Linux bezpecnost, Internet
Henryk Paluch
paluch na bimbo.fjfi.cvut.cz
Úterý Září 8 20:55:38 CEST 1998
On 8 Sep 1998 10:56:49 +0200, Petr Jochman <Petr.Jochman na csob.iqnet.cz> wrote:
...
>jeckel::0:0:jeckel:/home/jeckel:/bin/bash
>jekel::1069:100:jekel:/home/jekel:/bin/bash
...
>Na servru bezi inetd, z neho ipop2d, ipop3d, imapd pres tcpd
>pak smtp - qmail-smtpd
....
Dostal se na to pres buffer overflow pres program imapd.
Resenim je samozrejme upgrade vsech sluzeb co pouzivate, tj.
stahnout prislusna rpm-ka napr.
# rpm -Uvh \
ftp://sunsite.doc.ic.ac.uk/computing/operating-systems\
/Linux/redhat/redhat-5.0/updates/i386/\
imap-4.1.final-1.i386.rpmimap-4.1.final-1.i386.rpm
Dale si pomoci
# rpm -Va
overte, jestli uz narusitel nemodifikoval nejake soubory
Ujistete se, ze nikdo nespustil program na chytani hesel:
/sbin/ifconfig nesmi ukazat slov PROMISCUOUS
Overte si, jestli se nekde na disku nenachazi "novy" program, ktery je
SUID root:
# find / -perm -4000 -exec ls -l {} \;
Nezapomente take upgradovat X-Widnow na nejnovejsi verzi
i tam byl bezpecnostni chyby.
Pravidelne sledujte:
http://www.redhat.com/errata/
http://www.rootshell.com -> pravidelne uverejnuje ruzne programy,
ktere umoznuji ziskat prava roota
pres nejaky chybny rootovsky
proces. Casto je pouzivaji prave
"hackeri"...
Jedna z moznosti, jak zabranit nejcastejsimu pruniku na root-a
(tzv. Stack Overflow), je patch do jadra, publikovany v magazinu
Phrack c. 52 na http://www.phrack.com
Zaverem mohu jen doporucit, abyste take pravidelne sledoval spustene
procesy, jestli se tam nevyskytuje nejaky nepravy - v zadnem pripade
se nespolehejte na to, ze vsechno najdete v logu - existuji programy,
ktere jsou schopne napr. smazat konkretniho uzivatele z /var/log/wtmp
apod.
Preji mnoho uspechu pri chytani hackeru
Henryk Paluch, paluch na bimbo.fjfi.cvut.cz
Další informace o konferenci Linux