Diario informal de K-nábora

Blindaje de nuestro sistema(Parte V)

En el artículo pasado,Blindaje de nuestro sistema(Parte IV), vimos como blindar nuestro sistema utilizando LCAP y SELinux, en el artículo de esta semana vamos a continuar viendo otros métodos que podemos utilizar para blindar nuestros sistemas.

Recordemos que blindar un sistema es el proceso que consiste en hacer más seguro nuestro sistema corrigiendo las opciones permisivas que traiga activadas de forma predeterminada el sisitema operativo, siguiendo con los programas que nos ayudarán a blindar nuestros sistemas, en esta ocasión veremos Systrace y LSM.

Systrace fue desarrollado por la gente de OpenBSD/OpenSSH y por el gurú de la seguridad Niels Provos, esta herramienta es un generador de políticas de llamadas al sistema para OpenBSD y que actualmente se esta portando para Linux, aunque actualmente todavía se encuentra en desarrollo.

Mediante Systrace se puede especificar a un programa determinado qué llamadas se pueden hacer al sistema y con qué parámetros, pero al contrario de lo que sucede con otros parches descritos en los artículos anteriores, Systrace le permite crear las políticas de forma interactiva, es decir, que puedes ejecutar un programa bajo Systrace comprobar que llamadas al sistema se estan realizando, y decidir si las permites o no.

La ventaja, es que se puede indicar en el momento que es lo que esta permitido y que no lo esta, de forma que cualquier mensaje de advertencia que produzca Systrace a partir de ese momento puede indicar alguna acción no esperada que pueda estar relacionada con algún problema de seguridad.

Como esta herramienta permite comprobar tanto llamadas al sistema como los argumentos, vas a poder crear políticas específicas que permitan a ciertos programas acciones como crear ficheros sólo bajo ciertos directorios y en ningún sitio más.

Otra de los usos que se suele dar a Systrace es utilizarlo para probar aplicaciones sospechosas, si por ejemplo te encuentras ante un posible troyano, podrías ejecutar Systrace y ver exactamente que esta intentando hacer, incluso nos permite establecer una celda con chroot para que el programa que queremos probar realice todas sus acciones dentro de esa celda sin afectar a nuestro sistema.

La otra aplicación sobre la queríamos hablar hoy, es LSM que viene de Linux Security Module(Módulo de Seguridad para Linux), y cuya función no consiste en generar una política de seguridad no estándar, sino en proporcionar un mecanismo de enganche para que los programadores puedan desarrollar sus propios módulos de seguridad.

Cuando LSM se carga en el núcleo, se colocará justo delante de varias llamadas al sistema relacionadas con la seguridad, como las que se utilizan para determinar si un proceso de usuario o un usuario puede acceder a un determinado fichero.

LSM pone a disposición de otros módulos estos enlaces para que puedan definir sus propios políticas de seguridad, para poder aplicar estas políticas de seguridad es necesario parcher el núcleo, por lo que es complicado aplicar más de un parche al mismo tiempo.

Una de las ventajas que ofrece esta interfaz consistente en las llamadas al sistema, ya que LSM puede facilitar enormemente la implementación de nuevas políticas de seguridad y permite que los módulos se apilen, lo que significa que va a ser posible utilizar tanto los módulos de Grsecurity como los de OpenWall muy fácilemente, lo que además implica que los módulos podrán cargarse y descargarse con el núcleo en funcionamiento, sin ser necesaria una compilación del nucleo.

Con el artículo de esta semana hemos visto terminado de ver los programas que podemos utilizar para hacer nuestros sistemas más seguros y más fiables, la semana siguiente pasaremos a ver las distintas formas que tenemos de realizar un análisis de nuestros ficheros de registro.

Publicado: websecurity.es