Задача по безопасности Linux

Например по счетчику mount'ов FS. А для полагающихся на "авось" давным давно придуманы crypto-loops.

/var/log/messages хранит все логи работы ядра -в том числе подключение и отключение устройств

Счётчик монтирований - подделывается (а при монтировании r/o вообще не меняется), любые логи - тем более. Достоверных способов что-то установить - нет.

Если существуют подобного рода опасения, то стоило бы начать использовать шифрование файловых систем..

1. Отключить загрузку отовсюду, кроме винта, поставить пароль на биос и загрузчик и честно сказать, что злоумышленник не загрузился.
2. Число монтирований у файловой системы, atime на конфиденциальном файле (всё подделывается как два пальца об асфальт).
3. Отпечатки пальцев на мыше и клавиатуре, анализ на ДНК всего мусора, который из клавиатуры вытряхнули.

crypto-loops это хорошо, но задача – установить, что вообще была попытка скопировать конф. инфу

пароль на биосе или нет, или известен. средствами linux'а никак?

>Счётчик монтирований - подделывается (а при монтировании r/o вообще не >меняется), любые логи - тем более.

а что человек вошел локально под рутом или с набором эксплоитов?

Даже если так -просто пишите логи на удаленный сервер (штатный syslogd это умеет)

Если у злоумышленника есть физический доступ к компьютеру (он может загрузиться со своего носителя), то любые побочные результаты деятельности можно подменить.

>Если у злоумышленника есть физический доступ к компьютеру (он может >загрузиться со своего носителя), то любые побочные результаты >деятельности можно подменить.

Если имело место подобное -тогда да -пиздец достигнут тк против лома нет приема

>а что человек вошел локально под рутом или с набором эксплоитов?

чел загрузился со своей осью. если не ошибаюсь если не ошибаюсь, наше ядро не запустится, логи вестись не будут

Вы бы заригистрировались, или подписывались как-нибудь, а то разобраться между по крайней мере двумя анонимусами крайне тяжело.

> Счётчик монтирований - подделывается (а при монтировании r/o вообще не меняется), любые логи - тем более. Достоверных способов что-то установить - нет.

Собственно это было единственное предположение, с неявным допущением о невнимательности "хаккера". Все остальное либо подделывается, либо не затрагивается (ro и все *time'ы неизменны).

> crypto-loops это хорошо, но задача – установить, что вообще была попытка скопировать конф. инфу

Газетки почитывать... если конкуренты оживились или налоговая приехала - значит "слив засчитан".

>Вы бы заригистрировались Прошу прощения, буду Dpon. задачу задал препод. существует ли вообще программный способ узнать о НСД в linux?

>существует ли вообще программный способ узнать о НСД в linux?

вообще говоря для подобных целей делают своеобразный черный ящик -машину находящуюся в одной сети с защищаемой машиной но обязательно через хаб (не свич) и получающей все фреймы с сети и логирующей их. При этом сетевой кабель идущий к "черному ящику" специально переделывают -убирают пару проводков отвечающих за отсылку ответов с компьютера-черного ящика -этим достигается абсолютная скрытность такого логирования тк такую машину в сети засечь никак нельзя.

Предположим я видел как злоумышленник загрузился и скопировал инфу, могу я это доказать программным способом?

>Предположим я видел как злоумышленник загрузился и скопировал инфу, >могу я это доказать программным способом?

Ты киборг и имеешь встроенную видеокамеру? Если нет -то нет

>задачу задал препод.

А ты, вместо того, чтобы почитать спецлитературу полез спрашивать на ЛОРе. :)

>существует ли вообще программный способ узнать о НСД в linux?

Если об безопасности позаботились заранее, то да. Отключение физического доступа, переброс логов на другую машину, контроль и запись всех нештатных ситуаций в работе ОС, активное использование имеющихся средств защиты --- в общем дофига всего есть для всесторонней борьбы с вредителями.

Заводишь злоумышленника в комнату с надписью "Служба безопасности", сажаешь в кресло, берешь в правую руку томик руководства к какой-нибудь проге (лучше всего от IBM --- они самые толстые, почти легендарные "жёлтые страницы"), разъясняешь злоумышленнику, что он глубоко не прав и лучше пусть пишет явку с повинной.

>что он глубоко не прав и лучше пусть пишет явку с повинной

:)))

возможен "остаточный мусор" на жестком? что-нибудь вроде swap-файла?

>Заводишь злоумышленника в комнату ... лучше использовать мокрые полотенца (не оставляют синяков) или для особо упорных - т.н. сыворотку правды

>возможен "остаточный мусор" на жестком? что-нибудь вроде swap-файла?

да - можешь попробовать проанализировать swap-раздел (если он не зашел из под своей системы с флешки|сидюка|флопа) но это тоже можно исказить

Если он зашел не из своей системы, а из основной, то следов дофига остаётся и без свопа.

>возможен "остаточный мусор" на жестком? что-нибудь вроде swap-файла?

Если загружался со своего, специально сделанного носителя, то никакого мусора в основной системе он оставить не должен --- исключения уже выше написали. knoppix и многие другие неспециальные livecd монтируют своп для своей работы и это можно отследить.

>knoppix и многие другие неспециальные livecd монтируют своп для своей >работы и это можно отследить

хорошо. попробую дать такой ответ преподу. может сканает... спасибо)

>вообще говоря для подобных целей делают своеобразный черный ящик

поделись опытом, как сетевая этой машины будет линк держать?

>поделись опытом, как сетевая этой машины будет линк держать?

в ядре отключается проверка на наличие соединения. Поищи здесь где-то недавно выкладывали про это

Можно, допустим логи на старенький матричный принтер печатать =)

>>вообще говоря для подобных целей делают своеобразный черный ящик

>поделись опытом, как сетевая этой машины будет линк держать?

Где-то в документации или на сайте snort есть.

> возможен "остаточный мусор" на жестком? что-нибудь вроде swap-файла?

если бы я был злоумышленником, я бы не монтировал бы жесткий диск вообще, а скопировал бы его по сети (или на локальный usb-диск) поблочно.

при правильном выполнении этой процедуры, на ваш жесткий диск ничего не будет записано. ну, точнее, на стандартные области диска ничего не будет записано. что появится на инженерных цилиндрах - зависит от типа диска, контроллера и прочего.

если стоит задача подтвердить доступ к диску, не считаясь со средствами, я бы задумался о дампе памяти - оперативной, и контроллеров. заодно бы сделал полную копию диска - есть некоторое количество продуктов, которые могут это сделать. потом бы искал в этих данных.

разумеется, если атакующий не задумывался о сокрытии своих следов, то все куда проще - MAC-время файлов, время монтирования fs и тому подобное

конечно, я бы оперативную память за собой переписал образом, который бы я прочитал при загрузке с livecd/liveusb =)

Идея хорошая, если "физический доступ однократный - например при краже машины", в случае если злоумышленник имеет физический доступ регулярно - ничто не мешает ему "подправить" чуть-чуть сценарии, ядро и т.д. - следовательно может помочь что-то типа загрузки (всегда) с CD/DVD/Flash с которого будет грузиться ядро, сценарии загрузки,... + проветрятся контрольная сумма/sig каждого запускаемого файла и т.п., но вначале стоит пройти обследование у дохтура на предмет возможной паранои.

P.S. - пароль на биос - это уже даже не смешно, счетчики монтирования и т.п. "его ядро" и записывать не будет.

выше в посте речь о шифровании разделов....

Можно регулярно мониторить параметр SMART-а, отвечающий за кол-во включений-разгонов диска. Но начинать надо _до_ вторжения.

Вообще вроде как в Ethеrnet идет своеобразый пинг между свичом и сетевой картой, и если так не отвечает - то порт отключается, но пинг продолжается. Если вдруг пришел ответ -то порт включается. Скажу честно, это недавно говорил преподователь по Сетям, причин не верить ему у меня нету. Замечу, что это "фича" не декларирована стандартом.

> Замечу, что это "фича" не декларирована стандартом.

посмею не согласится, в стандарте "декларируются" все фичи - на то он и стандарт. Насколько я знаю, физический линк на сетевой плате, либо на порту коммутатора появляется в результате "обнаружения" устройством нагрузки определенного свойства (из электроники), и как только данная нагрузка обнаружена, устройство "включает" порт (загорается лампочка), и далее уже вступает в работу следующий низший сетевой уровень.

Я конечно сорри, но блин в Линуксе - не имея учётной записи имея сто мильёнофф куч носителей как ты блин залогинисся то???? объяснитя чо там искать то, умнеги?

вопрос с лайф-сиди и бутом с екзотицких носителей сбрасываем, ибо, у "злоумышленника" был "физицкий" доступ до компа - и чо тама искать опосля етага?

Если грузились со своего носителя, то наверняка только с помощью видео-камеры, которая снимала процесс работы с компом. Изнутри достоверно никак. Система видео-наблюдения обойдется вероятно дешевле такого рода экспертизы.

Ещё такой ньюанс: если комп находится в неохраняемом помещении, то его могут прос то выкрасть вместе с пломбами :) Или если в одно утро обнаружится, что системный блок на месте, а монитора, клавиатуры и мышки нет, вы будете вызывать криминалистов, снимать отпечатки пальцев и обуви, а эксперты по безопасности проводить дорогостоющую экспертизу компа? :)

>Я конечно сорри, но блин в Линуксе - не имея учётной записи имея сто мильёнофф куч носителей как ты блин залогинисся то???? объяснитя чо там искать то, умнеги?

Тебе сюда: http://www.ipmce.su/~lib/osn_prav.html