|
|
| |
by Zbynek Pospichal
| | | |
Co je nejlepsi kvalifikace pro psani o unixove bezpecnosti?
Dnes mne na Rootu prekvapil jeden clanek, podepsany jmenem Michal Vymazal. Ironii tohoto jmena v souvislosti s computer security ponechame stranou. Clanek je bezesporu zajimavy nekolika vecmi - predne tim, ze autor pro restart inetd restartuje masinu. To by mel byt prvni znak toho, ze nejde o unixovskeho profesionala, nebot ten restartuje masinu pouze z nasledujicich duvodu:- vypnuti za ucelem manipulace s hardware
- vymena kernelu
- instalace quoty
- pad jadra systemu cili crash (na zavedenych serverech nejmene casty duvod)
. K restartu inetd postaci na Linuxu prikaz killall -HUP inetd (na jinych systemech to nezkousejte, tam prikaz killall dela neco ponekud jineho, co konkretne, to nejlepe zjistite, az jej nekdy spustite s rootovskymi pravy ;-) a nasledne preventivne smazete), na jinych systemech s bash shellem (ostatne na linuxu samozrejme taky) pak take pomoci: kill -HUP `ps -x | grep inetd` (jasne, ani tohle neni idealni varianta, nicmene muzete ji pomoci vysekani cisla procesu z radky v pokracovani pipe podstatne zdokonalit, ovsem pro takovy prikaz uz se vyplati alias, protoze se vam to asi nebude chtit psat v ruce), nebo pripadne uplne klasicka metoda se zjistenim PID procesu inetd a nasledne vyslanim signalu HUP prikazem kill primo tomuto PID.
Pokracujme vsak dale. Metodu se zakazovanim spousteni dalsich procesu z inetd prostrednictvim zaremovani jmena sluzby ve /etc/services je skutecne mozne povazovat za celosvetove zcela unikatni. Proc? Predne proto, ze i pres to, ze se na dotycny socket nikomu obvykle pripojit nepodari, inetd spotrebuje urcite zbytecne mnozstvi procesoroveho casu. Cili proti takovym systemum se lepe dela DoS attack. A krome toho, pokud budete napr. telnetd mit definovan ve /etc/inetd.conf kuprikladu takto:
25 stream tcp nowait root /usr/sbin/tcpd in.telnetd
(jako ze v tom nam z principu samozrejme nic nebrani), bude cele saskovani se /etc/services zcela neucinne. Naopak pri pokusu o pripojeni k portu pro finger, bude-li finger ve /etc/services zahashovan, nebudete moci pouzit prikaz telnet <IP adresa> finger, ale budete muset vzdy pouzit prikaz telnet <IP adresa> 79, coz neni vzdy uplne prakticke, nebot od vsech sluzeb si z principu cislo socketu pamatovat nemuzete.
Dalsi zajimavou vlastnosti autora clanku je jeho vyjadreni k telnetu a fingeru jako sluzbam, jimiz Vam do systemu pronikne hacker... To se stane leda u maximalne nezabezpeceneho systemu s nejakym prehistorickym fingerd a bez rootovskeho hesla. Dnes vam spise hacker pronikne do serveru pomoci deraveho binda verze 8.1.X ci 8.2.1 a dale bude pouzivat sshd a tuto metodu zabezpeceni bude povazovat za stejne smesnou, za jakou povazuje pilot nadzvukoveho letadla padaci most a vodni prikop. Nevidim duvod, proc by spusteny telnetd na mem serveru mel nejak vyrazne zhorsovat zabezpeceni serveru, to stejne plati i pro fingerd (ostatne, zkuste si finger @195.70.151.188).
V cem je problem a proc vlastne tenhle clanek pisu? Uz vidim to mnozstvi e-mailu, ktere mi prijde od lidi, jez si ten clanek precetli a oportscannovali mi nektery z mych serveru, ze pry si precetli to a to a ze z toho vyplyva, ze nektery z mych serveru neni dostatecne zabezpeceny. To je nejvetsi nebezpeci, ktere muze takovyhle popularne-naucny clanek bez dostatecneho technickeho backgroundu zpusobit - zmate uzivatele a novackum v oblasti unix security zamota hlavu.
A abych nepsal o necem, o cemz se nemuzete sami presvedcit, onen clanek najdete zde. Krome toho - k tomuto stylu odborne nekompetentnich clanku vede prave to, ze Root clanky honoruje - samozrejme jen z oboru. Ja vim, predhodite mi Lachtana, ale ten alespon bez dostatecneho mnozstvi znalosti nepise o vysoce odbornych tematech...
| |
24.srpna 2000, 12:26 Autor: Jakub Shanel (z 195.113.71.212 via 195.113.71.160)
[whois]
browser: Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)
Ja mam take inetd z originalni distribuce (Slackware 3.x) a funguje to.
JS
|
29.cervna 2000, 12:56 Autor: Brian (z unknown via 213.150.1.65)
[whois]
browser: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Tu mate autora ... ?! Odchytene na www.sis.sk
Michal Vymazal(gandalf@mbox.vol.cz) - Thu Jun 15 16:02:18 2000 ( whois )
Možná to nebyli amatéři, možná to nebyli profíci. Ovšem nápad s "navrtáním" bindu (pro vysvětlení - démon spravující jmenný server) si zaslouží pochvalu. A pokud měli správci jmenného serveru nainstalovánu verzi nižší než 8.2.2-P5 (prosím, zde k nahlédnutí http://underground.cz/clanek.html?id=372 ), pak jednoduše zaslouží bejkovcem buď oni, nebo provozovatel, který šetřil na lidech. Je úplně jedno, zda to byly stránky HZDS, Národní Banky nebo nemocnice. Obránci zřejmě spali. Mimochodem, co až se někdo nabourá do nemocnice a zpřehází tu databanku krevních konzerv? Bude to k smíchu? Ovšem jen do té doby, než půjdu na sál, že? Faktem je, že tyto diskuse aspoň pomohou "konzervativcům" pochopit, že se budou učit neustále i oni a to klidně i v 60. letech. S tím jednoznačně souhlasím. M.
|
23.cervna 2000, 10:18 Autor: bedo (z 195.144.118.144)
[whois]
browser: Mozilla/4.7C-CCK-MCD {C-UDP; EBM-APPLE} (Macintosh; I; PPC)
kill -HUP `pidof inetd` ?
|
23.cervna 2000, 08:57 Autor: Martin Jinoch (z 192.168.1.103 via 212.47.19.2)
[whois]
browser: Links (current [Jun 8 2000 15:07:20]; Linux 2.2.17pre4 i486)
Petr Mach: Neni zac...
|
22.cervna 2000, 18:39 Autor: Zbynek (z 195.70.151.50)
[whois]
browser: Links (0.84; Linux 2.0.36 i586)
JNS> Zajimave, ja mam inetd pokud vim originalni z distribuce (Slackware 3.x) a funguje mi to ;-))))
|
22.cervna 2000, 16:44 Autor: ondrej suchy (z 194.108.74.222)
[whois]
browser: Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)
JNS: s dvojteckou za cislem portu staci. tj. "25: stream tcp ..." bude fungovat spolehlive.
|
22.cervna 2000, 16:26 Autor: JNS (z 212.65.230.2)
[whois]
browser: Mozilla/4.51 [cs] (WinNT; I)
Pokud nemate inetd upraveny k obrazu svemu, zadne "25 stream tcp..." vam nebude fungovat, protoze prvni polozka na radku musi byt jmeno sluzby z /etc/services. Cislo portu nestaci.
|
22.cervna 2000, 00:19 Autor: Petr Mach (z 212.11.105.47)
[whois]
browser: Mozilla/4.72 [en] (X11; U; Linux 2.2.14-5.0 i686; Nav)
Martin Jinoch: Dekuju.
|
21.cervna 2000, 15:14 Autor: P. Vass (z 147.33.2.162)
[whois]
browser: Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)
Ironii osudu je, ze tento clanek je stejny bullshit, jako ten, ktery pranyruje.
|
21.cervna 2000, 12:09 Autor: zdenek pavlas (z 194.149.103.141)
[whois]
browser: Lynx/2.8.3rel.1 libwww-FM/2.14
Jestli to chapu dobre tak autor nejprve setre Vymazala ze je lamer, a pak pulkou prispevku resi /etc/init.d/inetd restart
|
21.cervna 2000, 09:00 Autor: Martin Jinoch (z 192.168.1.101 via 212.47.19.2)
[whois]
browser: Mozilla/5.0 (Windows NT 4.0;US) Opera 4.0 Beta 6 [en]
pro Petr Mach: napr. http://www.securityportal.com/lasg/
nebo
http://linuxpowered.com/archive/guides/securityoptimization/linuxsos-1.1.pdf
|
21.cervna 2000, 00:16 Autor: Petr Mach (z 212.11.105.139)
[whois]
browser: Mozilla/4.72 [en] (X11; U; Linux 2.2.14-5.0 i686; Nav)
Mohl by me nekdo prosim doporucit dobre materialy o zabezpeceni linuxu? Aby jim rozumeli i clovek bez zkusenosti, a pritom to melo nejakou slusnou uroven.
|
20.cervna 2000, 23:08 Autor: Premek (z 212.11.108.81)
[whois]
browser: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; CNETHomeBuild03171999)
Precetl jsem si ten clanek a ac mi jmeno autora nic moc nerika, je to faaaaakt sila :)
|
|
