Kontrola integrity souborů na serveru

[R]

Zdravím, jak by jste doporučili zabezpečit server (Ubuntu - učím se) nějakou kontrolou integrity ohledně kompromitace roota.

V momentě kdy mi něco nějak čapne roota, může nahradit databázi, nebo samotnou aplikaci typu chkrootkit atd., nebo přeorat nastavení v cronu a mám po ptákách. Aplikaci i databázi můžu mít zašitou na read-only mediu, ale tomuhle nezabráním.

Díky za každý tip. R.

[Reklama]

[Mrkva.]

Kontrolní databáze i testovací aplikace by měla být na RO médiu. Ale nejlepší je samozřejmě testovat z nějakého live systému.

[R]

Tj ale jak zabránit kompromitaci toho, co to bude spouštět? Když budu mít RO oboje - ale nic to nespustí - mám peška :/

[branchman2]

Vytiahnut disk & mountnut v inom Linuxe a tam skontrolovat checksumy. Ani to nie je na 100%, utocnik si niekam moze pridat vlastnu aplikaciu a take moznosti su nekonecne (=je to takmer nekontrolovatelne).
Ked budes testovat aplikaciou z RO media oproti sumam na RO mediu, stale je moznost podvrhnut ine aplikacie pre utocnika a ine pre ucely kontroly (kernel modul, uprava ld.so, LD_PRELOAD).

[R]

Jenomže v ideálním světě bych musel mít nejen RO kupříkladu aide a rhkuntera a jejich db ale zároveň nějak hlídat i to, že je něco neodstřihne v cron.

[Reklama]

[branchman2]

Jenomže v ideálním světě bych musel mít nejen RO kupříkladu aide a rhkuntera a jejich db ale zároveň nějak hlídat i to, že je něco neodstřihne v cron.

A nielen to. Este aj to, ze root nemountne vlastny filesystem cez RO aide a rkhuntera alebo nespravi vyssie opisane triky s kernel modulom alebo ld.so.

[R]

V tomto směru se mám ještě co učit díky za tip. Co se dá v praxi považovat za vhodné zabezpečení? Zkouším Trisentry a Rkhunter, ale u obou se bojím že v případě kompromitace bude po nich dřív než přijde čas kontroly.

[branchman2]

V tomto směru se mám ještě co učit díky za tip. Co se dá v praxi považovat za vhodné zabezpečení? Zkouším Trisentry a Rkhunter, ale u obou se bojím že v případě kompromitace bude po nich dřív než přijde čas kontroly.

V praxi asi jedine nepustat veci pod rootom (dat si pozor na SUID binarky), mat aktualny kernel, zrusit programy vyzadujuce roota alebo ich aspon obmedzit na vybrane IP adresy. Ja mam v suvislosti s obmedzenim IP nastavene posielanie mailov v pripade "divnych" okolnosti ako je napr. neuspesny pokus o prihlasenie.
Kontroly pomocou znamych programov su dobre len v pripade, ze o nich utocnik nevie alebo ich necaka. Inak je to strata casu.

[KapitánRUM]

Předpokládejme, že mám server, na kterém běží Apache, PHP a nějaká aplikace, která je prostě děravá. A i při dodržení všech best practices nelze 100% zaručit, že nedojde ke kompromitování serveru. Jakým způsobem kontrolujete, že server nebyl kompromitován?
Zákoutí systému obsahuje různá místa, kam je možné něco schovat a pak hledej šmudlo.
A jak má tedy šmudla hledat?

[Pindal]

Šmudla hledá třeba na serveru kde neběží žádná jiná služba a ostatní servery tam jen logují.

[chsajarsa]

Pomerne uzitecna vec v tomhle ohledu auditd. Da se v nem nastavit, ze hlida volani jadra pro zmenu urciteho souboru a pak posila takovehle vystupy:
time->Tue Nov  8 14:31:21 2011
type=PATH msg=audit(1320759081.540:556): item=0 name="/etc/passwd" inode=525257 dev=08:02 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:etc_t:s0
type=CWD msg=audit(1320759081.540:556):  cwd="/home/menitel_passwd"
type=SYSCALL msg=audit(1320759081.540:556): arch=c000003e syscall=2 success=yes exit=3 a0=7eb440 a1=0 a2=0 a3=7fffbde82de0 items=1 ppid=7029 pid=7043 auid=501 uid=501 gid=501 euid=501 suid=501 fsuid=501 egid=501 sgid=501 fsgid=501 tty=pts0 ses=26 comm="vi" exe="/bin/vi" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="password-file"

Samozdrejme je zaklad posilat logy jinam a analyzovat je na dobre zapeznepecenem systemu.

T.

[R]

@Pindal: Bohužel mtí vlastní server jen na logování je u domácího serveru "na učení" už trochu luxus. Mám to sice v plánu, ale zatím bych to rád nahradil zasíláním logů na mail.

@chsajarsa: Díyk za tip, vypadá velmi zajímavě!

Přemýšlel jsem nad něčím, co by dokázalo zaslat jakoukoliv aktivitu provedenou pod rootem na mail. Protože pokud by dorazil mail o tom, že root něco dělá v době kdy nejsem u pc a není nic plánováno, bylo by to podezdřelé. Tato aplikace by pak sama byla hládaná např. Tripwirem. Při útoku by mohli schodit jedno nebo druhé - ale ne oboje naráz. Takže vždy odejde alespoň jedno upozornění.

Nenapadá mě ale jak zařídit ono upozornění na jakoukoliv aktivutu roota. Zkouším swatch, myslíme že je to cesta?

Díky všem za tipy, R.