[Megoldva] Rootkit Hunter, OSSEC

Linux-security

Sziasztok!

Két problémám adódott az rkhunterrel.

  1. Mi lehet a gondja az rkhunternek a lentebb említett alkalmazások verziójával

    [22:41:13] Checking version of GnuPG [ Warning ]
    [22:41:13] Warning: Application 'gpg', version '1.4.9', is out of date, and possibly a security risk.
    [22:41:13] Checking version of OpenSSL [ Warning ]
    [22:41:14] Warning: Application 'openssl', version '0.9.8g', is out of date, and possibly a security risk.
    [22:41:14] Checking version of ProFTPd [ Warning ]
    [22:41:14] Warning: Application 'proftpd', version '1.3.1', is out of date, and possibly a security risk.
    [22:41:14] Checking version of OpenSSH [ Warning ]
    [22:41:14] Warning: Application 'sshd', version '5.1p1', is out of date, and possibly a security risk.

  2. Módosítottam az /usr/bin/rkhunter scriptet, hogy két mailt küldjön, ha gyanúsat észlel, és a logból is idézzen nekem néhány sort.
    A problémám ezzel az, hogy mióta szerkesztettem a scriptjét, veszélyt jelez rá. Erre meg is találtam a választ. Ez pedig a következő: A konfigbaban be van állítva a PKGMR (csomagkezelő), mivel Debiant használok ez nálam DPKG. Azért jelez veszélyt, mert a DPKG tárol az rkhunterről néhány infót pl.: Telepítés utáni mérete. (szerintem) A szerkesztés után változott a script mérete, és ezen akadhat fent.
    Kérdésem: Hogyan tudom módosítani dpkg-val az rkhunter-ről tárolt információkat? [Megoldva]

OS: Lenny
RKHunter version: 1.3.2

Az 1. probléma fordul elő az asztali gépemen amin szintén Lenny fut, és egy frissen virtuális PC-re telepített gépen, ami szintúgy Lenny-t futtat.

Előre is köszönöm szépen a válaszotokat, és ezúton szeretnék mindenkinek Boldog Békés Karácsonyi ünnepeket kívánni!

Üdvözlettel.:
V007

  • 5294 megtekintés

( log69 | 2009. 12. 25., p – 05:46 )

a dpkg az md5sum-ot tárolja, ezért lehet gond talán

/var/lib/dpkg/info/rkhunter.md5sums

esetleg cseréld ki

( Csigaa | 2009. 12. 25., p – 11:01 )

A rhkunter egy vicc. A semminél lehet hogy jobb, de mindent amit kiír, nagyon erős fenntartással kell kezelni...
pl. berhelt netstatot jelez, ha egy adott port nyitva volt scannelés alatt, aztán a scannelés végén már lezárult a kapcsolat így netstatban természetesen nem látszott ("el volt rejtve" - a frászt); minden IRC klienst wormnek jelez, mert a 6667-es portra csatlakozik; stb

Tapasztalatlan rendszergazdák ijesztgetésén túl semmi hasznát nem láttam. Ha a gyanús tevékenységeket, fileokat akarod figyelni a rendszeren, az OSSEC sokkal jobb választás. Azon kívül hogy realtime, még automatikusan küld log részletet is...

Akkor te mit ajánlanál még (OSSEC láttam feljebb, majd utána nézek mi is ez valójában)? Vagy más "biztonságosabb" módszer az illetéktelen behatolók jelzésére?
(Elég nagy hangsúlytfektetek a biztonságra. Tűzfal, logok figyelése, bejelentkezés szabályzás, felesleges alkalmazások szűrése stb..)

Ammm soha nem volt rá szükségem de sokan a honeypot technológiára, és a chroot környezetre esküsznek ... de én azt gondolom egy jól testreszabott tűzfal (csak azt engedni ami kell, és csak oda ahova kell!!) sokat dob a helyzeten, az általam sorolt dolgok kiegészítései ennek.

Az OSSEC egy daemon ami rootkitet scannel és checksumokat figyel a fő rendszerkomponensekre és a konfigfileokra, ezen kívül a logokat ellenőrzi, mindezt folyamatosan.
Minden szokatlan tevékenységnél (pl. új deb csomag települt, vagy konfig file megváltozott, vagy túl sok az FTP bejelentkezési kísérlet, esetleg ismeretlen/érvénytelen domainről küldözget valaki e-maileket) értesítő e-mailt dob a megadott címre.

Ennél tüzetesebb automatikus felügyeletet, persze a folyamatos logbámuláson kívül, nehezen találsz :)
De természetesen nem access control, tehát egy apparmort/selinuxot nem helyettesít, meg a biztonságos beállításokat sem.
Csak szól azonnal, amikor a rendszeren valami szokatlan van: ezzel már ráver a rkhunterre ami csak ontja a false-positiveokat agyhalott indokokkal (amiket írtam feljebb, nálam leverték a biztosítékot, és arra is kíváncsi vagyok, egy RHEL-en melyik lib verzióját nem jelezné hatalmas security risknek -__-) és csak on-demand/crontabból futtatható.

Az OSSEC telepítésekor előraláthatólag fogok buktatóval találkozni?
Olvasgattam az installációs manuálját, de gondoltam, ha itt már szóbakerült rákérdezeke, nektek volt-e vele valamiféle probléma???

Az RKHunterre visszatérve, azt hiszem felhagyok vele, hiszen sok "hamis" riasztást küld... Nem teljesen megbízható, s valóban fenntartásokkal kell kezelni az üzeneteiben leírt fenyegetések valószerűségét. Most már csak az OSSEC kérdésem lenne, s megoldottnak nyílvánítanám a topicot.

( hrgy84 | 2009. 12. 25., p – 11:22 )

gpg 1.4.9? Ez ugye csak vicc? OpenSSL detto baromi regi.

Az rkhunter idiotasaga ellenere erdemes lenne frissiteni a rendszeren, mert outdated.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Esetleg fordítani sajátot? Vagy nem járható út?

Stable ág mindig jópár akkordal le van maradva sajnos ... ha lehet külső alkalmazást (Nagios, Apache, MySQL ilyesmi ...) fordítok álltalában.

Szerk.: OpenSSL és ProFTPd csomagoknál ez járható út lenne, mint látom azokra panaszkodik.