logy

Sekcia: Konfigurácia 29.03 | 17:28
Avatar valgan Devuan / amd 64  Používateľ

Ahojte,

Prosim o zhovievavost. Rad by som vedel ako riesite bezpecnost na desktope a na serveri.Co zapinate(firewall atd.).Ktore logy, kontrolujete,na co sa zameriavate? Co by vas upozornilo na zasah do systemu? Co pridavaju do systemu distra ako napr. Tails?

Preco sa pytam.Toto mi strasi v syslogu aj v messages>

 home kernel: [ 8693.342893] [UFW BLOCK] IN=wlan0 OUT= MAC=01:00:5e:00:00:01:64:cc:22:71:bb:5e:08:00 SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=53442 PROTO=2 
Mar 29 14:35:01 home CRON[9709]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1)

Zdroj toho prveho je router (asi arp?) to druhe som si vygooglil, ale rad by som vedel od vas naco to sluzi?

Zaujima ma viac prva cast otazky, teda bezpecnost.

Dakujem

    • RE: logy 30.03 | 07:46
      Avatar bedňa LegacyIce-antiX  Administrátor

      Cron si spustil logovač, a UFW ti ho bloklo. Nahlás to ako chybu do Devuanu.

      Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
      • RE: logy 30.03 | 09:34
        Avatar samalama   Návštevník

        wut???

        prve je firewallom bloknuty multicast a druhe je system activity report...

        • RE: logy 30.03 | 13:36
          Avatar bedňa LegacyIce-antiX  Administrátor

          Njn, spravil som TL;DR na začiatku UFW BLOCK na ďalšom Cron...

          Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
          • RE: logy 30.03 | 13:50
            Avatar samalama   Návštevník

            mozes si podat ruku s debilianom-...

    • RE: logy 30.03 | 16:04
      Avatar valgan Devuan / amd 64  Používateľ

      Super chlapci,

      Vedeli by ste poradit, vyjadrit sa k prvej casti otazky, teda k bezpecnosti.Co vsetko sledujete na desktope a servery?V pripade servera okrem logov z firewallu asi aj nejake IDS?

      Dakujem

      • RE: logy 30.03 | 17:01
        Avatar bedňa LegacyIce-antiX  Administrátor

        Keď to máš na domácke hranie sa, tak väčšinou máš nejaký router a v ňom zapnutý firewall, v kompe máš tiež firewall, to väčšinou stačí. Ak nemáš v routry forvardované porty, alebo spustenú nejakú zbytočnú službu, tak je to OK. Fail2ban tiež pomôže. Mno a sledovať buggy v tvojom routry a updatovať ho.

        Ak nechceš moc investovať a chceš sa cítiť v bezpečí môžeš skúsiť Turris.

        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
        • RE: logy 30.03 | 17:52
          Avatar samalama   Návštevník

          ... Ak nechceš moc investovať a chceš sa cítiť v bezpečí môžeš skúsiť Turris...

          nechapem. to je troling alebo prepitost...?

          • RE: logy 30.03 | 18:17
            Avatar bedňa LegacyIce-antiX  Administrátor

            Kamáde čo je zas za problém?

            Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
            • RE: logy 30.03 | 20:51
              Avatar samalama   Návštevník

              vies kolko to stoji...?

              • RE: logy 30.03 | 21:31
                Avatar WlaSaTy   Návštevník

                Ja neviem, čo si nesadneš.

              • RE: logy 30.03 | 21:34
                Avatar bedňa LegacyIce-antiX  Administrátor

                Viem a je to moc? Teda keď započítam, že si kúpiš open source riešenie aj s podporou? Príde mi to vhodné aj pre paranoikov, ktorí ničomu uzavretému neveria. A nepotrebuješ na správu absolvovať sériu školení.

                Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
      • RE: logy 30.03 | 18:03
        Avatar samalama   Návštevník

        ... logov z firewallu...

        aky asi ma zmysel sledovat, ktory paket firewall zahodil/povolil...?


        - na dt/nb tak maximalne stav hw...

        - server - stav hw, stav zdrojov, stav servicov... takze to vobec nie je o logoch, resp. len o logoch...


        a bezpecnost sa riesi, az ked je to skutocne potrebne...

    • RE: logy 30.03 | 21:33
      Avatar valgan Devuan / amd 64  Používateľ

      Ahoj,

      Kedze si clovek z odboru, ako to riesis na svojom kompe?

      A co mate nasadene v praci na serveroch?

      Dakujem

    • RE: logy 31.03 | 07:27
      Avatar WlaSaTy   Návštevník
      Ktore logy, kontrolujete,na co sa zameriavate?

      Kontrolujem tie logy, ktoré potrebujem kontrolovať. A zameriavam sa na aktuálne zneužiteľné služby.

      Co by vas upozornilo na zasah do systemu?

      Pravidelná kontrola konzistencie bináriek, konfiguračných súborov a timestampov na adresáre v ktorých sú definované služby a vnorené konfigy.Nutno podotknúť, že to sa dá schovať pomocou podvrhnutého jadra ktoré utají zmeny na FS a schová záškodnícke procesy. Ak útočník získa root-a.

      Co pridavaju do systemu distra ako napr. Tails?

      Tails nepoužívam, ale napríklad veľa krát spomínaný fail2ban. Nutno podotknúť, že ten je vhodný len do SoHo segmentu.

      Zaujima ma viac prva cast otazky, teda bezpecnost.

      Bezpečnostný koncept sa nevytvára nahodením všetkých (aj zbytočných) programov, a zapnutím maximálneho logovania (ktoré ti zahltí systémové logy v ktorých sa nejaké dôležité drobnosti tým pádom utopia).

    • RE: logy 31.03 | 15:18
      Avatar valgan Devuan / amd 64  Používateľ

      Vidis toto ma zaujima>

      Pravidelná kontrola konzistencie bináriek, konfiguračných súborov a timestampov na adresáre v ktorých sú definované služby a vnorené konfigy.Nutno podotknúť, že to sa dá schovať pomocou podvrhnutého jadra ktoré utají zmeny na FS a schová záškodnícke procesy. Ak útočník získa root-a.

      Vygenerujes si po update trebars hashe vsetkych binarok pomoou ms5sum. Vobec sa nevyznam,tak ma zaujima tvoj postup.

      Ak by sa utocnikovi podarilo ziskat roota, podvrhnut jadro, tak by som zrejme mohol zistit, ze sa deje nieco nekale pozorovanim vytazenosti cpu?

      • RE: logy 31.03 | 16:07
        Avatar WlaSaTy   Návštevník
        Vygenerujes si po update trebars hashe vsetkych binarok pomoou ms5sum.

        Používam Ubuntu už veľmi dlho, takže sa vyjadrím k tej distribúcii. Kedysi vznikla potreba kontrolovať binárky ktoré sa mohli poškodiť buď chybou HW alebo útokom. Na toto bol vytvorený program debsums ktorý po nainštalovaní vytvoril databázu hašov (momentálne je v /var/lib/dpkg/info/*.md5sums). Tú DB si mohol skontrolovať, a mohol si aj aktualizovať záznamy v nej uchované. Problémom bolo že si sa musel sám rozhodnúť, či sú pre teba dôveryhodné nové binárky a konfiguráky. A to je nelogická blbosť.

        Toto však má byť vykonané už pri vytvorení inštalačného balíka, ktorý má byť nakoniec podpísaný tvorcom aby sa overila jeho autenticita. A tak to je už niekoľko rokov. Dá sa to vyvolať napríklad príkazom

        :/var/lib/libvirt/images# time dpkg --verify 
        ??5?????? c /etc/libvirt/nwfilter/allow-arp.xml
        ??5?????? c /etc/libvirt/nwfilter/allow-dhcp-server.xml
        ...
        real	8m18.370s
        user	0m29.509s
        sys	0m19.848s
        

        Toto bola reálna ukážka kontroly konzistencie bežného desktopu Ubuntu 18.04 na cca 8 rokov starom NB s pomalým rotačným diskom. Vidíš, že za cca 8.5 minúty to bolo hotové, a spotrebovalo to cca 50 sekúnd CPU času. Diskovú cache som pred testom vyprázdnil.

        Ak by sa utocnikovi podarilo ziskat roota, podvrhnut jadro, tak by som zrejme mohol zistit, ze sa deje nieco nekale pozorovanim vytazenosti cpu?

        Nie. To jadro by schovalo zá(ale to som už spomínal).

        Za domácu úlohu si nájdi ako sa dajú v dnešnej dobe zistiť sirotkovia. Teda súbory, ktoré nepatria žiadnemu nainštalovanému balíku. A ideálne ií sirotkovia, čo niesú v /tmp, /var/tmp alebo v /home.

        PS: Gentoo malo tiež niečo podobné, a verím že takúto bežnú funkcionalitu nájdeš aj v iných distribúciách ktoré spravujú príčetní ľudia.

    • RE: logy 07.04 | 16:52
      Avatar valgan Devuan / amd 64  Používateľ

      Ahoj,

      Tak som spustil debsums a tu je vysledok>

      debsums: changed file /usr/share/icewm/menu (from icewm-common package)
      debsums: changed file /etc/rkhunter.conf (from rkhunter package)
      debsums: changed file /etc/slim.conf (from slim package)
      debsums: changed file /etc/sudoers (from sudo package)

      Mohlo dojst k zmene nejakych dat tychto suborov, alebo to naznacuje zaskodnika?

      Dakujem

      • RE: logy 07.04 | 17:19
        Avatar WlaSaTy   Návštevník

        Ku zmene dát mohlo dôjsť u všetkých súborov, ale u tých vylistovaných došlo ku zmene. Máš to tam jasne napísané. Odporučil by som sa zamerať na súbor sudoers, bude tam riadok s nopasswd ktorý nie je zapoznámkovaný. Tam bude indícia ktorá napovie o zmenách na ostatných vylistovaných súboroch.

    • RE: logy 07.04 | 22:46
      Avatar vlasasty_rootkit   Návštevník
      Tak som spustil debsums a tu je vysledok> debsums: changed file /usr/share/icewm/menu (from icewm-common package) debsums: changed file /etc/rkhunter.conf (from rkhunter package) debsums: changed file /etc/slim.conf (from slim package) debsums: changed file /etc/sudoers (from sudo package)

      Tie subory boli zmenené, ak to nebolo v dôsledku útoku wlasatého, tak sa nainštalovali ich novšie verzie skrz aktualizácie.

      Che che che

      :-D

      • RE: logy 07.04 | 22:52
        Avatar samalama   Návštevník

        pssst to im nehovor, lebo plesaty uz nebude moct robit chytreho...

        • RE: logy 07.04 | 23:10
          Avatar vlasasty_rootkit   Návštevník

          Máš pravdu, nabudúce budem diskrétny jak diskrétna grafika :-)

      • RE: logy 08.04 | 08:02
        Avatar WlaSaTy   Návštevník

        Ako som spomínal, tak program debsums je zastaralý a preto ho neodporúčam. Pokiaľ si pamätám, tak mal vlastné hooky ktoré pregenerovali kontrolný súčet pri inštalácii balíčka. Takže si odpamätali rovnaký stav, ako používal spomenutý dpkg s parametrom verify. Jak je to s ním teraz, neviem. Pre mňa sa jedná o zombí na ktoré je lepšie zabudnúť.

    • RE: logy 08.04 | 00:10
      Avatar valgan Devuan / amd 64  Používateľ

      Ahoj,

      Takze podla vas sa len nainstalovali novsie verzie tych programov?

      V /etc/sudoers nemam riadok s #nopasswd.

      Co navrhujete pani, vygenerovat pomocou debsums nove hashe programov?

      Ako by ste postupovali vy?

      Dakujem

      • RE: logy 08.04 | 00:11
        Avatar debian+   Návštevník
        apt-get remove --purge NAME_PACKAGE
        apt-get install NAME_PACKAGE
    • RE: logy 08.04 | 00:18
      Avatar valgan Devuan / amd 64  Používateľ

      Ja nechcem preinstalovat, mna zaujima ako spravne updatovat debsums, aby mi to po dalsej aktualizacii nevyhodilo tie hlasky?

      Vdaka

      • RE: logy 08.04 | 00:31
        Avatar yogi   Návštevník

        Ten debsums len upozorňuje, že tie súbory boli zmenené. Robí svoju prácu, nič viac nič menej.

        To že spúšťaš ten debsums, tak robíš manuálne to isté čo robí rkhunter.

        • RE: logy 08.04 | 00:40
          Avatar yogi   Návštevník

          Wlasač to už napísal:

          Tú DB si mohol skontrolovať, a mohol si aj aktualizovať záznamy v nej uchované.

          To je to čo si urobil.

          Problémom bolo že si sa musel sám rozhodnúť, či sú pre teba dôveryhodné nové binárky a konfiguráky.

          A to je to čo si musíš sám rozmyslieť ......

          • RE: logy 08.04 | 07:57
            Avatar WlaSaTy   Návštevník

            Presne tak.

            Síce som predpokladal najbežnejší hriech čo páchajú domáce rýchlokvasky (pridať seba ako užívateľa čo môže spustiť sudo bez hesla, veď kto by podhodil záškodnícky skript do napríklad uwarezenej hry), ale to nevadí. Ak človek nevie čo sám zmenil na serveri, tak by nemal mať prístup na internet. A ak to namiesto neho zmenila distribúcia, tak by ju mal prestať používať.

            Inak, takáto kontrola moc toho neodhalí. Ono je dôležité aj kontrolovať či neexistujú vnorené konfiguráky, napríklad v /etc/sudoers.d kde si záškodník pridá záznam povoľujúci eskaláciu práv bez hesla. A na to som poukazoval v tej doteraz nevyriešenej domácej úlohe.