Utajena modifikace souboru
Milan Kerslager
milan.kerslager na spsselib.hiedu.cz
Pondělí Leden 3 11:02:32 CET 2000
Milan Pikula - WWW wrote:
> On Mon, 3 Jan 2000, Ondrej Koala Vacha wrote:
> W>Po jednom z mnoha spusteni perl zahlasil, ze DateEntry.pm obsahuje
> W>nepripusteny znak. A opravdu, jedno rovnitko v tomto souboru bylo
> W>nahrazeno za \305, pritom vsak datum modifikace nebylo nastaveno (tedy bylo na jedno
> W>datum v listopadu, kdy probehla radna modifikace).
> W>
> W>Co si o tom mam myslet? Je mozne menit soubor bez nstaveni data?
>
> Je mozne menit subor a POTOM zmenit datum. man touch
Datum a cas je uveden v i-nodu, takze pokud mate pravo zapisu do
souboru, muzete menit i i-node (tj. i vsechny casu v nem uvedene). Pravo
zapisu do adresare nepotrebujete. Pokud byste chtel podchytit takoveto
akce, musel byste mit zapnuty audit a pak prohlizet logy, ktere se budou
vytvaret (pro nastavene udalosti - asi jich ale bude hodne).
Bohuzel - protoze je Linux Unixem (POSIX), existuje v systemu buh:
'root'. A tehle root muze vsechno, tj. i menit tyto logy. Pokud by se
Vam to nelibilo (chcete zajistit vyssi bezpecnost systemu), budete
potrebovat misto Unixu napr. VMS, OS400 apod. V techto systemech jsou
nektere veci (pridelovani prav, zakladani uzivatelu, sprava logu,
nastavovani systemu, ...) oddelene a vykonavaji je ruzni
'administratori' (ekvivalent tri klicu od trezoru v bance + 3 lidi,
kteri se musi sejit, aby trezor otevreli). Navic neni mozne logy
libovolne modifikovat (lze vsak logovani zastavit, log vycistit, provest
akci, logovani zapnout, ale i tak zustane v logach alespon zminka o tom,
ze kdosi zapnul logovani).
Takze zaver zni:
1) nemate v systemu diru (tj. exploit + nasledny backdoor)?
2) nemuze to byt HW problem (pad systemu, kernel oopsy, ...)
3) ve vasem pocitaci strasi :-)
--
Milan Kerslager
E-mail: milan.kerslager na spsselib.hiedu.cz
WWW: http://www.spsselib.hiedu.cz/~kerslage/
Další informace o konferenci Linux