Wlamanie do systemu zostanie odnotowane w wielu roznych dziennikach zdarzen. Jezeli wlamanie powiedzie sie i wlamywacz uzyska uprawnienia uzytkownika root, to co go powstrzyma przed zmiana adresow ip w logach lub nawet usuniecie ich ? ;-
W takim przypadku z pomoca przychodza atrybuty plikow. Zarowno systemy linuksowe jak i BSD przydzielaja plikom i katalogom dodatkowe atrybuty, wykraczajace poza standardowy uniksowy system zabezpieczen, w ktorym atrybuty plikow dotycza w jednakowym stopniu wszystkich uzytkownikow OS'u. Dodatkowe atrybuty decyduja i disteoue di okujiw ba zbaczbue buzszym poziomie niz uprawnienia do pluikow czy listy ACL. Za pomca programu lsattr lub chattr mozemy zmienic/przegladac atrybut plikow/folderow.
Jednym z bardziej przydatnych atrybutoww jest "append-only" (tylko do dopisywania) [;
BSD:
aby przekonac sie jak dziala atrybut +a nalezy utworzyc plik i ustawic w nim ten atrybut
testujemy [;
nasz test
dopiszemy kolejna linijke
Ofcourse wlamywacz moze odkryc ze jest ustawiony atrybut +a i posiadajac uprawnienia root zdjac je (-a), dlatego tez musimy pamietac aby zabezpieczyc nasz server przed zdejmowaniem atrybutu a (append-only) nawet przez root (konto z uprawnieniami administratora) [;
Zabezpieczenie przed zdejmowaniem atrybutu append-only przez root'a HOWTO :
musimy pozbyc sie mozliwosci
, za pomcoa programu lcap dokonamy prostych zmian w systemie
inne url:
ftp://fr2.rpmfind.net/linux/conectiva/10/...5032cl.i386.rpm
http://packages.debian.org/oldstable/admin/lcap v. 0.0.6-3
ZABEZPIECZAMY NASZ SYSTEM
pierwsze polecenie wylacza mozliwosc zmiany atrybutu "append-only"
drugie polecenie wylacza mozliwosc wykonywania pierwotnych operacji wejscia-wyjscia [;
Jest to konieczne po to, zeby nie bylo mozliwosci zmodyfikowania chronionego pliku poprzez dostep do urzadzenia blokowanego, na ktorym sie on znajduje. Zabezpiecza to rowniez przed dostepem do urzadzen
i
, ktory moglby stworzyc oraz umozliwic hakerowi ponowne wlaczenie mozliwosci CAP_LINUX_IMMUTABLE [;
aby usunac obie mozliwosci podczas startu systemu, powyzsze polecenia nalezy umiescic w skryptach uruchomieniowych systemu
[;
th3 3Nd
W takim przypadku z pomoca przychodza atrybuty plikow. Zarowno systemy linuksowe jak i BSD przydzielaja plikom i katalogom dodatkowe atrybuty, wykraczajace poza standardowy uniksowy system zabezpieczen, w ktorym atrybuty plikow dotycza w jednakowym stopniu wszystkich uzytkownikow OS'u. Dodatkowe atrybuty decyduja i disteoue di okujiw ba zbaczbue buzszym poziomie niz uprawnienia do pluikow czy listy ACL. Za pomca programu lsattr lub chattr mozemy zmienic/przegladac atrybut plikow/folderow.
Jednym z bardziej przydatnych atrybutoww jest "append-only" (tylko do dopisywania) [;
Kod:
#chattr +a nazwa_pliku
Kod:
# chflags sappnd nazwa_pliku
testujemy [;
Kod:
# touch /var/log/logfile
# echo "nasz test" > /var/log/logfile
# chattr +a /var/log/logfile
# echo "atrybut +a ustawiony" > /var/log/logfile
bash: /var/log/logfile: Operation not permitted
# echo "dopiszemy kolejna linijke" >> /var/log/logfile
# cat /var/log/logfile
dopiszemy kolejna linijke
Ofcourse wlamywacz moze odkryc ze jest ustawiony atrybut +a i posiadajac uprawnienia root zdjac je (-a), dlatego tez musimy pamietac aby zabezpieczyc nasz server przed zdejmowaniem atrybutu a (append-only) nawet przez root (konto z uprawnieniami administratora) [;
Zabezpieczenie przed zdejmowaniem atrybutu append-only przez root'a HOWTO :
musimy pozbyc sie mozliwosci
Kod:
CAP_LINUX_IMMUTABLE
Kod:
wget "http://packetstormsecurity.org/linux/admin/lcap-0.0.3" && make
ftp://fr2.rpmfind.net/linux/conectiva/10/...5032cl.i386.rpm
http://packages.debian.org/oldstable/admin/lcap v. 0.0.6-3
ZABEZPIECZAMY NASZ SYSTEM
Kod:
# ./lcap CAP_LINUX_IMMUTABLE
# ./lcap CAP_SYS_RAWIO
drugie polecenie wylacza mozliwosc wykonywania pierwotnych operacji wejscia-wyjscia [;
Jest to konieczne po to, zeby nie bylo mozliwosci zmodyfikowania chronionego pliku poprzez dostep do urzadzenia blokowanego, na ktorym sie on znajduje. Zabezpiecza to rowniez przed dostepem do urzadzen
Kod:
/dev/mem
Kod:
/dev/kmem
aby usunac obie mozliwosci podczas startu systemu, powyzsze polecenia nalezy umiescic w skryptach uruchomieniowych systemu
Kod:
/etc/rc.local , /etc/rc.d/rc.local
th3 3Nd
Ostatnia edycja: