Zabezpieczenie log'ow przed modyfikacja

Hunter

Użytkownik
Dołączył
Październik 29, 2005
Posty
478
Wlamanie do systemu zostanie odnotowane w wielu roznych dziennikach zdarzen. Jezeli wlamanie powiedzie sie i wlamywacz uzyska uprawnienia uzytkownika root, to co go powstrzyma przed zmiana adresow ip w logach lub nawet usuniecie ich ? ;-

W takim przypadku z pomoca przychodza atrybuty plikow. Zarowno systemy linuksowe jak i BSD przydzielaja plikom i katalogom dodatkowe atrybuty, wykraczajace poza standardowy uniksowy system zabezpieczen, w ktorym atrybuty plikow dotycza w jednakowym stopniu wszystkich uzytkownikow OS'u. Dodatkowe atrybuty decyduja i disteoue di okujiw ba zbaczbue buzszym poziomie niz uprawnienia do pluikow czy listy ACL. Za pomca programu lsattr lub chattr mozemy zmienic/przegladac atrybut plikow/folderow.

Jednym z bardziej przydatnych atrybutoww jest "append-only" (tylko do dopisywania) [;
Kod:
#chattr +a nazwa_pliku
BSD:
Kod:
# chflags sappnd nazwa_pliku
aby przekonac sie jak dziala atrybut +a nalezy utworzyc plik i ustawic w nim ten atrybut

testujemy [;
Kod:
# touch /var/log/logfile

# echo "nasz test" > /var/log/logfile

# chattr +a /var/log/logfile

# echo "atrybut +a ustawiony" > /var/log/logfile

bash: /var/log/logfile: Operation not permitted



# echo "dopiszemy kolejna linijke" >> /var/log/logfile

# cat /var/log/logfile
nasz test
dopiszemy kolejna linijke

Ofcourse wlamywacz moze odkryc ze jest ustawiony atrybut +a i posiadajac uprawnienia root zdjac je (-a), dlatego tez musimy pamietac aby zabezpieczyc nasz server przed zdejmowaniem atrybutu a (append-only) nawet przez root (konto z uprawnieniami administratora) [;

Zabezpieczenie przed zdejmowaniem atrybutu append-only przez root'a HOWTO :

musimy pozbyc sie mozliwosci
Kod:
CAP_LINUX_IMMUTABLE
, za pomcoa programu lcap dokonamy prostych zmian w systemie
%3C

Kod:
wget "http://packetstormsecurity.org/linux/admin/lcap-0.0.3" && make
inne url:
ftp://fr2.rpmfind.net/linux/conectiva/10/...5032cl.i386.rpm
http://packages.debian.org/oldstable/admin/lcap v. 0.0.6-3


ZABEZPIECZAMY NASZ SYSTEM
smile.gif


Kod:
# ./lcap CAP_LINUX_IMMUTABLE

# ./lcap CAP_SYS_RAWIO
pierwsze polecenie wylacza mozliwosc zmiany atrybutu "append-only"
drugie polecenie wylacza mozliwosc wykonywania pierwotnych operacji wejscia-wyjscia [;

Jest to konieczne po to, zeby nie bylo mozliwosci zmodyfikowania chronionego pliku poprzez dostep do urzadzenia blokowanego, na ktorym sie on znajduje. Zabezpiecza to rowniez przed dostepem do urzadzen
Kod:
/dev/mem
i
Kod:
/dev/kmem
, ktory moglby stworzyc oraz umozliwic hakerowi ponowne wlaczenie mozliwosci CAP_LINUX_IMMUTABLE [;

aby usunac obie mozliwosci podczas startu systemu, powyzsze polecenia nalezy umiescic w skryptach uruchomieniowych systemu
Kod:
/etc/rc.local , /etc/rc.d/rc.local
[;

th3 3Nd
 
Ostatnia edycja:
Do góry Bottom