最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 防止fork暴力攻击,Linux新增Brute安全模块

    Linux的很多严重的漏洞,尤其是提权漏洞都使用了暴力fork()系统调用导致内核崩溃,从而突破内存限制而成功的,例如 Stack Clash 漏洞,“心脏出血”漏洞以及新爆出的sudo CVE-2021-3156等。为了一劳永逸的解决此类漏洞,Linux安全模块(LSM)新增加了一个“Brute”模块,以检测和阻止这类攻击。

    最近Brute补丁程序集的发布了第6版版本,预计很快就可以发布到主线分支中去。

    “Brute”补丁集于去年9月John Wood发布为RFC,最初名称为“fbfam”( fork brute force attack mitigation,fork暴力攻击缓解),后在社区商量下改名了并将其变成LSM。

    关于这类问题的解决实际上由来已久了。grsecurity的内核补丁早就有 GRKERNSEC_BRUTE功能用以减少使用蛮力攻击 fork(), 以及预防setuid/ setgid的二进制文件的攻击。Weinberger在2014中发布的补丁中也使用的类似的技术,以延缓fork(),由于fork()崩溃导致的问题(这可能意味着它是一个攻击的一部分)。 但是这些尝试并没有进一步的推动。

    在Brute补丁的文档中 ,Wood描述了Brute LSM所针对的行为类型。基本思想是,有几种类型的攻击可以使用多次fork()来接收所需的内存布局。 每个fork的子进程都可以通过各种方式进行探测,如果这些探测失败并导致子进程崩溃,则可以简单地重新fork另一个子进程再试一次。因为使用创建的子进程与其父进程共享相同的内存布局,所以成功的探针可以提供可用来突破Linux虚拟内存地址空间随机化布局(ASLR),可以用来探测堆栈Stack_canaries或其他有敏感信息。

    Brute采用不同于grsecurity或Weinberger修补程序的方法,因为它不会简单地延迟随后的fork()在检测到问题时调用。取而代之的是,Brute杀死了与攻击相关的所有进程。 此外,Brute 检测更多类型的fork()使用攻击(包括探测父进程而不是子进程的攻击。 它还着重于为了避免误报而越过特权边界的进程崩溃。

    Brute通过统计崩溃率来实现。Brute收集有关已在一组已经fork进程中发生的“失败”数量的信息,但是在其中没有使用执行任何新操作execve()。一个brute_stats 所有这些进程之间共享结构。执行一个新程序会导致一个新的结构来跟踪新的(潜在的)结构中的故障fork()层次。

    从进程启动到进程或其任何共享内存布局的子进程(即没有 execve())崩溃或连续崩溃之间的时间间隔,最终用来确定是否发生攻击的时间。为了防止多次调用,插件使用EMA(指数移动平均值)计数,一旦发生五次崩溃,就会计算该时期 (EMA)。 EMA用于确定是否正在发生“快速暴力”攻击。 如果两次崩溃之间的时间间隔的EMA下降到30秒的阈值以下,就会触发缓解攻击。对于“慢速暴力”变体,将层次结构中的绝对崩溃次数与200个阈值进行比较。

    使用ask_fatal_signal() LSM钩子,添加作为集合中的第一个补丁。 每当内核向进程传递致命信号时,就会调用该方法。 Brute还使用现有的 task_alloc() 钩子来检测 fork()调用,使用 bprm_committing_creds() 钩子来检测 execve()调用,以及使用 task_free() 钩子来清理所有内容。

    通过跟踪对执行新程序时发生的各种用户和组ID的更改,可以实现安全边界检查。 没有提到 Linux功能 补丁中 ,但是功能更改也将表明特权边界已被突破; 也许这会在以后增加。除ID更改之外,还可以使用检测到网络的使用 socket_sock_rcv_skb()LSM钩子。通过执行setuid/setgid程序或通过网络接收数据来将崩溃检查限制为跨越特权边界的那些进程,这样可以减少误报的数量。

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 防止fork暴力攻击,Linux新增Brute安全模块

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 1002会员总数(位)
    • 40233资源总数(个)
    • 43本周发布(个)
    • 42 今日发布(个)
    • 377稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情