Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Dawno dawno temu na jak zaczynałem przygodę z unixami na FreeBSD (wersja 4 naprawdę dawno to było ;) ) był fajny port (paczka) do audytu bezpieczeństwa. Można było wskazać katalogi (zazwyczaj systemowe) i program ten tworzył sumy kontrolne wszystkich plików. Zawsze można było odpalić i sprawdzić czy sumy się zgadzają. Fakt że trzeba było pamiętać żeby sprawdzać przed aktualizacją softu a po zrobić update.
Nie pamiętam jak ten port się nazywał ale pewnie w debianowym repo będzie coś podobnego? :) może nie jest to super zabezpieczenie bo po skutecznym ataku (zdobyciu roota) na niewiele się zda :) noo można by było trzymać pliki z sumami kontrolnymi na innej maszynie itp. ale już nie komplikuję :)
tak czy siak rozwiązanie jest to dosyć fajne dla maszyn nie mających krytycznego znaczenia a raczej dla takich szarych myszek co cały czas są wpięte w sieć nie mają większych zadań i loguje się na nie rzadko :) zapuszczenie tego w crona i powiadamianie w razie niezgodności wydaje się ciekawym rozwiązaniem.
Offline
Hmm, może fswatch? Ogólnie pomysł w moim odczuciu nie zbyt ciekawy, dlaczego? Jeżeli ktoś zdobędzie root'a łatwo może siebie w systemie ukryć przy pomocy jakiegoś rootkita, albo pozmieniać wpisy w bazie danych i na to samo wyjdzie. Wykrycie takiego delikwenta mogłoby nastąpić tylko w wypadku gdy, zdobył roota i nie zdążył jeszcze unieszkodliwić naszego "zabezpieczenia". Czy jednak ktoś będzie dodawał wpis do corn'a który będzie opalał co pięć minut program który będzie liczył hashe dla plików, przecież system ma być wydajny a takie intensywne korzystanie z dysku w znacznej mierze może ten system spowolnić. Reasumując w moim odczuciu gra nie warta świeczki.
Ostatnio edytowany przez MrWarum (2010-03-15 16:17:13)
Offline
odpalać co mięć minut nie ma sensu jak pisałem to dla maszyn na których loguje się rzadko więc wystarczy sprawdzać integralność plików raz na tydzień
zabezpieczać można się tak że plik do sprawdzania poprawności haszy możę być na innym serwerze albo penie (zabezpieczonym przed zapisem) więc stanowi to utrudnienie dla napastnika, no chyba że ma fizyczny dostęp do maszyny :)
[b]bns[/b] - dzięki poczytam :)
Ostatnio edytowany przez life (2010-03-15 20:40:50)
Offline
Ja ma coś takiego http://www.rootkit.nl/projects/rootkit_hunter.html
Co dzień przesyła raport, który może wyglądać tak:
Warning: The file properties have changed: File: /bin/login Current hash: 5ca80f48aab7b01ef8ac5bba4019a94a3b0996a4 Stored hash : 484d4f850a41645bb9f7b58a852c2631dc161bab Current inode: 317637 Stored inode: 317645 Current file modification time: 1258209718 Stored file modification time : 1227369664
Offline
Ja ma coś takiego http://www.rootkit.nl/projects/rootkit_hunter.html[/quote]
Jakiś czas temu oglądałem, prezentację o rootkitach (bodajże z defcon17, ale nie jestem pewien) i prelegent dosyć ironicznie wypowiadał się na temat rootkithuntera. Mniej więcej brzmiało to tak, że nie zna żadnego niepublicznego porządnego rootkita, którego by rootkithunter wykrywał... Ale zawsze lepiej mieć niż nie mieć.Ostatnio edytowany przez MrWarum (2010-03-15 21:25:59)
Wir müssen wissen
Wir werden wissen
Offline
Time (s) | Query |
---|---|
0.00013 | SET CHARSET latin2 |
0.00006 | SET NAMES latin2 |
0.00123 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.219.228.88' WHERE u.id=1 |
0.00101 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.219.228.88', 1727449186) |
0.00042 | SELECT * FROM punbb_online WHERE logged<1727448886 |
0.00093 | DELETE FROM punbb_online WHERE ident='3.129.210.91' |
0.00081 | SELECT topic_id FROM punbb_posts WHERE id=142960 |
0.00088 | SELECT id FROM punbb_posts WHERE topic_id=16359 ORDER BY posted |
0.00079 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=16359 AND t.moved_to IS NULL |
0.00008 | SELECT search_for, replace_with FROM punbb_censoring |
0.00133 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=16359 ORDER BY p.id LIMIT 0,25 |
0.00096 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=16359 |
Total query time: 0.00863 s |