В вычислительной техники , закалки , как правило , процесс обеспечения системы за счет уменьшения ее поверхности уязвимости , которая больше , когда система выполняет больше функций; в принципе однофункциональная система более безопасна, чем многоцелевая. Сокращение доступных способов атаки обычно включает изменение паролей по умолчанию, удаление ненужного программного обеспечения, ненужных имен пользователей или логинов , а также отключение или удаление ненужных служб .
Существуют различные методы усиления защиты систем Unix и Linux . Это может включать, среди прочего, применение патча к ядру, такого как Exec Shield или PaX ; закрытие открытых сетевых портов ; и установка систем обнаружения вторжений , межсетевых экранов и систем предотвращения вторжений . Также существуют сценарии и инструменты для повышения безопасности , такие как Lynis , Bastille Linux, JASS для Solaris. систем и Apache / PHP Hardener, которые могут, например, отключать ненужные функции в файлах конфигурации или выполнять различные другие меры защиты.
Бинарное упрочнение
Бинарное усиление - это метод безопасности, при котором бинарные файлы анализируются и модифицируются для защиты от распространенных эксплойтов. Бинарное усиление не зависит от компиляторов и включает в себя всю цепочку инструментов . Например, один из методов усиления бинарной защиты заключается в обнаружении потенциальных переполнений буфера и замене существующего кода более безопасным кодом. Преимущество манипулирования двоичными файлами заключается в том, что уязвимости в устаревшем коде могут быть исправлены автоматически без необходимости использования исходного кода, который может быть недоступен или запутан. Во-вторых, те же методы можно применять к двоичным файлам из нескольких компиляторов, некоторые из которых могут быть менее безопасными, чем другие.
Бинарное усиление часто включает недетерминированное изменение адресов потока управления и инструкций, чтобы злоумышленники не могли повторно использовать программный код для выполнения эксплойтов. Распространенные техники закалки:
- Защита от переполнения буфера
- Защита стека от перезаписи
- Независимые от позиции исполняемые файлы и рандомизация разметки адресного пространства
- Бинарное перемешивание (рандомизация адресов базовых блоков)
- Маскировка указателя (защита от внедрения кода )
- Рандомизация потока управления (для защиты от отклонения потока управления)
Смотрите также
Рекомендации
Внешние ссылки
- Тема ИТ-безопасности - усиление защиты в Университете Колорадо
- «Укрепление вычислительных ресурсов» (PDF) . на globalsecurity.org