Prunik do RH 7.2

[Dracula007]

Ciao,
nejsem sice odbornik, patchovani kernelu jsem zatim nedelal, ale pokud
se nepletu, tak obecne plati ze zmeny v systemu, dostatecne chytre
skryvane patchem v kernelu, lze 100% odhalit pouze po rebootu z ciste
diskety (rescue disku, CD-ROM atd.) A v kernelu jde zmenit skutecne
vsechno.

Proste pokud mate sebemensi podezreni ze se vam tam nekdo naboural, je
lepsi ten server na 30 minut (treba v noci) shodit a zkontrolovat
(treba oproti databazi Tripwire, atd.) Jinak vas, alespon pokud jste
dostatecne zodpovedny admin, bude neustale hlodat svedomi jestli to
nahodou preci jenom neni hackle.

A jeste jedno upozorneni - to ze vypnete pri kompilaci kernelu podporu
modulu neni neprustrelna obrana. Dostatecne sikovny hacker do kernelu
ten modul stejne dostane. Jak to udelat, to se me neptejte,
podrobnosti jsem zatim nezkoumal (lenost je hrozna vlastnost, ja vim),
nicmene nekde na Netu o tom urcite najdete vic. Pokud si dobre
vzpominam, na podzimnim OpenWeekendu o tom mluvil treba Wilder
(www.wilder.sk), tak treba v jeho slidech "Hacker vs. Admin" (ci jak
se to jmenovalo) o tom najdete vic. Ukazovali tam cachry s LKM, ci jak
se ten modul jmenuje.

Bye
Dracula 007

Motto: To ze nejsi paranoidni jeste neznamena ze po tobe nejdou.

>> Jasne ze i udaje o zmene i-node, ktere ukazuje ls -cl lze falsovat, ale
>> uvedena kontrola presto obvykle vede k cili.
>> Porovnat obsah adresare /proc s vystupem ps -ed , ps muze byt podvrzene.

JK> I to lze zfalsovat nekterou z technik patchovani linuxoveho kernelu za 
JK> behu, takze /proc nebude odpovidat skutecnosti. (at uz trivialnie tim, ze 
JK> si nejaky modul na sebe presmeruje obsluhu prislusnych fs-syscallu, a 
JK> nektere polozky bude skryvat, a nebo ponekud sloziteji primo pres 
JK> /dev/(k)mem).