utok na fw ?

Miroslav BENES mbenes na tenez.cz
Čtvrtek Březen 4 09:26:03 CET 1999 

Preji dobry den !

V nasi firme pouzivame dva linuxove stroje - jeden jako fw, druhy 
jako server (www, ftp, mail). Firewall se zacal podivne chovat, takze 
mam podezreni na utok zvenci. Bohuzel ale neznam podrobne sitove 
zalezitosti (instalaci delal externista), takze se zkusim optat tady.

HW : 486/100, 32 MB , 2.1 GB, 3x 3COM 3c5x9
SW : mix RH4.2 + Debian 2.0 (?) + 2.1.126

Problem1 : Pri prihlasovani z vnitrni site terminalem (TTerm pro) se 
vzdycky hlasim na svoje jmeno a pak si prikazem su povolim prava 
roota. Ted to ale zahlasi po zadani hesla :

su: cannot set groups

Vim jiste, ze to driv (cca pred 3-mi tydny) nedelalo a od te doby 
jsem se tam z terminalu neprihlasoval. Prihlaseni primo na roota jde 
z terminalu i z konzoly bez problemu. Uzivatele ani skupiny se za cca 
posledniho pul roku nemenili. Je to priznak nejakeho utoku, chyba hw 
nebo neco jineho ?


Problem2 : Krome roota jsou nadefinavani 2 uzivatele. Oba maji v 
/home svoje domovske adresare :

[root na fw-tenez /root]# cd /home/
[root na fw-tenez /home]# ls -l
total 2
drwxrwxr-x   2 root     root         1024 Feb 12 12:02 benes
drwxrwxr-x   2 root     root         1024 Feb 12 12:02 servis
[root na fw-tenez /home]#

Je normalni, aby mel "bezny" uzivatel nastaven vlastnika sveho 
adresare roota ? 

Dalsi podivne chovani je pri vypisu obsahu :

[root na fw-tenez servis]# cd /home/benes/
[root na fw-tenez benes]# ls -l
total 0
[root na fw-tenez benes]#

Pritom v okne mc vidim 6 souboru (.bashrc atd.) na svoje jmeno s 
pravy 664. Jak je mozne, ze root nevidi soubory prikazem ls, kdyz mu 
je ukaze mc ?



Problem3: Prohlizel jsem logy, ale nic zvlasniho nevidim. Snad jenom 
tohle :

secure.2 :
Feb 15 06:55:07 fw-tenez login: FAILED LOGIN 1 FROM (null) FOR root,
Authentication failure

secure.3 :
Feb 12 12:24:04 fw-tenez login: FAILED LOGIN 1 FROM (null) FOR root,
Authentication failure


Oba soubory jsou male a obsahuji pouze tuto hlasku. Zarazi me hlavne 
"FROM (null)" - co to znamena ? Kdyby to bylo z terminalu, bylo by 
tam snad FROM tty1 nbo neco podobneho, ne ?


Dekuji za pripadne namety.



--------------------------
Miroslav BENES
E-mail   : mbenes na tenez.cz
TENEZ Chotebor, a.s
--------------------------

Další informace o konferenci Linux