Prunik hackerem?

Vaclav Stepan w na linux.fjfi.cvut.cz
Čtvrtek Únor 17 15:09:09 CET 2000


On Thu, Feb 17, 2000 at 10:46:28AM +0100, Michal Belicek wrote:
> > Tripwire (nebo jakykoliv ekvivalent). Ted je na nej uz trochu pozde,
> > ale priste hned po nainstalovani systemu si s nim udelat soucty
> > vseho nemenneho, seznamy prav linku apd a poustet ho pravidelne
> > z nejakeho FYZICKY read only systemu. Umi zacit hulakat, pokud najde
> > nejakou zmenu. Cron a spol jde samozrejme obabrat, takze poustet
> > obcas i rucne.
> 
> Jaky fyzicky read only system doporucujes?
> 

Mohl by Vam pomoci LIDS (www.lids.org). Neni `fyzicky', ale pokud
nemate volny stroj na logy a fyzicky ro medium, mohl by se hodit.

V zasade jde jen o (pred casem zde kritizovane) pridani dalsi 
bezpecnostni urovne `nad roota' --- v extremu muzete rici:
``ten a ten adresar/soubor je ro, pripadne append-only, cas smi menit
jen ntpd, nikdo nesmi mountovat disky, nikdo nesmi primo sahat do pameti
nebo na disk, zabijet ty a ty procesy, etc.''

pripadne lze ochranu vybraneho prostredku selektivne vypnout pro program
(identifikovan pres inode, jake bylo pri startu a musi byt ro) nebo
heslem pro Vas proces (potomci shellu mohou, nikdo jiny ne). 

Cili kdyz se nekdo nabori, pak je-li system nastaven hodne striktne,
nejhorsi (doufam) co muze udelat (jako root) je, ze floodne logy.

Na stroji, kde se toho moc nemeni je to slusne pouzitelne a zatim
jsem neslysel, ze by v tom nekdo nasel diru. Jenomze --- kdyz na tom
stroji chcete normalne pracovat, je to trochu pruda.

Pekny den 

-- 
Vaclav Stepan
w na linux.fjfi.cvut.cz


Další informace o konferenci Linux