Como endurecer o linux contra ataques de DMA?

Navegue suas respostas
5

Como posso configurar meu sistema Linux para ser seguro contra ataques DMA? Existe uma maneira de torná-los impossíveis?

Ataques DMA

trecho da Wikipédia

In modern operating systems, non-system (i.e. user-mode) applications are prevented from accessing any memory locations not explicitly authorized by the virtual memory controller (called the MMU or Memory Mapping Unit). In addition to containing damage from inadvertent software bugs and allowing more efficient use of physical memory, this architecture forms an integral part of the security of a modern operating system. However, kernel-mode drivers, many hardware devices, and occasional user-mode vulnerabilities allow the direct, unimpeded access of the physical memory address space. The physical address space includes all of the main system memory, as well as memory-mapped buses and hardware devices (which are controlled by the operating system through reads and writes as if they were ordinary RAM).

    
por student 04.10.2013 / 16:54

2 respostas

3

Bem, em poucas palavras, não, não é completamente possível impedir potenciais vetores de ataque. Olhando para o artigo da Wikipedia, há essencialmente quatro caminhos que você deve estar ciente:

  1. drivers do modo kernel
  2. muitos dispositivos de hardware
  3. vulnerabilidades do modo de usuário
  4. Engenharia social

A melhor maneira de atenuar sua exposição (que é tudo que você pode fazer quando protege algo) é controlar sua exposição ao risco para as 4 coisas acima.

Para parar 1, não dê a ninguém a capacidade de carregar drivers do kernel. Além disso, não instale nenhum driver desnecessário.

Para parar 2, negue o acesso físico das pessoas ao sistema. Use um data center seguro que tenha acesso físico limitado apenas aos principais operadores do computador.

Para parar 3, não permita que os usuários executem mais aplicativos do que o absolutamente necessário. Isso vai além da execução, não instale nada além do que é necessário. Se for um servidor de produção, não instale gcc , por exemplo.

Para parar 4, treinando a equipe de suporte na arte de detectar uma fraude.

Um item adicional é garantir que as atualizações sejam instaladas e verificadas em tempo hábil. Não atualize o sistema um por ano, por exemplo.

    
por 04.10.2013 / 17:05
2

Desative adaptadores de raio e firewire e bloqueie fisicamente a caixa para que alguém não possa inserir uma placa PCI (e).

    
por 04.10.2013 / 17:53

Tags

Entendendo as entradas / var / log / messages Documentação Upstart para o CentOS 6