Forum Debian Users Gang

Do testowania ustawień kernela to najlepiej skorzystać z tego:
https://github.com/a13xp0p0v/kconfig-hardened-check

Do testowania podatności procków z tego:
https://github.com/speed47/spectre-meltdown-checker

Było jeszcze jedno fajne narzędzie do skanowania systemu jako takiego pod kątem bezpieczeństwa ale dawno nie używałem go, bo to tylko dla stabilnych wydań było przeznaczone, i nie pamietam już co to było. xD

Ostatnio edytowany przez morfik (2022-04-26 18:08:26)

Ha przypomniało mi się co to było: xD

https://github.com/ovh/debian-cis

Jacekalex napisał(-a):

Rkhunter ma tą zaletę, że robi sobie sumy kontrolne najważniejszych plików i potem je sprawdza.
Ma też skuteczną wtyczkę do Apta, która aktualizuje te sumy kontrolne przy aktualizacji systemu.
Jest też zwykłym skryptem powłoki, co nieco ułatwia jakieś modyfikacje w razie czego.

Od tego jest debsums, można go sobie z cron'a wołać co jakiś czas (zwykle co miecha albo co tydzień) i on robi sumy kontrolne plików (wszystkich, przynajmniej tych instalowanych przez pakiety) i porównuje je z tymi sumami widocznymi w pakiecie (te sumy są podpisane cyferkowo). Skanowanie trwa dłuższą chwilę ale potem człowiek dostaje np. takie podsumowanie:

/etc/cron.weekly/debsums:
/boot/vmlinuz-5.16.13-amd64
/boot/vmlinuz-5.16.16-amd64
/boot/vmlinuz-5.17.1-amd64
/boot/vmlinuz-5.17.3-amd64
/usr/share/misc/pci.ids
/usr/lib/systemd/system/zram_swap.service

I już wiadomo, kto co gdzie zmieniał intencjonalnie albo i nie. xD

Jacekalex napisał(-a):

Chkrootkit też potrafi wykryć różne anomalie.
Miał  też kiedyś programik unhide, do odkrywania ukrytych procesów i portów TCP,
który ostatnio się usamodzielnił jak osobny pakiet.

Tylko Chkrootkit jak i Rkhunter one nie powinny być uruchamiane na systemie, który mają skanować, bo syf jest w stanie bez problemu się przed takimi skanami obronić.

Debsums ma głównie na celu weryfikację plików, które zainstalowałeś. Paczki deb są podpisane i zawierają sumy kontrole wszystkich instalowanych plików. Jeśli teraz by ci ktoś podmienił w jakiś sposób plik /bin/bash , to debsums to bez problemu wykryje, no chyba, że ktoś ci zainstaluje tę paczkę (choć to też będzie można wykryć) ze zmienioną binarką (anie pobierze ją via np. wget i umieści pod tą lokalizacją). xD To jaki syf będziesz miał w systemie, to jest bez znaczenia, bo możesz mieć i w samym kernelu, a sumy kontrolne plików się dalej zgadzać nie będą. Natomiast jak masz syf w kernelu (albo też ten syf już został załadowany do pamięci operacyjnej i w jakiś sposób działa) i tego Chkrootkit/Rkhunter uruchomisz, to nic ci nie pomoże. Ale jak tymi narzędziami przeskanujesz dany system z innej maszyny, to już wyniki mogą się znacząco różnić. Dlatego te narzędzia są przeznaczone głównie do skanów offilne z systemów live czy innych systemów, do których sobie podmontujesz ten skanowany system.

Ostatnio edytowany przez morfik (2022-04-29 21:57:44)