https://www.opennet.me/openforum/vsluhforumID3/3860.html Новый перевод из собрания сочинений Дрю Лавинь - о защите от троянов и руткитов. Кратко рассказано о методах определения факта внедрения троянской программы в систему, проверка целостности ФС при помощи tripwire.<br><br>URL: http://unix.ginras.ru/freebsd/articles/trojan-and-rootkits.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=3997<br> https://www.opennet.me/openforum/vsluhforumID3/3860.html#12 Mon, 21 Jun 2004 12:30:40 GMT Алексей:<br>&gt; Тогда уже mount -o ro / & /usr + применение ACL & ext attrib<br>&gt; на FS это меньше бросается в глаза чем chflags.<br><br>RO на файловую системы - тоже неплохо, но в отличие от флагов, это пробивается командой mount при наличии root-прав.<br><br>&gt; Но каким образом это защитит если взломщик<br>&gt; _уже_ имеет права рута после взлома какого нить сервиса?<br><br>Даже root при суровом уровне защиты не может снять некоторые флаги. Если эти флаги защиты выставлены в т.ч. на стартовые скрипты и запускаемые ими программы, то для снятия этих флагов нужны ручные манипуляции при загрузке системы типа загрузки в однопользовательском режиме. Но эти манипулчции можно проводить только с консоли, но не по сетИ.<br>=&gt;, мы получаем взломоустойчивую систему. Правда, нужно ещё разобраться со списком файлов, которым необходима защита.<br><br>&gt; Надеятся, что взломщик не подчистит за собой всех логов -<br>&gt; и ты обнаружиш факт перезагрузки, мягко скажем неприходится.<br><br>Для этого можно наладить отсылку логов на спец.машину, доступ к которой возмо https://www.opennet.me/openforum/vsluhforumID3/3860.html#11 Mon, 21 Jun 2004 05:35:47 GMT Тогда уже mount -o ro / & /usr + применение ACL & ext attrib на FS это меньше бросается в глаза чем chflags.<br>Но каким образом это защитит если взломщик _уже_ имеет права рута после взлома какого нить сервиса ?<br>Надеятся что взломщик не подчистит за собой всех логов - и ты обнаружиш факт перезагрузки, мягко скажем неприходится. <br>База md5 от файлов не сильно тоже поможет - не так давно пролетал примерчик ядерного модуля который перехватывает открытие\чтение файла = и вполне может подсовывать эталонный файл под проверку и только довереному приложению показывать реальную картину.<br><br> https://www.opennet.me/openforum/vsluhforumID3/3860.html#10 Sun, 20 Jun 2004 15:41:22 GMT &gt;Глупость какая-то - автор знает о возможности замены программ, но предлагает полагаться <br>&gt;на netsts и sockstat. А вот выставить особо важным файлам флаг, <br>&gt;запрещающий изменение и переименование файла (man chflags), а затем усилить security_level <br>&gt;до неыозможности снять этот флаг - до этого автор не додумался... <br>&gt;:-( <br><br>Во-первых, это НЕ факт, что не додумался. Может же быть так,<br>что автор просто не написал об этом. Для другой статьи приберег.<br>В общем, как знать? Не глупо ли заявлять в таком случае о<br>глупости автора?<br><br>Во-вторых, ну написал бы автор про security level... и что? :-)<br><br>Его можно было бы обвинить в том, что не додумался до описания (или изучения) MAC<br><br> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html<br><br>"jail", (а может vmware?) и т. п. и т. д.<br><br>&gt;PS: До чего же обидно искать на этом сайте мудрости, а обнаружить, <br>&gt;что я умнее многих авторов... :-( <br><br>Чего тут скажешь... может быть вы ленитесь искать в другом месте<br>(или подсознательно этого избегаете)?<br><br>Во https://www.opennet.me/openforum/vsluhforumID3/3860.html#9 Sun, 20 Jun 2004 11:44:20 GMT &gt; Правильное решение. А потом, при обновлении системы, либо матерясь про себя<br>&gt; писать скрипт, который эти файлы будет отыскивать, либо отыскивать бумажку,<br>&gt; на которой записано, для каких файлов был изменен этот флажок.<br><br>Скрипты рулят - и устанавливать, и снимать флажок надо скриптом.<br><br>&gt; Плюс перезагрузка для того, чтобы поменять securelevel.<br><br>Дык фишка как раз в том, чтобы затруднить жизнь вломщику. Но как известно, всякий дополнительный замОк хояин будет вынужден открывать и закрывать.<br><br>&gt; Дмитрий, Вы теоретик до мозга костей, в этом мнении я утверждаюсь<br>&gt; всё больше и больше. Жизнь сложнее учебных методичек, знаете ли.<br><br>Вообще-то, мы тут обсуждаем как раз учебную методичку. Я не требовал поголовного применения этого метода, но упомянуть его надо было обязательно. https://www.opennet.me/openforum/vsluhforumID3/3860.html#8 Sun, 20 Jun 2004 11:10:54 GMT Правильное решение. А потом, при обновлении системы, либо матерясь про себя писать скрипт, который эти файлы будет отыскивать, либо отыскивать бумажку, на которой записано, для каких файлов был изменен этот флажок. Плюс перезагрузка для того, чтобы поменять securelevel.<br>Дмитрий, Вы теоретик до мозга костей, в этом мнении я утверждаюсь всё больше и больше. Жизнь сложнее учебных методичек, знаете ли. https://www.opennet.me/openforum/vsluhforumID3/3860.html#6 Sat, 19 Jun 2004 08:37:54 GMT Так чего бы не привнести в авторский коллектив своей мудрости? https://www.opennet.me/openforum/vsluhforumID3/3860.html#5 Sat, 19 Jun 2004 01:23:23 GMT Дмитрий, (оговорюсь: я не автор этой статьи) вы себе явно льстите :) https://www.opennet.me/openforum/vsluhforumID3/3860.html#4 Fri, 18 Jun 2004 19:05:51 GMT Глупость какая-то - автор знает о возможности замены программ, но предлагает полагаться на netsts и sockstat. А вот выставить особо важным файлам флаг, запрещающий изменение и переименование файла (man chflags), а затем усилить security_level до неыозможности снять этот флаг - до этого автор не додумался... :-(<br><br>PS: До чего же обидно искать на этом сайте мудрости, а обнаружить, что я умнее многих авторов... :-( https://www.opennet.me/openforum/vsluhforumID3/3860.html#3 Fri, 18 Jun 2004 18:54:00 GMT Да уж. Хотелось бы, чтобы редакторы не опускались до маразма, присваивая заголовки.