت مقاومت در برابر حملات و نقایص منطقی، به عنوان یکی از بهترین گزینه ها برای مدیران شبکه های پرکاربر مطرح است ... nextstep فناوری این شرکت بود که در واقع امروزه به عنوان هسته سیستم عامل مک به کار می رود، این فناوری یک سیستم عامل شی ءگرا را اجرایی کرده است ... mac os x بر پایه هسته ترکیبی بنا شده و قسمت های مشخصی از سیستم عامل های freebsd و netbsd در آن به کار رفته است ...
|
صفحه 1
|
2 | 3 |
|
