Konzistentnost serveru - jak zabezpecit?

Ondrej Suchy ondrej.suchy na underground.cz
Úterý Listopad 23 11:38:10 CET 1999 

> On 22 Nov 99, at 15:20, Ing. Pavel PaJaSoft Janousek wrote:
> >  chtel bych se zeptat, jak ostatni resi hlidani konzistentnosti svych
> > serveru pred napadenimi typu trojsky kun.
> 
> Nespoustenim neznamych binarek?
> 
> > Jiz ze sveta viru si myslim, ze
> > je nejlepsi ochranou databaze kontrolnich souctu 'vseho spustitelneho',
> > problem ale je, jak toho docilit.
> 
> Jak to souvisi s trojskym konem? :-)

treba tak, ze na jsou trojske kone cizi binarky, ale stejne tak se
vyrazem trojsky kun oznacuji vselijake backdoory, ktere vam instaloval
utocnik. pan janousek zde mozna mixuje dve ruzne veci - ochranu pred
cizimi trojskymi koni, ktera spociva v nespousteni neduveryhodnych
programu a kontrole checksumu pri stahovani ruznych balicku z internetu
(to abyste si nestahli uz patchnuty soubor).

> > Vzhledem k tomu, ze na UNIXech je velmi
> > casto pouzivan utok typu 'preteceni zasobniku',
> 
> Jak _tohle_ souvisi s trojskym konem?
> 
> > ktery se dociluje napr.
> > specialni sekvenci znaku pro interpret (sh, perl ...),
> 
> ??? Pokud myslite spatnou expanzi promennych, tak to s
> buffer-overflow nesouvisi. Zacinate tu hazet pojmy skoro jako
> jisty set*id.

to neni pravda. pan janousek to sice nenapsal uplne presne, ale v zasade
se neplete. buffer overflow skutecne pouziva "specialni sekvenci znaku
pro interpret", takzvany shellcode :)

> >  Ja v soucasne dobe pouzivam find / -mount -type f > file.txt no a potom
> > cyklus: for i in `cat file.txt` ; do md5sum -b $i >> md5sums.txt ; done
> 
> rpm -V se vam nelibi?

rpm -V je sice skvele, ale uz z pricipu je to ochrana nedostatecna,
nebot databaze kontrolnich souctu je ukladana primo na pocitaci a trochu
chytrejsi utocnik ji samozrejme muze modifikovat.
nemluve o patchnutem rpm.

z principu je nutne, aby nejen databaze, ale i programy, ktere provadeji
kontrolu byly na externim mediu. a abyste mel jeste vetsi kontrolu, je
dobre i bootovat vlastni kernel ;-)

> >  Myslim si, ze metoda ponekud tezkopadna, ale vysledek prinasi,
> > neexistuje vsak neco lepsiho?
> 
> Jiste. Hotove baliky, jako treba tripwire.

ja osobne pouzivam "lightweight" program l5, ktery jen generuje
checksumy. na porovnani mam vlastni skripty, na pozadani poskytnu.

ondrej

-- 
Ondrej Suchy
penize nepujcuji

mailto:ondrej.suchy na underground.cz
http://underground.cz/

Další informace o konferenci Linux