LINUX.ORG.RU

Аудит безопасности без полной переустановки ОС

 


2

3

Давайте представим ситуацию - вам в руки попадает сервер c предустановленным <distroname>. Какие предпримите действия, чтобы убедиться, что установленный дистрибутив не содержит «подводных камней» в виде бэкдоров и прочих непотребностей?

P.s.

distroname - любой из наиболее распространенных дистров.

★★★★★

Давайте представим ситуацию - вам в руки попадает сервер c предустановленным <distroname>. [...]

distroname - любой из наиболее распространенных дистров.

думаю, перед тем как что-либо предпринимать — необходимо загрузиться в LiveDVD и запустить <utilityname> ,

где utilityname — это соответствующая утилита для проверки контрольных сум установленных файлов пакетов.

user_id_68054 ★★★★★ ()
Ответ на: комментарий от user_id_68054

Можно сделать грубее и навреняка - запуститься под текущим дистром, предварительно подчистить репозитории, оставив стандартные и сделать что-то типа:

yum -y reinstall \*

или

aptitude reinstall '~i'

Но это не спасает от возможных самописных бэкдоров

Siado ★★★★★ ()
Последнее исправление: Siado (всего исправлений: 1)

Аудит безопасности без полной переустановки ОС

Полумера.

edigaryev ★★★★★ ()

Т.е. варианты аппаратных закладок не рассматриваются вообще что ли?

sT331h0rs3 ★★★★★ ()

можно сделать эталонную инсталляцию дистра той же версии и сравнить бинарники, конфиги, init-скрипты

Harald ★★★★★ ()
Ответ на: комментарий от Siado

Зачем reinstall то? Должен быть вариант «проверить целостность» установки пакетов.

bhfq ★★★★★ ()
Ответ на: комментарий от sT331h0rs3

Ну почему же, можно и аппаратные рассмотреть =)

Siado ★★★★★ ()

Для начала проверить last и bash_history, может уже уже этого будет достаточно, чтобы понять, что дистрибутив не каноничен.

anonymous_sama ★★★★★ ()
Ответ на: комментарий от bhfq

Ну есть конечно и такой вариант. Впрочем по надежности, что полная переустановка, что проверка целостности особого эффекта не дадут, т.к. изменение конфигов может остаться незамеченным (rpm -Va и тому подобное может «недоглядеть» конфиги). Оптимальный способ - это после голой установки сделать какой-нить AIDE, но это под сабж не подходит =)

Siado ★★★★★ ()
Ответ на: комментарий от Harald

можно сделать эталонную инсталляцию дистра той же версии и сравнить бинарники, конфиги, init-скрипты

К стати весьма действенно

Siado ★★★★★ ()
Ответ на: комментарий от Harald

можно сделать эталонную инсталляцию дистра той же версии

А если там будет Gentoo?

edigaryev ★★★★★ ()
Ответ на: комментарий от edigaryev

А если там будет Gentoo?

А эту систему следует считать скомпрометированной безусловно.

Gotf ★★★ ()
Ответ на: комментарий от bhfq

Должен быть вариант «проверить целостность» установки пакетов.

Нормальный руткит попросит утилиту ответить, что целостность не нарушена. Тут только livecd/переустановка.

xtraeft ★★☆☆ ()

Взять расписку с предыдущего владельца с согласием нести материальную и уголовную ответственности. Всё остальное слишком долго и дорого, дешевле с нуля собрать новый сервак.

Goury ★★★★ ()

делаешь dpkg --get-selections |cut -f1 > /pkgs
берешь livecd убунту или дебиан
монтируешь фс в /mnt
настраиваешь apt как в /mnt
mkdir /mnt/pkgs.d
cd /mnt/pkgs.d
apt-get download $(cat /mnt/pkgs)
и ставишь dpkg-ом в другой рут
или apt-get install --reinstall $(cat /mnt/pkgs) -o APT::Install-Root=/mnt/
man dpkg
man dpkg-deb
man apt
man apt.conf

ubuntuawp ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.