Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2010-03-15 15:48:23
life - 
Użytkownik
- life
- Użytkownik
- Zarejestrowany: 2009-10-30
Audyty bezpieczeństwa
Dawno dawno temu na jak zaczynałem przygodę z unixami na FreeBSD (wersja 4 naprawdę dawno to było ;) ) był fajny port (paczka) do audytu bezpieczeństwa. Można było wskazać katalogi (zazwyczaj systemowe) i program ten tworzył sumy kontrolne wszystkich plików. Zawsze można było odpalić i sprawdzić czy sumy się zgadzają. Fakt że trzeba było pamiętać żeby sprawdzać przed aktualizacją softu a po zrobić update.
Nie pamiętam jak ten port się nazywał ale pewnie w debianowym repo będzie coś podobnego? :) może nie jest to super zabezpieczenie bo po skutecznym ataku (zdobyciu roota) na niewiele się zda :) noo można by było trzymać pliki z sumami kontrolnymi na innej maszynie itp. ale już nie komplikuję :)
tak czy siak rozwiązanie jest to dosyć fajne dla maszyn nie mających krytycznego znaczenia a raczej dla takich szarych myszek co cały czas są wpięte w sieć nie mają większych zadań i loguje się na nie rzadko :) zapuszczenie tego w crona i powiadamianie w razie niezgodności wydaje się ciekawym rozwiązaniem.
Offline
#2 2010-03-15 16:14:25
MrWarum - Członek DUG
Re: Audyty bezpieczeństwa
Hmm, może fswatch? Ogólnie pomysł w moim odczuciu nie zbyt ciekawy, dlaczego? Jeżeli ktoś zdobędzie root'a łatwo może siebie w systemie ukryć przy pomocy jakiegoś rootkita, albo pozmieniać wpisy w bazie danych i na to samo wyjdzie. Wykrycie takiego delikwenta mogłoby nastąpić tylko w wypadku gdy, zdobył roota i nie zdążył jeszcze unieszkodliwić naszego "zabezpieczenia". Czy jednak ktoś będzie dodawał wpis do corn'a który będzie opalał co pięć minut program który będzie liczył hashe dla plików, przecież system ma być wydajny a takie intensywne korzystanie z dysku w znacznej mierze może ten system spowolnić. Reasumując w moim odczuciu gra nie warta świeczki.
Ostatnio edytowany przez MrWarum (2010-03-15 16:17:13)
Wir müssen wissen
Wir werden wissen
Offline
#3 2010-03-15 17:26:09
bns - unknown
Re: Audyty bezpieczeństwa
Zainteresuj się AIDE - http://www.cs.tut.fi/~rammer/aide.html
http://www.debian-administration.org/articles/49
Offline
#4 2010-03-15 20:40:23
life - Użytkownik
- life
- Użytkownik
- Zarejestrowany: 2009-10-30
Re: Audyty bezpieczeństwa
odpalać co mięć minut nie ma sensu jak pisałem to dla maszyn na których loguje się rzadko więc wystarczy sprawdzać integralność plików raz na tydzień
zabezpieczać można się tak że plik do sprawdzania poprawności haszy możę być na innym serwerze albo penie (zabezpieczonym przed zapisem) więc stanowi to utrudnienie dla napastnika, no chyba że ma fizyczny dostęp do maszyny :)
bns - dzięki poczytam :)
Ostatnio edytowany przez life (2010-03-15 20:40:50)
Offline
#5 2010-03-15 21:07:10
grzesiek - Użytkownik
Re: Audyty bezpieczeństwa
Ja ma coś takiego http://www.rootkit.nl/projects/rootkit_hunter.html
Co dzień przesyła raport, który może wyglądać tak:
Kod:
Warning: The file properties have changed:
File: /bin/login
Current hash: 5ca80f48aab7b01ef8ac5bba4019a94a3b0996a4
Stored hash : 484d4f850a41645bb9f7b58a852c2631dc161bab
Current inode: 317637 Stored inode: 317645
Current file modification time: 1258209718
Stored file modification time : 1227369664Offline
#6 2010-03-15 21:24:20
MrWarum - Członek DUG
Re: Audyty bezpieczeństwa
Ja ma coś takiego http://www.rootkit.nl/projects/rootkit_hunter.html
Jakiś czas temu oglądałem, prezentację o rootkitach (bodajże z defcon17, ale nie jestem pewien) i prelegent dosyć ironicznie wypowiadał się na temat rootkithuntera. Mniej więcej brzmiało to tak, że nie zna żadnego niepublicznego porządnego rootkita, którego by rootkithunter wykrywał... Ale zawsze lepiej mieć niż nie mieć.
Ostatnio edytowany przez MrWarum (2010-03-15 21:25:59)
Wir müssen wissen
Wir werden wissen
Offline