Re: Scripts
Olah!
Tenho duas sugestoes:
(1) Mude o grupo "dono" do /sbin/ttysnoop. Vc pode criar um grupo e
fazer com que o(s) usuario(s) que precisam executar o script
pertencam a esse grupo. Eh mais seguro do que suid root. Scripts suid
root saum um perigo. Uma bomba-relogio. Ninguem sabe exatamente
quanto ela vai estourar. Eu **nunca** uso scripts suid root.
(2) No script, no momento que executa o ttysnoop, muda o nice dele.
("man nice" para saber do que estou falando.) Dessa forma, ele vai
executar consumindo o mesmo numero de recursos, mas se um programa
for executado com um nice melhor ele "rouba" os recursos do ttysnoop.
Acho que isso resolveria. Bem... naum custa reiterar: telnet eh
inseguro. Eu tentaria outra solucao... mas temporariamente eu acho
que faria o mesmo q vc (desde que um tempo **extremamente** curto).
Com o numero de scan que o meu snort tem detectado ultimamente... o
melhor eh ser paranoico.
[]s
Pablo
Em Qui 27 Set 2001 11:09, Lucio Rene Souza Cunha escreveu:
| pessoall,
| tenho que automatizar um processo de ttysnoop, como o
| ttysnoop necessita de uid 0 tive que fazer o script abaixo com suid
| root (mesmo sabendo dos riscos,ja avisados ao chefe, mas ele mandou
| continuar assim mesmo :x ).
|
| O problema é que quando esse script chama o /sbin/ttysnoop o
| programa ttysnoop come 99% de processamento, existe algo no codigo
| que esteja ocasionando issu?
|
| bom o ttysnoop rodando normalmente nao chega 2% de processamento
| da maquina fiz um script rodando /sbin/ttysnoop ttyp$1 e ele
| mantem suas propriedades normais.
|
| >> Script comedor de memoria :P <<
|
| dia=`/bin/date "+%H:%M_%d-%m-%Y"`
| hst=`/bin/echo "$REMOTEHOST"`
| tty=`/usr/bin/tty | /usr/bin/cut -c6-10`
| lend=` /usr/bin/who -l | /bin/grep $tty `
| cinf=`/bin/echo $dia $hst`
| /bin/echo $cinf | /bin/mail -s dgtbfScript
| lucio.cunha@digitro.com.br ffile=`who -l | grep $tty | cut -c23- |
| tr -d " " | tr -d \( | tr -d \) ` /sbin/ttysnoop $tty >
| /tmp/logs/l$ffile &
| "alias" ls="/bin/ls --color=no"
|
| --EOF
|
| e o ltrace me voltou o seguinte:
|
|
| <... select resumed> ) = 1
| read(0,
| event: syscall (3)
| SYS_read(0,
| event: sysret (3)
| <... SYS_read resumed> "", 256) = 0
| <... read resumed> "", 256) = 0
| write(3, "", 0
| event: syscall (4)
| SYS_write(3, "", 0
| event: sysret (4)
| <... SYS_write resumed> ) = 0
| <... write resumed> ) = 0
| select(4, 0xbffffa60, 0, 0, 0
| event: syscall (142)
| SYS__newselect(4, 0xbffffa60, 0, 0, 0
| event: sysret (142)
| <... SYS__newselect resumed> ) = 1
| <... select resumed> ) = 1
| read(0,
| event: syscall (3)
| SYS_read(0,
| event: sysret (3)
| <... SYS_read resumed> "", 256) = 0
| <... read resumed> "", 256) = 0
| write(3, "", 0
| event: syscall (4)
| SYS_write(3, "", 0
| event: sysret (4)
| <... SYS_write resumed> ) = 0
| <... write resumed> ) = 0
| select(4, 0xbffffa60, 0, 0, 0
| event: syscall (142)
| SYS__newselect(4, 0xbffffa60, 0, 0, 0
| event: sysret (142)
| <... SYS__newselect resumed> ) = 1
| <... select resumed> ) = 1
| read(0,
| event: syscall (3)
| SYS_read(0,
| event: sysret (3)
| <... SYS_read resumed> "", 256) = 0
| <... read resumed> "", 256) = 0
| write(3, "", 0
| event: syscall (4)
| SYS_write(3, "", 0
| event: sysret (4)
|
|
|
| caso alguem saiba de algo que possa me ajudar,
| HELP ME!!!
|
| :)
|
| PS: Nao posso mudar o codigo do ttysnoop
| PS2: nao posso instalar o sudo
| PS3: vai ficar inseguro :P
| PS4: eu sei que telnet ja eh arcaico
| PS5: tambem sei que se a maquina for ownada nao vai adiantar em
| nada :)
|
|
|
| Obrigado desde já,
|
| Lúcio Renê Souza Cunha.
| lucio.cunha@digitro.com.br
| Digitro Tecnologia Ltda.
|
| stimpy@matrix.com.br (pessoal)
--
Pablo Lorenzzoni (Spectra) <spectra@debian.org>
GnuPG PubKey at search.keyserver.net (Key ID: 268A084D)
Webpage: http://people.debian.org/~spectra/
Reply to:
- References:
- Scripts
- From: Lucio Rene Souza Cunha <stimpy@matrix.com.br>