[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

RE: Sobre seguridad



On Tue, 25 Jun 2002, Canadilla, Pedro wrote:

> Hola Antonio,
> 
> Creo que es una pregunta realmente interesante. Creo que
> desarfortunadamente, no existe ninguna medida básica (me refiero a comando o
> programa que lo haga). Seguramente, algún programa existirá. 
> 
> Por supuesto, es realmente sencillo a nivel de código del núcleo, en las
> funciones para que un root cambie a user y viceversa, se puede hacer que se
> haga un fprintf(...) ; en un fichero nuestro. Así, aunque no podamos evitar
> el que se realice la intrusión por exploit, podemos tener "algo" que nos
> ayude a identificarlo.

fprintf no me parece util. Puedes no estar delante de la consola cuando
ocurra el ataque. Si el atacante usa un exploit directamente 
pasará de un proceso de root aparentemente inofensivo a un proceso de
root que no lo es. El proceso menos inofensivo en manos de un atacante 
es una shell de root.

> Pero eso no deja de ser un poco "chapu". Un administrador debería sacar un
> tiempo para probar aplicaciones como satan, para encontrar vulnerabilidades.

No se si satan se habrá actualizado lo suficiente. Es algo antiguo pero
lógicamente si habrá cosas que puede detectar. Yo no estoy muy al día.

Yo lo que creo es que cada vez que arranque una shell,  debería
comprobar sus propios privilegios y si ha sido arrancada con privilegios
de root debería mandar a syslog un LOG_WARNING incluyendo información
de su programa padre en caso de que este sea distinto de su y de login. 
Bueno la protección de los logs también es otro tema importante claro.

Bastaría añadir unas pocas líneas de código al inicio de la shell. 
Lo malo es que una shell no tiene nada de especial. Es un programa 
normal y corriente y cualquiera podría hacerse una shell para usarla 
durante el ataque, aunque para eso yo creo que debería de estar 
bastante dentro.

> Espero sinceramente que te ayude en algo, y aprovecho estas líneas para
> mandarte un cordial saludo.

Muchas gracias.


Un saludo

Antonio Castro

+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
        /\     /\      Ciberdroide Informática (Tienda de Linux)
          \\W//            <<< http://www.ciberdroide.com >>>
	 _|0 0|_                                                    
+-oOOO--(___o___)--OOOo----------------------------------------------------+ 
|  . . . . U U . . . . Antonio Castro Snurmacher  acastro@ciberdroide.com  |  
|  . . . . . . . . . .                                                     | 
+()()()----------()()()----------------------------------------------------+
| *** 1.700 sitios clasificados por temas sobre Linux en ***Donde_Linux*** |
| <<< http://www.ciberdroide.com/misc/donde/dondelinux.html >>>            |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+



--
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org



Reply to: