Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2010-03-15 15:48:23

  life - Użytkownik

life
Użytkownik
Zarejestrowany: 2009-10-30

Audyty bezpieczeństwa

Dawno dawno temu na jak zaczynałem przygodę z unixami na FreeBSD (wersja 4 naprawdę dawno to było ;) ) był fajny port (paczka) do audytu bezpieczeństwa. Można było wskazać katalogi (zazwyczaj systemowe) i program ten tworzył sumy kontrolne wszystkich plików. Zawsze można było odpalić i sprawdzić czy sumy się zgadzają. Fakt że trzeba było pamiętać żeby sprawdzać przed aktualizacją softu a po zrobić update.

Nie pamiętam jak ten port się nazywał ale pewnie w debianowym repo będzie coś podobnego? :) może nie jest to super zabezpieczenie bo po skutecznym ataku (zdobyciu roota) na niewiele się zda :) noo można by było trzymać pliki z sumami kontrolnymi na innej maszynie itp. ale już nie komplikuję :)

tak czy siak rozwiązanie jest to dosyć fajne dla maszyn nie mających krytycznego znaczenia a raczej dla takich szarych myszek co cały czas są wpięte w sieć nie mają większych zadań i loguje się na nie rzadko :) zapuszczenie tego w crona i powiadamianie w razie niezgodności wydaje się ciekawym rozwiązaniem.

Offline

 

#2  2010-03-15 16:14:25

  MrWarum - Członek DUG

MrWarum
Członek DUG
Zarejestrowany: 2010-03-06
Serwis

Re: Audyty bezpieczeństwa

Hmm, może fswatch? Ogólnie pomysł w moim odczuciu nie zbyt ciekawy, dlaczego? Jeżeli ktoś zdobędzie root'a łatwo może siebie w systemie ukryć przy pomocy jakiegoś rootkita, albo pozmieniać wpisy w bazie danych i na to samo wyjdzie. Wykrycie takiego delikwenta mogłoby nastąpić tylko w wypadku gdy, zdobył roota i nie zdążył jeszcze unieszkodliwić naszego "zabezpieczenia". Czy jednak ktoś będzie dodawał wpis do corn'a który będzie opalał co pięć minut program który będzie liczył hashe dla plików, przecież system ma być wydajny a takie intensywne korzystanie z dysku w znacznej mierze może ten system spowolnić. Reasumując w moim odczuciu gra nie warta świeczki.

Ostatnio edytowany przez MrWarum (2010-03-15 16:17:13)


Wir müssen wissen
Wir werden wissen

Offline

 

#3  2010-03-15 17:26:09

  bns - unknown

bns
unknown
Zarejestrowany: 2005-12-25
Serwis

Re: Audyty bezpieczeństwa


Pozdrawiam,
bns

Offline

 

#4  2010-03-15 20:40:23

  life - Użytkownik

life
Użytkownik
Zarejestrowany: 2009-10-30

Re: Audyty bezpieczeństwa

odpalać co mięć minut nie ma sensu jak pisałem to dla maszyn na których loguje się rzadko więc wystarczy sprawdzać integralność plików raz na tydzień

zabezpieczać można się tak że plik do sprawdzania poprawności haszy możę być na innym serwerze albo penie (zabezpieczonym przed zapisem) więc stanowi to utrudnienie dla napastnika, no chyba że ma fizyczny dostęp do maszyny :)

bns - dzięki poczytam :)

Ostatnio edytowany przez life (2010-03-15 20:40:50)

Offline

 

#5  2010-03-15 21:07:10

  grzesiek - Użytkownik

grzesiek
Użytkownik
Skąd: Białystok
Zarejestrowany: 2009-03-06
Serwis

Re: Audyty bezpieczeństwa

Ja ma coś takiego http://www.rootkit.nl/projects/rootkit_hunter.html
Co dzień przesyła raport, który może wyglądać tak:

Kod:

Warning: The file properties have changed:
         File: /bin/login
         Current hash: 5ca80f48aab7b01ef8ac5bba4019a94a3b0996a4
         Stored hash : 484d4f850a41645bb9f7b58a852c2631dc161bab
         Current inode: 317637    Stored inode: 317645
         Current file modification time: 1258209718
         Stored file modification time : 1227369664

Offline

 

#6  2010-03-15 21:24:20

  MrWarum - Członek DUG

MrWarum
Członek DUG
Zarejestrowany: 2010-03-06
Serwis

Re: Audyty bezpieczeństwa

Jakiś czas temu oglądałem, prezentację o rootkitach (bodajże z defcon17, ale nie jestem pewien) i prelegent dosyć ironicznie wypowiadał się na temat rootkithuntera. Mniej więcej brzmiało to tak, że nie zna żadnego niepublicznego porządnego rootkita, którego by rootkithunter wykrywał... Ale zawsze lepiej mieć niż nie mieć.

Ostatnio edytowany przez MrWarum (2010-03-15 21:25:59)


Wir müssen wissen
Wir werden wissen

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)