On Tue, 25 Jun 2002, Canadilla, Pedro wrote:
> Hola Antonio,
>
> Creo que es una pregunta realmente interesante. Creo que
> desarfortunadamente, no existe ninguna medida b�sica (me refiero a comando o
> programa que lo haga). Seguramente, alg�n programa existir�.
>
> Por supuesto, es realmente sencillo a nivel de c�digo del n�cleo, en las
> funciones para que un root cambie a user y viceversa, se puede hacer que se
> haga un fprintf(...) ; en un fichero nuestro. As�, aunque no podamos evitar
> el que se realice la intrusi�n por exploit, podemos tener "algo" que nos
> ayude a identificarlo.
fprintf no me parece util. Puedes no estar delante de la consola cuando
ocurra el ataque. Si el atacante usa un exploit directamente
pasar� de un proceso de root aparentemente inofensivo a un proceso de
root que no lo es. El proceso menos inofensivo en manos de un atacante
es una shell de root.
> Pero eso no deja de ser un poco "chapu". Un administrador deber�a sacar un
> tiempo para probar aplicaciones como satan, para encontrar vulnerabilidades.
No se si satan se habr� actualizado lo suficiente. Es algo antiguo pero
l�gicamente si habr� cosas que puede detectar. Yo no estoy muy al d�a.
Yo lo que creo es que cada vez que arranque una shell, deber�a
comprobar sus propios privilegios y si ha sido arrancada con privilegios
de root deber�a mandar a syslog un LOG_WARNING incluyendo informaci�n
de su programa padre en caso de que este sea distinto de su y de login.
Bueno la protecci�n de los logs tambi�n es otro tema importante claro.
Bastar�a a�adir unas pocas l�neas de c�digo al inicio de la shell.
Lo malo es que una shell no tiene nada de especial. Es un programa
normal y corriente y cualquiera podr�a hacerse una shell para usarla
durante el ataque, aunque para eso yo creo que deber�a de estar
bastante dentro.
> Espero sinceramente que te ayude en algo, y aprovecho estas l�neas para
> mandarte un cordial saludo.
Muchas gracias.
Un saludo
Antonio Castro
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
/\ /\ Ciberdroide Inform�tica (Tienda de Linux)
\\W// <<< http://www.ciberdroide.com >>>
_|0 0|_
+-oOOO--(___o___)--OOOo----------------------------------------------------+
| . . . . U U . . . . Antonio Castro Snurmacher [EMAIL PROTECTED] |
| . . . . . . . . . . |
+()()()----------()()()----------------------------------------------------+
| *** 1.700 sitios clasificados por temas sobre Linux en ***Donde_Linux*** |
| <<< http://www.ciberdroide.com/misc/donde/dondelinux.html >>> |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
