On 20 Nov 2001, Petru Paler wrote:
> Sau poti face hardlinks. Problema comuna (la hardlinks si la mount > --bind) e ca daca printr-un miracol oarecare userul face rost de root in > chroot, poate sa modifice binarele executate de ceilalti. > > Eventual daca binarele sunt pe un fs ext2 poti sa le faci chattr +i, dar > daca au facut rost de root probabil ca o sa gaseasca si o metoda sa > execute echivalentul lui chattr -i :) > > Pentru Dizzy: vezi si > http://user-mode-linux.sourceforge.net/case-studies.html > well chiar asa paranoic nu am ajuns ca la urma urmei rulez masina pe un vmware undeva :) eu zic asa ca deocamdata i can settle with: - nu exista vre-un executabil SUID root pe sistem (adica ori te logezi pe root ori estu looser till logout) - nu exista vre-un program care sa permita remote login (sshd, etc.., deci consola baiete!!) - vreau sa am userii normali intr-un mediu chroot fara prea multe programele (FARA gcc and stuff!) - kernelul este cu ultimul openwall - pentru a inlocui lids voi rula un tripwire periodic de pe un cd (si cu database-ul initial pe cd) - un firewall ipchains foarte restrictiv (nu numai ca restrictioneaza tot SYN pe INPUT dar si pe OUTPUT cu mici exceptii) - userii ruleaza rbash (restricted bash) si in afara sa lanseze comenzile din cale nu pot face altceva (nu pot folosi cd, rescrie PATH-ul etc...) vulnerabilitati identificate pana acum: 1. userii folosesc des pine, netscape DECI exista posibilitatea rularii cu drepturile userului a unor comenzi trimise de cineva (nu vreau sa comentez acum securitatea pine/netscape dar istoria se stie si mai stiu ceva: istoria se repeta!) 2. astfel intrat (presupunand ca face un telnet invers pe un port pe care il las pe output catre o masina pe care asculta el) are rbash in chrooted intr-un mediu complet fara SUID root 3. ce poate face? isi poate "uploada" prin mail/wget/lynx ce soft vrea, poate ca citeasca .bash_history si sa identifice comenzile care looserul le da cel mai des, si CEL MAi NASHPA: poate redefini comenzile (ssh de exemplu) deoarece rbash nu restrictioneaza si alias si el poate face un alias ssh la un executabil care l-a downloadat si astfel iti ia parolele !! intr-adevar nu o sa ia root pe masina dar nici nu ii trebuie daca masina este workstation si de pe ea intri pe servere and stuff :)) posibila solutie: activat process accounting si monitorizat des din root de pe consola si/sau modificat bash sa nu permita alias-uri si alte kestii dubioase... ---------------------------- Mihai RUSU "... and what if this is as good as it gets ?" --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
