ochrana proti hackerum...

Sobota Květen 22 17:30:56 CEST 1999

>> Vzdyt jeden mate; rika se mu fyzicky pristup ke konzoli. Pokud po
>> rebootu zadate v LILO promptu neco jako "linux single" ci jak se to
>> u vas jmenuje, jste ihned root, a bez hesla. (Pravda i bez site.)
>
>To neni tak docela pravda.
>V single rezimu se to na heslo zepta.
>da to moznost password nebo Ctrl-D pro restart

init=/bin/bash
Zaheslovani v lilo.conf je _nutne_, pokud maji uzivatele pristup ke konzoli.

>to by me zajimalo jak to z na rootshellu poznam, kdyz nevim kde na
>ty my masine to je schovany.

Kdyz nevis, co mas na masine schovany, pak je to tezky ;-)
find / -perm +6000
- najde vsechny suid programy; u 98% z nich muzes ten s-bit vymazat,
no co, ono to uzivatele nezabije, kdyz nebudou moct delat traceroute.
Nechavat suid vsechno, jak se to instaluje (vcetne zgv, doom a podobnych
programku) je sebevrazda.
Masina muze byt docela pouzitelna, i kdyz jsou na ni jen 4 suid programy
(passwd, chfn, X, xterm).

>> > co se tyce ochany proti zmenam konfigurace
>> > - dival jsem se na triplewire, to nevypada
>> > spatne... jaky dalsi soft na ochranu byste
>> > doporucili ? tw je zrejme dost znamy,
>> > takze asi pro hackera nebude problem ho
>> > vyhodit z crontabu :-(((
>>
>> ViperDB - viz archiv

Hacker klidne zavede do jadra modul, ktery zamaskuje zmenene soubory, bezici
procesy i sam sebe. Zakazat moduly v jadre je nutne. (ne, ze by pak jadro
neslo taky patchovat, ale dalo by to mnohem vic prace). Pokud je masina
mene uzivana, muze ji navic klidne rebootovat se svym jadrem.

>Ja mam v kernelu par patchu, ktere dovoli spustit binarku
>jen z adresare, ktery vlastni root.
>To mi eliminuje lokalni exploity, protoze user si exploit sice
>prelozi,
>ale nespusti ho. :-))
>(Samozrejme si hlidam tmp adresar.

Myslim, ze tohle jenom rozciluje programovanichtive uzivatele a
proti hekrovi to stejne nepomuze. Tak ten buffer-overflow pusti
z bashe, ne?

Mikulas Patocka