Ahojte,
Prosim o zhovievavost. Rad by som vedel ako riesite bezpecnost na desktope a na serveri.Co zapinate(firewall atd.).Ktore logy, kontrolujete,na co sa zameriavate? Co by vas upozornilo na zasah do systemu? Co pridavaju do systemu distra ako napr. Tails?
Preco sa pytam.Toto mi strasi v syslogu aj v messages>
home kernel: [ 8693.342893] [UFW BLOCK] IN=wlan0 OUT= MAC=01:00:5e:00:00:01:64:cc:22:71:bb:5e:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=53442 PROTO=2 Mar 29 14:35:01 home CRON[9709]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1)
Zdroj toho prveho je router (asi arp?) to druhe som si vygooglil, ale rad by som vedel od vas naco to sluzi?
Zaujima ma viac prva cast otazky, teda bezpecnost.
Dakujem
Cron si spustil logovač, a UFW ti ho bloklo. Nahlás to ako chybu do Devuanu.
wut???
prve je firewallom bloknuty multicast a druhe je system activity report...
Njn, spravil som TL;DR na začiatku UFW BLOCK na ďalšom Cron...
mozes si podat ruku s debilianom-...
To až po korone.
Super chlapci,
Vedeli by ste poradit, vyjadrit sa k prvej casti otazky, teda k bezpecnosti.Co vsetko sledujete na desktope a servery?V pripade servera okrem logov z firewallu asi aj nejake IDS?
Dakujem
Keď to máš na domácke hranie sa, tak väčšinou máš nejaký router a v ňom zapnutý firewall, v kompe máš tiež firewall, to väčšinou stačí. Ak nemáš v routry forvardované porty, alebo spustenú nejakú zbytočnú službu, tak je to OK. Fail2ban tiež pomôže. Mno a sledovať buggy v tvojom routry a updatovať ho.
Ak nechceš moc investovať a chceš sa cítiť v bezpečí môžeš skúsiť Turris.
... Ak nechceš moc investovať a chceš sa cítiť v bezpečí môžeš skúsiť Turris...
nechapem. to je troling alebo prepitost...?
Kamáde čo je zas za problém?
vies kolko to stoji...?
Ja neviem, čo si nesadneš.
Viem a je to moc? Teda keď započítam, že si kúpiš open source riešenie aj s podporou? Príde mi to vhodné aj pre paranoikov, ktorí ničomu uzavretému neveria. A nepotrebuješ na správu absolvovať sériu školení.
... logov z firewallu...
aky asi ma zmysel sledovat, ktory paket firewall zahodil/povolil...?
- na dt/nb tak maximalne stav hw...
- server - stav hw, stav zdrojov, stav servicov... takze to vobec nie je o logoch, resp. len o logoch...
a bezpecnost sa riesi, az ked je to skutocne potrebne...
Ahoj,
Kedze si clovek z odboru, ako to riesis na svojom kompe?
A co mate nasadene v praci na serveroch?
Dakujem
Kontrolujem tie logy, ktoré potrebujem kontrolovať. A zameriavam sa na aktuálne zneužiteľné služby.
Pravidelná kontrola konzistencie bináriek, konfiguračných súborov a timestampov na adresáre v ktorých sú definované služby a vnorené konfigy.Nutno podotknúť, že to sa dá schovať pomocou podvrhnutého jadra ktoré utají zmeny na FS a schová záškodnícke procesy. Ak útočník získa root-a.
Tails nepoužívam, ale napríklad veľa krát spomínaný fail2ban. Nutno podotknúť, že ten je vhodný len do SoHo segmentu.
Bezpečnostný koncept sa nevytvára nahodením všetkých (aj zbytočných) programov, a zapnutím maximálneho logovania (ktoré ti zahltí systémové logy v ktorých sa nejaké dôležité drobnosti tým pádom utopia).
Vidis toto ma zaujima>
Vygenerujes si po update trebars hashe vsetkych binarok pomoou ms5sum. Vobec sa nevyznam,tak ma zaujima tvoj postup.
Ak by sa utocnikovi podarilo ziskat roota, podvrhnut jadro, tak by som zrejme mohol zistit, ze sa deje nieco nekale pozorovanim vytazenosti cpu?
Používam Ubuntu už veľmi dlho, takže sa vyjadrím k tej distribúcii. Kedysi vznikla potreba kontrolovať binárky ktoré sa mohli poškodiť buď chybou HW alebo útokom. Na toto bol vytvorený program debsums ktorý po nainštalovaní vytvoril databázu hašov (momentálne je v /var/lib/dpkg/info/*.md5sums). Tú DB si mohol skontrolovať, a mohol si aj aktualizovať záznamy v nej uchované. Problémom bolo že si sa musel sám rozhodnúť, či sú pre teba dôveryhodné nové binárky a konfiguráky. A to je nelogická blbosť.
Toto však má byť vykonané už pri vytvorení inštalačného balíka, ktorý má byť nakoniec podpísaný tvorcom aby sa overila jeho autenticita. A tak to je už niekoľko rokov. Dá sa to vyvolať napríklad príkazom
Toto bola reálna ukážka kontroly konzistencie bežného desktopu Ubuntu 18.04 na cca 8 rokov starom NB s pomalým rotačným diskom. Vidíš, že za cca 8.5 minúty to bolo hotové, a spotrebovalo to cca 50 sekúnd CPU času. Diskovú cache som pred testom vyprázdnil.
Nie. To jadro by schovalo zá(ale to som už spomínal).
Za domácu úlohu si nájdi ako sa dajú v dnešnej dobe zistiť sirotkovia. Teda súbory, ktoré nepatria žiadnemu nainštalovanému balíku. A ideálne ií sirotkovia, čo niesú v /tmp, /var/tmp alebo v /home.
PS: Gentoo malo tiež niečo podobné, a verím že takúto bežnú funkcionalitu nájdeš aj v iných distribúciách ktoré spravujú príčetní ľudia.
Ahoj,
Tak som spustil debsums a tu je vysledok>
Mohlo dojst k zmene nejakych dat tychto suborov, alebo to naznacuje zaskodnika?
Dakujem
Ku zmene dát mohlo dôjsť u všetkých súborov, ale u tých vylistovaných došlo ku zmene. Máš to tam jasne napísané. Odporučil by som sa zamerať na súbor sudoers, bude tam riadok s nopasswd ktorý nie je zapoznámkovaný. Tam bude indícia ktorá napovie o zmenách na ostatných vylistovaných súboroch.
Tie subory boli zmenené, ak to nebolo v dôsledku útoku wlasatého, tak sa nainštalovali ich novšie verzie skrz aktualizácie.
Che che che
:-D
pssst to im nehovor, lebo plesaty uz nebude moct robit chytreho...
Máš pravdu, nabudúce budem diskrétny jak diskrétna grafika :-)
Ako som spomínal, tak program debsums je zastaralý a preto ho neodporúčam. Pokiaľ si pamätám, tak mal vlastné hooky ktoré pregenerovali kontrolný súčet pri inštalácii balíčka. Takže si odpamätali rovnaký stav, ako používal spomenutý dpkg s parametrom verify. Jak je to s ním teraz, neviem. Pre mňa sa jedná o zombí na ktoré je lepšie zabudnúť.
Ahoj,
Takze podla vas sa len nainstalovali novsie verzie tych programov?
V /etc/sudoers nemam riadok s #nopasswd.
Co navrhujete pani, vygenerovat pomocou debsums nove hashe programov?
Ako by ste postupovali vy?
Dakujem
Ja nechcem preinstalovat, mna zaujima ako spravne updatovat debsums, aby mi to po dalsej aktualizacii nevyhodilo tie hlasky?
Vdaka
Ten debsums len upozorňuje, že tie súbory boli zmenené. Robí svoju prácu, nič viac nič menej.
To že spúšťaš ten debsums, tak robíš manuálne to isté čo robí rkhunter.
Wlasač to už napísal:
To je to čo si urobil.
A to je to čo si musíš sám rozmyslieť ......
Presne tak.
Síce som predpokladal najbežnejší hriech čo páchajú domáce rýchlokvasky (pridať seba ako užívateľa čo môže spustiť sudo bez hesla, veď kto by podhodil záškodnícky skript do napríklad uwarezenej hry), ale to nevadí. Ak človek nevie čo sám zmenil na serveri, tak by nemal mať prístup na internet. A ak to namiesto neho zmenila distribúcia, tak by ju mal prestať používať.
Inak, takáto kontrola moc toho neodhalí. Ono je dôležité aj kontrolovať či neexistujú vnorené konfiguráky, napríklad v /etc/sudoers.d kde si záškodník pridá záznam povoľujúci eskaláciu práv bez hesla. A na to som poukazoval v tej doteraz nevyriešenej domácej úlohe.