Pokaż wyniki od 1 do 3 z 3
  1. #1

    Lightbulb Zabezpieczenie log'ow przed modyfikacja

    Wlamanie do systemu zostanie odnotowane w wielu roznych dziennikach zdarzen. Jezeli wlamanie powiedzie sie i wlamywacz uzyska uprawnienia uzytkownika root, to co go powstrzyma przed zmiana adresow ip w logach lub nawet usuniecie ich ? ;-

    W takim przypadku z pomoca przychodza atrybuty plikow. Zarowno systemy linuksowe jak i BSD przydzielaja plikom i katalogom dodatkowe atrybuty, wykraczajace poza standardowy uniksowy system zabezpieczen, w ktorym atrybuty plikow dotycza w jednakowym stopniu wszystkich uzytkownikow OS'u. Dodatkowe atrybuty decyduja i disteoue di okujiw ba zbaczbue buzszym poziomie niz uprawnienia do pluikow czy listy ACL. Za pomca programu lsattr lub chattr mozemy zmienic/przegladac atrybut plikow/folderow.

    Jednym z bardziej przydatnych atrybutoww jest "append-only" (tylko do dopisywania) [;
    Kod:
    #chattr +a nazwa_pliku
    BSD:
    Kod:
    # chflags sappnd nazwa_pliku
    aby przekonac sie jak dziala atrybut +a nalezy utworzyc plik i ustawic w nim ten atrybut

    testujemy [;
    Kod:
    # touch /var/log/logfile
    
    # echo "nasz test" > /var/log/logfile
    
    # chattr +a /var/log/logfile
    
    # echo "atrybut +a ustawiony" > /var/log/logfile
    
    bash: /var/log/logfile: Operation not permitted
    
    
    
    # echo "dopiszemy kolejna linijke" >> /var/log/logfile
    
    # cat /var/log/logfile
    nasz test
    dopiszemy kolejna linijke

    Ofcourse wlamywacz moze odkryc ze jest ustawiony atrybut +a i posiadajac uprawnienia root zdjac je (-a), dlatego tez musimy pamietac aby zabezpieczyc nasz server przed zdejmowaniem atrybutu a (append-only) nawet przez root (konto z uprawnieniami administratora) [;

    Zabezpieczenie przed zdejmowaniem atrybutu append-only przez root'a HOWTO :

    musimy pozbyc sie mozliwosci
    Kod:
    CAP_LINUX_IMMUTABLE
    , za pomcoa programu lcap dokonamy prostych zmian w systemie
    Kod:
    wget "http://packetstormsecurity.org/linux/admin/lcap-0.0.3" && make
    inne url:
    ftp://fr2.rpmfind.net/linux/conectiva/10/...5032cl.i386.rpm
    http://packages.debian.org/oldstable/admin/lcap v. 0.0.6-3


    ZABEZPIECZAMY NASZ SYSTEM

    Kod:
    # ./lcap CAP_LINUX_IMMUTABLE
    
    # ./lcap CAP_SYS_RAWIO
    pierwsze polecenie wylacza mozliwosc zmiany atrybutu "append-only"
    drugie polecenie wylacza mozliwosc wykonywania pierwotnych operacji wejscia-wyjscia [;

    Jest to konieczne po to, zeby nie bylo mozliwosci zmodyfikowania chronionego pliku poprzez dostep do urzadzenia blokowanego, na ktorym sie on znajduje. Zabezpiecza to rowniez przed dostepem do urzadzen
    Kod:
    /dev/mem
    i
    Kod:
    /dev/kmem
    , ktory moglby stworzyc oraz umozliwic hakerowi ponowne wlaczenie mozliwosci CAP_LINUX_IMMUTABLE [;

    aby usunac obie mozliwosci podczas startu systemu, powyzsze polecenia nalezy umiescic w skryptach uruchomieniowych systemu
    Kod:
    /etc/rc.local , /etc/rc.d/rc.local
    [;

    th3 3Nd
    Ostatnio edytowane przez Hunter ; 15-01-2010 o 12:14

  2. #2
    Użytkownik
    Dołączył
    07-07-2007
    Posty
    6

    Domyślnie

    Hjuston mamy problem.

    Po nadaniu atrybótów na plik:
    /bin/chflags sappnd /root/.history
    Nic się w nim nie zapisuje. Owszem komendą
    echo "test" >> .history
    dodamy do niego wpis, jednak normalnych komend używanych w putty nie rejestruje :/

  3. #3
    Użytkownik
    Dołączył
    07-07-2007
    Posty
    6

    Domyślnie

    Halo, żyje tu ktoś?

Podobne wątki

  1. Zabezpieczenie serwera przed SHELL PHP =)
    Przez Hunter
    w forum Bezpieczeństwo
    Odpowiedzi: 2
    Ostatni post / autor: 31-08-2015, 11:25
  2. Zabezpieczenie komputera przed innymi osobami.
    Przez slasher
    w forum Bezpieczeństwo
    Odpowiedzi: 6
    Ostatni post / autor: 04-09-2008, 18:13
  3. Zabezpieczenie pliku przed kopiowaniem...
    Przez atp
    w forum Bezpieczeństwo
    Odpowiedzi: 18
    Ostatni post / autor: 12-04-2007, 15:37
  4. Skuteczne zabezpieczenie przed keyloggerami
    Przez cash
    w forum Keyloggers/Stealers
    Odpowiedzi: 8
    Ostatni post / autor: 26-03-2005, 13:19
  5. Zabezpieczenie przed netspy
    Przez Piotrek
    w forum Inne narzędzia
    Odpowiedzi: 5
    Ostatni post / autor: 03-07-2002, 11:17

Uprawnienia

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •