csúnya a sudoers

Fun

http://terminal.hu/Hirek/Tech/Bejegyzes/62469/Ne-legyen-mindenhato-a-re…

Hogy adjunk szép nevet a sudoersnek : Privileged User Manager

nyihahahahaha

  • 2062 megtekintés

( zitev v | 2010. 07. 06., k – 23:03 )

döbbenet, vagy ilyen??? dilettánsok...

Ez annnnyira megakadt nekem, hogy muszáj az idézetet újra beidézzem:
"„Korábban jelentős fejtörést okozott a vállalatoknak az, hogy Linux és Unix rendszerekben több munkatársnak is ismernie kellett az adminisztrátori jelszót, és így nem lehetett meghatározni, hogy mikor ki dolgozott a rendszerben, hiba esetén nem tudták megállapítani, ki a felelős. [..] "

Hogy miiiivaaaan???

"a rendszergazdák saját felhasználói azonosítójukkal végezhetik el feladataikat, és szükségtelenné válik a root szintű hozzáférés kiadása"

... elég ha csak az admin (staff, ...) csoportban vagyunk nem?

Most, hogy a szerveremen a tanulószint utáni disztro van, örülök, hogy nem suse-t választottam.
Nekem komoly fejtörést csak a syslog megfelelő részletes és célzott beállítása okozna, hogy az aktuális kisisten (sudoer) ne tudja módosítani nyom nélkül a log-okat.

Erre nálunk két megoldás van. Amelyik zónában lehet, ott syslog szerverre mennek az adatok. Ahol nem, ott inotify használatával mennek az üzenetek egy bigbrother host-ra, az olyan műveletekről amiket nem szabad. Ilyen pl a /var/log -on történő nem megfelelő felhasználó által végzett IN_MODIFY.

( bitvadasz | 2010. 07. 06., k – 19:32 )

kisisten (lehetne kisgazda is, csak nem errefelé...)

( log69 | 2010. 07. 06., k – 19:38 )

most feltalálták a zárt forrású sudo-t? :)

( Fisher v | 2010. 07. 08., cs – 10:40 )

Abból kiindulva, hogy a népeket a Novell egy körsétára vitte el egy kiállításra, nekem az a véleményem, hogy ez egy a managereknek kitalált promóció, hogy megnyugtassák a vezetőket, akik eddig féltek az unixoktól (nem féltek, mert azt se tudták, hogy mi az), hogy lám, ez is milyen jól - fogadjunk, hogy elhangozott az "egy kattintással" kifejezés is - felügyelhető rendszer.

Ezek alapján szakmai szemszögből felesleges értékelni, mert ahol olyan biztonságra van szükség, amihez egy ilyen rendszer szükséges, ott már rég megoldották, ahol meg nincs rá szükség, ott meg minek?!

Én mondjuk feltettem volna azt a kérdést, hogy oké, hogy a rendszergazdák tevékenységét monitorozza a Novell remek terméke, de ki telepíti ezt a csodálatos rendszert? És ha már fel van telepítve, akkor ki tartja karban? Aki karban tartja, abban meg lehet bízni? Ha kiderül, hogy egy szervert/szolgáltatást/bármit nem lehet újraindítani, leállítani, átköltöztetni másik gépre, akkor ki, mikor és mennyi idő alatt tudja a változtatásokat elvégezni? És ennek az embernek/cégnek mennyi a (havi) költsége? Hogyan véd az ellen, hogy scriptben bármilyen parancsokat kiadjak? Vagy az ellen, hogy echo select command from hekkertábla| mysql hekkerdb| bash ? Látom, hogy le lehet korlátozni a parancsokat, hogy ki mikor, melyik könyvtárban, mit adhasson ki, de ez alig több mint a sudo :)

Na mindegy, szerintem máris túl sok energiát fektettem a kérdésbe :D

( Replaced | 2010. 07. 08., cs – 10:55 )

ehhez meg sudo sem kell, mert igazabol meg lehet oldani PAM-bol

szerk.: amugy, ha megnezitek a videot akkor elmondja, hogy miben tud tobbet, mint a sudo (pl heterogen kornyezetben tobb gepes parkkal is mukodik) ;)

--
NetBSD - Simplicity is prerequisite for reliability

( sabe v | 2010. 07. 08., cs – 11:03 )

De könnyen fikáztok

"Minden rendszergazdai aktivitást naplóz"

Ezt hogy oldjátok meg sudoval (sudoers)?

Először is nem naplóz minden rendszergazdai aktivitást. Másodszor van process accounting még linuxra is, bár az elég szűkszavú. A "nagy" unixok ebben biztos(?) jobbak, aix pl. tud olyat, hogy:

FS_Chdir joe OK Mon Jun 19 15:44:31 2000 tsm
change current directory to: /home/joe

http://www.redbooks.ibm.com/redbooks/pdfs/sg246020.pdf

Erre céloztam akkor, amikor azt írtam, hogy ez már megvan ott, ahol kell. Én sose használtam ilyet, csak hallottam róla.

Harmadszor meg ha nem bízol a rendszergazdában, akkor semmi audit rendszer nem fog megvédeni, esetleg abban segíthet, hogy félelemben tartsd az embert. De akkor - ha akar - másképp fog ártani. Persze a managerek megnyugodhatnak, mert megtettek mindent, van szuper auditáló rendszerük. Aztán jön a másik cég, amelyik kamerás megfigyelőrendszereket árul, és megkérdezni, hogy nem fél-e attól, hogy a rendszergazda a mentésekről másolatot csinál a gépterem hűvösében. Aztán jön az a cég, amelyik lehallgatókészülékeket forgalmaz, hogy nem fél-e attól, hogy a rendszergazda a telefonba céges titkokat suttog. És így tovább.

bezony van psacct, mondjuk egész szegényes, akárcsak a pmap és a többiek. Karcsú mondjuk a solaris-szal összehasonlítva. De vannak eszközök...mondjuk kicsit lemaradva, de vannak :)

ráadásul határozzuk meg már minden egyes szerver és alkalmazásszerver esetén mi is az az adminisztrtív tevékenység....mert mondjuk minek egy 'top' indítását rögzíteni.

Mindegy hagyjuk...

Ahol kell, ott ez jól megvan szervezve e nélkül a termék nélkül is. :)

A számonkérhetőség a lényeg. Csináljon a rendszergazda amit akar, de legyen tudatában annak, hogy ezt számon lehet kérni rajta bizonyítékokkal. És ez a lényeg.

Kamerás megfigyelőrendszer minden komoly helyen van imho és a telefonbeszélgetéseket is rögzítik ahol kell.

>>> Kockázatokkal arányos védelem <<<

Tegyük fel, hogy R. Gazda József dolgozik a Nemzet Fénye banknál, mint rendszergazda. Mivel bankról van szó, van audit, kamera, biztonsági őr, veszett macska meg minden, amit a managementre rá bírtak sózni. Azt mondja a konkurens bank, a Nép Fénye Nemzeti Bank, hogy figyelj Józsi, holnap 10-kor kell kiadni a negyedéves gyorsjelentést (adnak ilyet ki egyáltalán a bankok?) Kapsz 100 millió petákot ha "véletlenül" rossz fabricból húzod ki az áramot 9:50-kor (vagy valami ilyesmi).

Mit lehet ilyenkor ráverni az alkalmazottra? Ha nem tudják bizonyítani a szándékosságot, akkor a munkabérével(?) felelhet, meg esetleg ami be van írva a szerződésébe.

De persze nem is kell az R. Gazdát megkeresni, elég elmagyarázni a takarítónéninek, hogy melyik narancssárga köteget kell összekócolnia, mert beejtette a kulcsát az álpadló alá. Aztán majd jól számon kérik rajta. De ettől még elnyekkent a fél géppark.

Tehát a számon kérhetőség - szerintem - csak a baj után véd, és csak a managerek seggét, a baj attól még megtörténhet. És így legalább el lehet adni egy rakat robot takarítógépet a managementnek, eheh.

Szándékos károkozást elég könnyű bizonyítani....
Egy ilyen esetben, ha nagy értékű károkozás történik, és felmerül a szándékosság gyanúja a bankbiztonság a rendőrséggel együtt egyszerűen lenyomozza az illető magánéletét, bankszámláit, stb, és elég hamar kattan a bilincs.
Nem véletlen, hogy az igen nagy cégeknél elég gyakran volt belügyesek a biztonsági főnökök.

A másik nagy cégnél szintén, pontosan tudják, hogy mit hogyan lehet elsumákolni.

De esetleg azt mondják, hogy legrosszabb esetben ülsz öt évet, és kapsz ötször annyi petákot. Persze ilyenkor már felmerül a biztonsági cégek vezetőinek a kapcsolata az ukrán szakemberekkel. De sok embert lehet pénzzel befolyásolni, csak a pénz mennyisége a kérdéses. Még akkor is, hogy ha sanszos, hogy a nokiásdoboz helyett betoncsizmát kap.

Továbbra is probléma, hogy ha be is bizonyítják a károkozást, a kár attól még megvan, és presztízsben általában a financiális kár sokszorosát vesztik el. És ezen még az se segít, ha a károkozót elkapják a csodálatos auditrendszerrel és felnégyelik a főtéren.

mondok egy példát hogy te is megértsd, nem kell nagy dolgokra gondolni; elegendő egy előre gondosan preparált tápegységet/vinyót/stb.. az adott karbantartási időszakban telepíteni a szerverbe, egy csatlakozót nem túl gondosan a helyére nyomni, egy kártyát kicsit féloldalasan beilleszteni, egy memóriamodult nem teljesen a helyére pattintani, egy tápkábelt nem tökig a helyére nyomni és még sorolhatnám. Ez mind lehet szándékos és lehet véletlen is.

lol talán inkább te gondold újra :)
bennfentes, akinek joga és kötelessége a szervertermet látogatni, bármikor szabotálhat, a kamera meg rögzít. Azt rögzíti, hogy az illető dolgozik, kicserél, karbantart, takarít. Azt már nem hogy azt pontosan hogyan végzi, mit épít be, stbstb..
Jól mondod, ahol én dolgozom, elég ennyi gógyi is ahhoz hogy átlássuk, a bekamerázás nem elegendő az adatok biztonságban tudásához...de nálatok ez bizonyára másként van :)

( LGee | 2010. 07. 08., cs – 13:04 )

A PUM lenyegeben egy keylogged shell, azaz at kell irni a user shelljet crush-ra. A management/audit felulete Flash, ahol playback-re vagy pillanatszeru megjelenitesre is van lehetoseg. Mi hasznaljuk...

szerk. lenyegeben csaknem minden Unixon tamogatott, es az eroforrasa 1 db daemon futttatasara korlatozodik, az extra eroforras/halozati forgalom novekedese nem szamottevo.

Nyihahahaha...elképzelem, ahogy a bash oneliner-eimet a managementből valaki flashben visszajátssza, és mivel nem sok echo mostéppeneztcsinálom van benne, csak azt látják, hogy visszakapom a promtot, azt nem hogy a háttérben még fél órát fut és mit csinál, az error-ok meg mennek a /dev/bull-ba....nyihahahahaha

mire kihámozzák az awk scriptemet, ami egy sed-nek passzolja tovább, ami lefuttat egy már régi scriptet az eredményhalmazon, ami csinál valamit (és mondjuk 800 sornyi parancsot ad ki)....és mindenből annyit látnak, hogy gépelek, majd ütök egy entert.....Nyihahahahaha

szétröhögtem magam....ez ám a biztonsági szoftver

nálunk inkább jól elkülönített role-ok vannak a megfelelő jogosultsággal, így ha valami történik, akkor lehet tudni, hogy ki, vagy melyik csoport érintett, és utána csak a logokat kell elemeznünk, hogy mi történt. Nem sokat tudnék kezdeni azzal, ha látok egy parancssort, meg egy entert. Nekem többet mond a log, amiben meg amúgy is bent van, hogy ki mit csinált (audit, psacct, sudoers, inotify)

Ne érts félre, arra jó lehet, hogy megnézd éppen akkor amikor gáz volt, a környéken (időpontban) mi futott, de másra nem. Ez a feature számomra parasztvakítás. Ha tudja azt, hogy figyeli a háttérben futó processzeket (cron, tárolteljárások, programokat, stb), a rendszer működésének üzeneteit, stb, stb. és ehhez mind egy integrált felületet nyújt (azza megadsz egy időpontot és kigyűjti az összes logból az összes eseményt az adott időpont környékén, majd space nyomkodásával az adott időpontra csoportosított eventeket csokorba gyűjti), akkor használható a cucc.

Szóval ha olyan, ami fogja és psacct, audit, sudoers, /var/log/* felületet nyújt, ahol ha "ráklikkelek" egy processzre, akkor legyön a pmap és még ezer karakterisztika belőle, akkor jó.
Ugyanis nálunk volt már olyan, hogy éppen kiadtuk a "ps -ef" parancsot és a gép újraindult, ami miatt csomó banki szolgáltatás egy órát állt. No ha a szegény rendszergazdát kidobták volna a miatta a ps -ef miatt, az nagyon gáz lett volna. Végül kiderült, hogy melyik memory leak-es ügyfélprogi segített a dologban, de nem attól, hogy flash-ben megnéztem a ps -ef parancsot.

Ugye azért érted mit akarok mondani. vagy még mindig egy ignoráns f@sz vagyok a szemedben?
Egyébként meg mindenre ami segíti a munkám vevő vagyok.Ésszerű keretekben. De hogy egy manager mondja meg, hogy az én általam kiadott echo "hello worold" maitt halt meg a rendszer és viszlát, az nem az.

A PUM - legalabbis eddig ugy tunik - lehetoseget nyujt arra, hogy a user/admin, vagy barki, akinek shellnek be van allitva, ne legyen kepes manipulalni a sessiont. Mindez egy remote sysloggal egyutt mar eleg jo alap arra, hogy konkret esetben egy mellenyulast vissza lehessen kovetni.

Mint a neve is mondja, Privileged User Management, egyszeruen csak arra szolgal, hogy userek tevekenysege kovetheto legyen.

En nem 'dicserek' szart, hidd el, hogy az undorito Flash felulet ellenere szerintem a termek elso ranezesre egyaltalan nem parasztvakitas, hanem jol hasznalhato eszkoz. Hozzateszem, hogy szelesebb korben nem hasznaltuk, mert meg nem volt idonk alaposabban tesztelni.

---

re 'f@sz': en ilyet nem irtam, az ilyesmit majd a HUP sorozesen szemelyesen ;-)

a f@szt már én tettem hozzá :)
sörözni meg akár hup nélkül is sörözök...bár mostanság egy jó kis fröccs a bejövősebb....öregszem na...olyan leszek mint dédöregapám :)

De a témához:
Egyelőre még nem találkoztam azzal a termékkel, amit a fentiekben leírtam. Így egy csomószor előfordul, hogy napos nyomozás egy hibát megtalálni. Pl. múltkor egy kliens oldali memory leak rántotta magával a központi szerveralkalmazást, ami a folyamatos üzenetváltás hibák miatt úgy hasalt el, hogy magával rántotta az egész gépet. Másfél napom ment rá a nyomozásra. Aztán még a kliens forrásában is nekem kellett rámutatnom a hibás sorokra. De hagyjuk.