Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2022-04-26 12:34:01

  macios4x - Użytkownik

macios4x
Użytkownik
Zarejestrowany: 2012-12-10

lynis audit system - skąd te nieprawidłowości?

Przeskanowałem Archa programem lynis audit system. Najwięcej zastrzeżeń miał co do kernela który jest oficjalny z repo, w ogóle niemodyfikowany. Screen:
https://imgur.com/VTz0ApC
Czy to coś złego w kwestii bezpieczeństwa? Trzeba coś z tym zrobić?


Zwolennik Open Source, użytkownik Arch, Debian

Offline

 

#2  2022-04-26 15:08:16

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: lynis audit system - skąd te nieprawidłowości?

Zabezpieczenia systemu to delikatny balans pomiędzy akceptacją ryzyka a faktycznym łataniem, nikt ci nie powie dokładnie co masz zrobić.

Zapoznaj się z problemami jakie skan znalazł i podejmij decyzję, czy jest to cos co można zostawić otwartego czy jednak warto to pokleić.


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#3  2022-04-26 18:07:57

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: lynis audit system - skąd te nieprawidłowości?

Do testowania ustawień kernela to najlepiej skorzystać z tego:
https://github.com/a13xp0p0v/kconfig-hardened-check

Do testowania podatności procków z tego:
https://github.com/speed47/spectre-meltdown-checker

Było jeszcze jedno fajne narzędzie do skanowania systemu jako takiego pod kątem bezpieczeństwa ale dawno nie używałem go, bo to tylko dla stabilnych wydań było przeznaczone, i nie pamietam już co to było. xD

Ostatnio edytowany przez morfik (2022-04-26 18:08:26)

Offline

 

#4  2022-04-27 06:59:25

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: lynis audit system - skąd te nieprawidłowości?

Rkhunter ma tą zaletę, że robi sobie sumy kontrolne najważniejszych plików i potem je sprawdza.
Ma też skuteczną wtyczkę do Apta, która aktualizuje te sumy kontrolne przy aktualizacji systemu.
Jest też zwykłym skryptem powłoki, co nieco ułatwia jakieś modyfikacje w razie czego.

Chkrootkit też potrafi wykryć różne anomalie.
Miał  też kiedyś programik unhide, do odkrywania ukrytych procesów i portów TCP,
który ostatnio się usamodzielnił jak osobny pakiet.

Ostatnio edytowany przez Jacekalex (2022-04-27 07:09:20)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2022-04-27 09:33:07

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: lynis audit system - skąd te nieprawidłowości?

Ha przypomniało mi się co to było: xD

https://github.com/ovh/debian-cis


Jacekalex napisał(-a):

Rkhunter ma tą zaletę, że robi sobie sumy kontrolne najważniejszych plików i potem je sprawdza.
Ma też skuteczną wtyczkę do Apta, która aktualizuje te sumy kontrolne przy aktualizacji systemu.
Jest też zwykłym skryptem powłoki, co nieco ułatwia jakieś modyfikacje w razie czego.

Od tego jest debsums, można go sobie z cron'a wołać co jakiś czas (zwykle co miecha albo co tydzień) i on robi sumy kontrolne plików (wszystkich, przynajmniej tych instalowanych przez pakiety) i porównuje je z tymi sumami widocznymi w pakiecie (te sumy są podpisane cyferkowo). Skanowanie trwa dłuższą chwilę ale potem człowiek dostaje np. takie podsumowanie:

Kod:

/etc/cron.weekly/debsums:
/boot/vmlinuz-5.16.13-amd64
/boot/vmlinuz-5.16.16-amd64
/boot/vmlinuz-5.17.1-amd64
/boot/vmlinuz-5.17.3-amd64
/usr/share/misc/pci.ids
/usr/lib/systemd/system/zram_swap.service

I już wiadomo, kto co gdzie zmieniał intencjonalnie albo i nie. xD

Jacekalex napisał(-a):

Chkrootkit też potrafi wykryć różne anomalie.
Miał  też kiedyś programik unhide, do odkrywania ukrytych procesów i portów TCP,
który ostatnio się usamodzielnił jak osobny pakiet.

Tylko Chkrootkit jak i Rkhunter one nie powinny być uruchamiane na systemie, który mają skanować, bo syf jest w stanie bez problemu się przed takimi skanami obronić.

Offline

 

#6  2022-04-29 18:52:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: lynis audit system - skąd te nieprawidłowości?

morfik napisał(-a):

Jacekalex napisał(-a):

Chkrootkit też potrafi wykryć różne anomalie.
Miał  też kiedyś programik unhide, do odkrywania ukrytych procesów i portów TCP,
który ostatnio się usamodzielnił jak osobny pakiet.

Tylko Chkrootkit jak i Rkhunter one nie powinny być uruchamiane na systemie, który mają skanować, bo syf jest w stanie bez problemu się przed takimi skanami obronić.

Malware żeby ruszyć coś w systemie, np rkhuntera, musi wskoczyć na roota, a wtedy może też wjechać do /var/lib/dpkg/,
i debsums się przyda jak łysemu grzebień.
Można się przed taką sytuacją obronić przez użycie EVM i IMA,
gdy klucz prywatny do podpisywania plików jest poza systemem operacyjnym,
ale konfiguracja i późniejsze aktualizacje systemu z EVM i IMA bywają potem upierdliwe.

W jednym serwerze w którym kiedyś malware usuwałem, skopiowałem rkhuntera na żywca po SSH,
zapisując go od inną nazwą, i wykrył wszystko co trzeba.
Było z tym trochę zabawy, bo malware formalnie blokował rkhuntera, ale jak się wszystkie nazwy w skrypcie rkhuntera zmieniło z rkhunter na udupiacz, ścieżki plików rkhunrtera też się zmieniło, to działał grzecznie. :P

Ostatnio edytowany przez Jacekalex (2022-06-03 17:14:45)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2022-04-29 21:56:21

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: lynis audit system - skąd te nieprawidłowości?

Debsums ma głównie na celu weryfikację plików, które zainstalowałeś. Paczki deb są podpisane i zawierają sumy kontrole wszystkich instalowanych plików. Jeśli teraz by ci ktoś podmienił w jakiś sposób plik /bin/bash , to debsums to bez problemu wykryje, no chyba, że ktoś ci zainstaluje tę paczkę (choć to też będzie można wykryć) ze zmienioną binarką (anie pobierze ją via np. wget i umieści pod tą lokalizacją). xD To jaki syf będziesz miał w systemie, to jest bez znaczenia, bo możesz mieć i w samym kernelu, a sumy kontrolne plików się dalej zgadzać nie będą. Natomiast jak masz syf w kernelu (albo też ten syf już został załadowany do pamięci operacyjnej i w jakiś sposób działa) i tego Chkrootkit/Rkhunter uruchomisz, to nic ci nie pomoże. Ale jak tymi narzędziami przeskanujesz dany system z innej maszyny, to już wyniki mogą się znacząco różnić. Dlatego te narzędzia są przeznaczone głównie do skanów offilne z systemów live czy innych systemów, do których sobie podmontujesz ten skanowany system.

Ostatnio edytowany przez morfik (2022-04-29 21:57:44)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)