LINUX.ORG.RU
НовостиДокументация

Chkrootkit Portsentry Howto


0

0

Фалько Тимме написал краткое руководство по проверке линукс-бокса на предмет червей, руткитов и прочей дряни, и по обнаружению прочей хаксорской активности.

Написано действительно очень кратко, так что есть смысл отправить автору документа свои предложения и дополнения.

>>> Chkrootkit-Portsentry-Howto v1.0

anonymous

Проверено: maxcom

maxcom, когда новость появляется через _сутки_ после того, как она была на lrn.ru, наверное это уже не интересно, как минимум, а?

anonymous
()
Ответ на: комментарий от anonymous

при чем тут lrn?

новость была запощена сюда по мотивам librenix.com

anonymous
()
Ответ на: комментарий от Deleted

Так ты уже прочитал, орел? Ух быстрый ты..

anonymous
()

Ой, а можно я тоже напишу такую хавту:

=== Cut ===

# apt-get install chkrootkit logcheck logcheck-database portsentry

=== Cut ===

Чем не хавта? ИМХО, лучше бы автор рассказал, как правильнее писать эти самые logcheck-database, чтобы приходили действительно необычные куски логов... Просто вспоминаю мучения, когда это чудо ставил.

lumag ★★
()
Ответ на: комментарий от lumag

> Чем не хавта? ИМХО, лучше бы автор рассказал, как правильнее писать эти самые logcheck-database, чтобы приходили действительно необычные куски логов... Просто вспоминаю мучения, когда это чудо ставил.

Так напишите ему!

anonymous
()
Ответ на: chkrootkit sucks! от Dselect

> Прямые руки + SELinux|RSBAC. И никаких гвоздей!

Может вы и правы, но разве file integrity cheker чему-то помешает? При условии что он правильно настроен, естественно.

Потом, есть проблема начинающих линуксоидов (которые создают статистику взломов linux), и для этой публики чем проще и нагляднее средства защиты, тем лучше.

anonymous
()
Ответ на: комментарий от anonymous

> но разве file integrity cheker чему-то помешает?

Дык мало чему поможет. Если уж кто-то вставил в ядро какую-то дрянь, то фиг чего с этим сделаешь.

> При условии что он правильно настроен, естественно.

Отож. А его правильно настроить -- это посложнее будет, чем написать policy для SELinux.

> Потом, есть проблема начинающих линуксоидов (которые создают статистику взломов linux),

Им надо усвоить, что проблемы с безопасностью в _ЛЮБОЙ_ ОС возникают прежде всего от кривых рук, и накакого средства, кроме RTFM, на самом деле нет.

> и для этой публики чем проще и нагляднее средства защиты, тем лучше.

Пусть это будет просто, но не проще, чем на самом деле. (C) А. Эйнштейн.

Dselect ★★★
()
Ответ на: комментарий от Dselect

> Если уж кто-то вставил в ядро какую-то дрянь, то фиг чего с этим сделаешь.

При условии, что эта дрянь ничего не делает. Как только начнет процессы делать/порты слушать - себя выдаст (как ни скрывай порт/процесс в ps и tcpdump, он все равно есть, и его можно найти). А если спрятать так, что виден не будет - работать не будет тоже. Аминь.

anonymous
()
Ответ на: комментарий от anonymous

> Как только начнет процессы делать

А зачем ему этим заморачиваться? Можно все и внутри ядра делать...

> он все равно есть, и его можно найти

Да? Вообще-то даже штатными средствами можно его запрятать так, что с ним смогут взаимодействовать лишь ограниченное число процессов. Например, заводим домен secret, entry point делаем только одну программу и только для одного домена | роли, запрещаем IPC с другими доменами. После этого найти этот процесс можно будет лишь по трещанию hard'-а :)

Dselect ★★★
()
Ответ на: комментарий от Dselect

А как тогда насчет таких вещей, как ettercap?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Документация