LINUX.ORG.RU

who и last -доверие

 


0

3

Команды who и last как мы знаем берут свой вывод из простых бинарных файлов, что ставит под сомнения их вывод.

Спорили с товарищем по этому поводу, возможно ли доверять этим командам в целом? Пришли к выводу что все будет конечно зависить от ситуации, если мы знаем что сервер скомпрометирован то тут уже никакого доверия быть не может. А как быть в более простых ситуациях? Должен ли админ в повседневной работе доверять их выводу? Что считаешь, ЛОР?

Альтернативы?


Вспомнился анекдот: никому нельзя верить, даже себе! Хотел ведь только пукнуть...

beastie ★★★★★ ()

Команды who и last как мы знаем берут свой вывод из простых бинарных файлов, что ставит под сомнения их вывод.

берут вывод из простых бинарных файлов => их вывод под сомнением.

Сестра, требуется срочно перенести пациента в толксы для обследования на предмет тяжелых логических травм.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Хочешь сказать отредактировать бинарный wtmp не так просто? Или я неверно понял йумор?

entefeed ☆☆☆ ()

Если сервер скомпрометирован так, что утекла учётка рута - ты не можешь доверять ничему из того что находится на этом сервере. Никаким данным, никаким логам.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от entefeed

Хочу сказать, что логический переход отсутствует. Вставь шага три промежуточных, тогда и будет о чем поговорить. Щас выглядит так, как будто ты пророчишь, что истина в текстовых файлах, а двоичные все врут. Или истина в троичных?

t184256 ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Это понятно, но а если мы представим следующие? 1. повседневная работа. 2. есть сервер, на котором происходят порой странные вещи, возможно он скомпрометирован (но точно неизвестно).

Интересует ваше поведение в даных ситуациях. Речь только о who, last.

hama ()
Ответ на: комментарий от Pinkbyte

Интересно, а есть ли хитрые руткиты, которые патчат ведро так, чтобы не было видно в /proc левых процессов?

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

Смеешься? Конечно есть. Вполне себе в виде модуля ядра, который не видно по lsmod. А если ты попал в ядро - то дальше жопа ясна

Pinkbyte ★★★★★ ()
Ответ на: комментарий от hama

Речь только о who, last.

Если речь только о том, кто и когда заходил на сервер, то без логирования этого на удаленный сервер гарантию дать нельзя.

И не важно в каком виде хранятся данные. Тот же systemd позволяет хранить логи с криптографической подписью, но во-первых, он такой не единственный, просто на сегодняшний день это самое распиаренное и продвигаемое решение, а во-вторых - это не панацея. Безусловно лучше, чем отсутствие таковой подписи вообще, но - не панацея.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Eddy_Em

Есть как userspace (LD_PRELOAD), так и kernelspace. Причем не только левых процессов не видно, но и сокетов, файлов. Могут еще PAM модифицировать так, чтобы можно было залогиниться под определенным логином удаленно.

ValdikSS ★★★★★ ()

Вывод команд who и last в принцепе расчитан на честных людей, не важно, из простых файлов они это берут или из шифрованных. Они показывают информацию о тех, кто зашёл в систему открыто — получил сессию и сделал об этом запись в соотв. файлы. А, допустим, если дырка в php-скриптах, то при её эксплуатации никакой сессии не создаётся, в wtmpx ничего не пишется и ничего от туда удалять не надо.

доверять их выводу?

Если админ не параноик, то должен доверять, а если параноик, то всё одно ничему не поверит, в том числе и этому форуму.

mky ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.