Názory k článku LIDS - Linuxový systém odhalení průniku

Bude venovano i neco nebyhodam LIDSu ? Popripade jinym komplikacim s nim ?

Nebude toto spíše pro hackery ?
Pokud Vám někdo hákne linux a zakomponuje Vám tam LIDS tak jste totál v háji.

No uvidíme.

Jse o to tam ten LIDS nainstalovat driv nez ten hacker ;)

Celkom zaujimavy napad, hacker ktory zaplatuje hacknuty system ;).

btw: Ak ti niekto hackne system, tak je zvacsa stejne rozumnejsie ho preinstalovat ako hladat backdoory. A ked mas k tomu kompu fyzicky pristup, tak si uplne v pohode. Bootnes cisty kernel bez Lidsu a si za vodou.

Diky, tesim se na pokracovani.

V mojej byvalej praci sme sa raz dostali na temu LIDS a vseobecne sme sa vsetci zhodli, ze pouzivat podivne patche na kernel a obmedzovat roota je dost morbidna zalezitost. Ja osobne by som aj napriek nespornym vyhodam v nijakom pripade LIDS na svoj system neinstaloval, pretoze celkovo skor vyznie ako nevyhoda.

No ono je to skor pre pouzitie na typicky firewall
ako na normalny server, isty cas som s tym experimentoval, ale vyladit configurak aj pre obycajny
firewall, bez nejakej proxy je dost o hubu.

Nemohu nez citovat:
...koncept (bezpecnosti Unixu) je neslucitelny s bezpecnostnimi pozadavky americke vlady, ktera paranoidne pocita s tim, ze i jejich duveryhodny admin je neskutecna svine...

Takze existuje rada situaci, kdy je omezeni roota dokonce velmi vitace ci bezpodminecne nutne (princip 4 oci, vylucujicich se prav...)

A me se ta veta libi ;-)

Není to už podobné jako windows? Schovávání procesů, admin nemá všechna práva, záplata na jádro ... :-/

( Jen postřeh, jsem pořád na win 8-) )

Ne, problem M$ je ze admin muze vic nez na unixu, akorat ze jen z tech destruktivnich legracek.
Faktem je ze zadny z opravdu bezpecnych unixu (Trusted solaris aj) zadneho roota nema. Vyhody jsou zrejme, neexistuje account pomoci nejz by slo systemu vyrazneji ublizit. Nevyhodou nutnost pamatovat si kolem desitky hesel.
Smysl to ma pochopitelne jen nekde, nicmene je dobre ze na linech je ekvivalent trustedBSD - zpusobu jak to obrnit trikrat dokola, aby s tim byl vetsi problem (u admina i hackra).

Podobnych bezpecnostnich patchu je vice, krome LIDS bych jmenoval alespon RSBAC a GRSECURITY. S LIDSem jsem si chvili hral tak pred pul rokem, ale odradil me velky neporadek v tech patchich, musel jsem se v tom hodne vrtat, aby to fungovalo apod.

Nejakou dobu pouzivam GRSECURITY, na ktery si nemuzu nijak stezovat. Krome ACL systemu mate moznost zaintegrovat spoustu dalsich veci jako non-exec pages, ochranu ruznych veci v /proc, randomizace vseho mozneho (PID, mm, TCP/IP) a mnoho dalsiho. Hezke je na nem prave to, ze MUZETE, nemusite.

Pokud jde o GRSECURITY ACL, tak jsou mnohem propracovanejsi nez v LIDSu, coz je dost znat pri administraci. Velmi uzitecny je napriklad "ucici" rezim, ktery funguje asi tak, ze nastavite restriktivni pravidla, a uvedete procesy, ktere se maji "ucit". Kdyz tyto procesy pravidla porusi, pristup neni odepren, ale logovan, a pote se z toho daji sestavit optimalni ACL.

Ano, naprosto s vami souhlasim.
Sam pouzivam RSBAC a kombinaci ACL, RC modulu povazuji za velmi mocny nastroj. v posledni dobe jsem zacal experimentovat s NET Templates a JAIL modulem.

Stejne jako u ostatnich projektu ani zde neni uplne trivialni odladit spravnou politiku. Chce to o systemu hodne vedet.
Na druhou stranu, pokud odladite 'jadro systemu', muzete dalsi veci pridavat jako moduly (web, mail, databaze ....atd) a pak uz je to hacka.

chtel jsem rict hracka :-)))

nebo hnacka :-)

co tak napr.: Medusa DS9 ;)

Medusa je v tuto chvili bohuzel vicemene mrtvy projekt.

Nastesti to neni tak docela pravda, nejake aktivity kolem Medusy se deji. Jenom to ted jeste neni navenek videt, snad se to casem zlepsi.

Myslim, ze by bylo dobre zminit SELinux, ktery byl
aktualne zaclenen do 2.6.0-test3.

O.

Co se tyce zneuzi LIDS crackerem, nelze to vyloucit, ale nedovedu si takoveho crackera dost dobre predstavit. Konfigurace LIDS je pomerne casove narocna (predevsim pro LIDS novacka). Pripadny cracker by musel s nejvetsi pravdepodobnosti mit k dispozici rootovska privilegia navic natahnout na firewall potrebny software - kernel, LIDS, systemove knihovny, prekladace, vyvojove prostredi, provadet nepozorovany reboot firewallu atd. Ten clovek by musel mit hodne casu si s tim pohrat. Doporucuji, aby jste si to zkusili.
Pokud by to vsak cracker podstoupil a zlikvidoval i puvodni jadro, pak by to na chvili pro administratora bylo opravdu zajimave prekvapeni.
Jednodussi je snad vsak pouze zmenit heslo uzivatele root a vysledek by byl podobny.

Tim zde rovnez sdeluji jednu z nevyhod softwarove zaplaty LIDS - casovou narocnost konfigurace. Vyhody a nevyhody LIDS rozeberu v zaveru serialu.

Reakce na e-maily typu LIDS je zvrhlost, podoba se to MS Windows apod:
Vsemocnost administratora v unixovych systemem a obecne v operacnich systemech je dlouhodoby bezpecnostni problem. Ponevadz, pokud nekdo ziska pravomoce administratora, je v OS pan Buh. Proto byly provadeny snahy rozdelit spravu systemu do oblasti, ktere by mohly byt spravovany ruznymi privilegovanymi uzivateli. Tyto snahy mely vest v unixovem svete ke standardu POSIX 1003.1e. Bohuzel k tomu nedoslo, byl vytvoren pouze draft. Nicmene linuxove jadro je navrzene tak, ze s rozdelenim kompetenci pocita!! Projekt LIDS tuto vlastnost castecne vyuziva. Je to tedy zvrhlost?!

Zakladnim problemem LIDS (a dalsich patchu jako GRSECURITY) je jejich nepritomnost ve standardnim jadre. Jejich instalaci se sice nektere bezpecnostni problemy vyresi, ale diky problematickym upgradum (muze byt potreba cekat, nez vyjde patch na novou verzi jadra, ktera treba opravuje nejakou bezpecnostni chybu) se zase nove problemy zavlecou. To je take duvod, proc jsem zatim nic podobneho nikde nepouzil.

Muj subjektivni dojem je, ze vyvojari jadra jsou dost zahledeni do sebe, takze projdou veci, ktere se hodi takrka vyhradne jim (User Mode Linux), ale security rozsireni narozdil od spravcu serveru nepotrebuji a proto zatim nebylo integrovano :-(
(Tedy co vim, oficialnim argumentem je, ze zapnuti patche muze zpusobit nefunkcnost mnoha veci - ale kdyz bude defaultne vypnute, tak to preci nemusi vadit...)

Ahoj
Autor zminuje Portsentry, jako IDS nastroj. Skutecne je vyborny, sam jej jiz 2 roky pouzivam na svem domacim firewallu. Nyni jsem se rozhodl staricky firewall (486, 8 MB RAM) upgradovat, ale stahnout nove Portsentry se mi jaksi nepodarilo. Stranka http://www.psionic.com miri na http://www.cisco.com, zjistil jsem ze Cisco Psionic koupilo. Hledal jsem, googlil ale marne. A tak se tazi: kde lze dnes sehnat novy portsentry, pripadne nejaky ekvivalent? Diky.
Martin

# apt-cache search portsentry
portsentry - Portscan detection daemon
#
# apt-get install portsentry

Ja jsem stahnul PortSentry ve forme SRPM balicku z http://www.rpmfind.net/ (pro PLD Linux Distribution). Odtud mam PortSentry verzi 1.1.7. Z SRPM balicku jsem potom vypreparoval tarball, ktery jsem pouzil na RHL 7.3. SRPM na RHL 7.3 totiz neslo pouzit pro vytvoreni RPM balicku.

...na dobre tema. Jen tak dal. Do pokacovani : zajimalo by mne, jake aplikace vam pod LIDS-em bezi a jak moc se s nim tlucou...

http://server1.streaming.cesnet.cz:8080/rams/ow02-LIDS.ram

Je to nasnimana prednaska z Open Weekendu. Ostatne, je tam toho z tech weekendu vicero - http://www.cesnet.cz/archiv/video/

Vetsina z toho je v Real Video.

Podle me je bezpecnejsi nez dlouho ladit podobne systemy a doufat ze vysledne nastaveni zpusobi vic uzitku nez problemu pouzit HW metody. Konkretne: root disk na CD (primo knoppix nebude vhodny, ale lze postupovat podobne) nebo na read-only diskete (ciste firewall by se vesel) a pravidelne restartovat (cronem). Takovy pocitac hacknout by byl vykon ... pochopitelne, trochu to komplikuje upgrade ... ale kdyby mechanika nebyla vypalovaci muze to byt klidne RW ...

Rebooty nepomuzou, kdyz to lze hacknout jednou, lze to i zautomatizovat.

Navic RO budou stejne jen veci jako je /usr, /bin, /lib apod., ale bude tam muset existovat nejaky /var ci /tmp, ktery bude RW (treba jako ramdisk), takze pokud technika pruniku nebude vyzadovat vymenu nejake binarky, knihovny ci konfigurace, tak jste v haji jako kazdy jiny.

Konecne clanek kterej odpovida nazvu serveru a ma hlavu a patu! No to je po letech preqapko :)