El stickyBit y la Seguridad en Gnu/Linux [Ubuntu o Debian]


hackermuerto

En esta entrada comente algunas cosas con respecto al nombre del blog y la seguridad en los sistemas tipo unix. Hoy vengo con algunos ejemplos de su uso y como podemos implementarlo en nuestro unix…. No me hago responsable del mal uso de este tuto anécdota o como quieran llamarle, ni mucho menos me hago responsable de los daños ocasionados por el mismo. -!

En el sistema de ficheros ext3 para Linux(es uno de los mas usados), existen varios atributos para los ficheros que allí se almacenan que nos pueden ayudar a mejorar la seguridad.

Por ejemplo la mayoría de los administradores o cualquier persona que haya cambiado un permiso en unix sabe que existe un comando llamado chmod este comando cambia los permisos de un fichero o archivo y existe otro que es el chown que cambia el dueño de un fichero o archivo… pero existe aun mas, imaginen que ni el root pueda eliminar un archivo o directorio, mejor aun que ni el root pueda borrar parte del archivo y que solo pueda agregar información y una ves guardada ni el mismo aun teniendo permisos y siendo el dueño pueda borrar los cambios, interesante a muchos se nos a pasado alguna ves la loca idea de cambiarle el nombre al usuario root y creer que ya tenemos un entorno mas seguro, pero nos pasamos por alto algo llamado estandarización y esto es aun mas importante que la propia llave del sistema 😀

En la mencionada entrada pasada se dijo que con chmod podíamos agregar un privilegio a el propio sistema y que solo borrando ese privilegio el root podría eliminar dicho archivo, imaginemos que un intruso entra a nuestro sistema lo primero que este hará sera borrar sus huellas algo como:

 #    cp rootkit.tar
tar xvf rootkit.tar

sh rootkit.sh

rm rootkit.sh

 

Por ejemplo dentro de rootkit.sh tendrá un comando como este

#  find /raíz -mmin -5

donde 5 le dirá los archivos que cambiaron cuando entro, o mejor aun un script donde un last le diga a que hora se logueo y le pase la hora a el find donde todos los archivos que contengan esa hora se remuevan del sistema(cuando digo archivos me refiero a los log y a remover la linea de esa hora mas adelante hablaremos de los logs no podría profundizar en seguridad sin hablar de logs)

Normalmente quien ataca los sistemas usa scripts para ahorrar tiempo(hablo de hackers profesionales o muy novatos) muchas veces se saltaran cosas, y ahí es donde entra el bit pegajoso, un atacante que no revise si existen archivos setuisados o con el bit pegajoso activado es un atacante que sera descubierto…. Para ir viendo de que hablo voy a dividir el tema en varios post…. Como ver si hay archivos setuisados en el sistema:

# Buscar archivos con privilegios:
find / -perm +4000
# Buscar archivos con privilegios de grupo
find / -perm +2000
# Combinar los dos anteriores
find / \( -perm -4000 -o -perm -2000 \) -print
find / -path -prune -o -type f -perm +6000 -ls
También podrías buscar:
find / -perm +1000
Este seria el bit pegajoso

Por ejemplo el +2000 y +4000 son otros permisos peligrosos que no deberíamos usar casi nunca o nunca, el que nos interesa en este post por el momento es el +1000 o los que contengan +t
Hasta aquí lo voy a dejar por el momento en el próximo post comentare sobre como agregar el bit pegajoso y algunos archivos que deberían tenerlos 😀

A por supuesto 😀

 # history -c

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s